“內(nèi)生安全的關(guān)鍵是管理,管理的關(guān)鍵是框架�,框架的關(guān)鍵是組件化。” 8月10日�,北京網(wǎng)絡(luò)安全大會(BCS 2020)大會聯(lián)席主席、奇安信集團董事長齊向東在發(fā)表主題演講時呼吁����,要抓緊“十四五”規(guī)劃謀篇布局的時間窗口,面向新基建����,用內(nèi)生安全框架,來支撐從頂層設(shè)計到落地建設(shè)運行的網(wǎng)絡(luò)安全體系建設(shè)��。他透露,截至目前��,內(nèi)生安全框架已經(jīng)在近40個大型政企機構(gòu)實戰(zhàn)應用�����,具有“1+1>2”的涌現(xiàn)效應��,能讓安全產(chǎn)品和服務相互聯(lián)系����、相互作用,在整體上具備單個產(chǎn)品和服務所沒有的功能����,從而保障復雜系統(tǒng)的安全。
內(nèi)生安全的關(guān)鍵是管理
“內(nèi)生安全”是齊向東在2019年首屆BCS大會上發(fā)布的最新理念�����,指出需要依靠聚合�,從信息化系統(tǒng)內(nèi)不斷生長出自適應、自主和自成長的安全能力���,一經(jīng)提出就得到了業(yè)界的廣泛認同��。
“內(nèi)生安全的關(guān)鍵是管理�����。”齊向東在BCS 2020大會上表示:“漏洞是不可避免的�,人是不可靠的��,所以不管技術(shù)多高�����,網(wǎng)絡(luò)安全體系還是會失效����。”
近年來多起影響重大的網(wǎng)絡(luò)安全事件都表明,缺乏有效管理會導致嚴重后果�����。例如���,今年7月�����,奧巴馬�����、拜登�、比爾·蓋茨、巴菲特等多位美國政商名流的推特賬號被劫持并發(fā)布詐騙信息���,事后調(diào)查發(fā)現(xiàn)���,是一個17歲的黑客竊取了推特員工內(nèi)部管理系統(tǒng)賬號的權(quán)限。如果對身份����、行為做了有效管理,被攻擊的可能性就會大大降低���。
齊向東指出�����,內(nèi)生安全代表是一種新形態(tài)的網(wǎng)絡(luò)安全管理模式�����。它與傳統(tǒng)意義上的管理有很大區(qū)別�����,既不是單純的人員管理����、行政管理���、體制機制管理��,也不是傳統(tǒng)的條文式管理����、流程式管理��。
這套“新管理”模式由數(shù)據(jù)驅(qū)動��,通過與安全體系中的能力平臺和服務平臺有效對接�,實現(xiàn)對安全技術(shù)、安全運行等各方面要素的有效管理��,從而發(fā)現(xiàn)和規(guī)避黑客利用安全體系里的漏洞發(fā)起的攻擊�,克服人的不可靠性���、彌補人的能力不足。
管理的關(guān)鍵是框架
實現(xiàn)內(nèi)生安全所代表的新形態(tài)安全管理����,是一套復雜的系統(tǒng)工程,需要用工程化�����、體系化的方式進行實施�,實現(xiàn)它的關(guān)鍵是安全框架。
齊向東表示���,內(nèi)生安全框架已經(jīng)經(jīng)過了40余個大型政企機構(gòu)的實戰(zhàn)錘煉�����,具有“1+1>2”的涌現(xiàn)效應���。它按照系統(tǒng)工程的思想,將安全能力組件化�,由規(guī)劃方法、工具集��、模型、架構(gòu)和項目綱要構(gòu)成��,能讓安全產(chǎn)品和服務相互聯(lián)系���、相互作用����,在整體上具備單個產(chǎn)品和服務所沒有的功能���,從而保障復雜系統(tǒng)的安全���。
他總結(jié)���,內(nèi)生安全框架有三個重點——“理清楚”���、“建起來”、“跑得贏”�����,目的是通過“新管理”��,讓網(wǎng)絡(luò)安全體系具有動態(tài)防御,主動防御��,縱深防御�,精準防護,整體防護����,聯(lián)防聯(lián)控的能力。
“理清楚”是體系化地梳理���、設(shè)計出所需的安全能力�����。梳理時充分考慮所有可能涉及到的問題��,設(shè)計時根據(jù)實際情況挑選���、組合和規(guī)劃,給出明確標準����,確保這些安全能力能夠融入到信息化與業(yè)務系統(tǒng)中。
“建起來”是通過融合�����,做到安全能力與信息化系統(tǒng)的深度結(jié)合、全面覆蓋�。在具體建設(shè)過程中,按照全景化的技術(shù)部署模型�,把安全能力組件化,以系統(tǒng)����、服務、軟硬件資源的形態(tài)��,合理部署到信息化系統(tǒng)的不同區(qū)域��、節(jié)點�、層級中����。
“跑得贏”是確保安全運行的可持續(xù)性,實現(xiàn)管理閉環(huán)����。齊向東認為,缺乏安全運行的安全系統(tǒng)�����,相當于“靠天吃飯”,極易被攻擊��。只有強調(diào)安全運行�����,把管理作為關(guān)鍵�,才能跑得贏漏洞、內(nèi)鬼和黑客����。
框架的關(guān)鍵是組件化
在新基建建設(shè)、數(shù)字化轉(zhuǎn)型的浪潮下����,很多政府和企業(yè)的信息化系統(tǒng)都需要對老系統(tǒng)進行替換,實現(xiàn)“立新破舊”�。齊向東認為,從安全系統(tǒng)與信息化系統(tǒng)聚合的實施角度看�,如果割裂地對老系統(tǒng)用老辦法,新系統(tǒng)用新辦法�����,會造成巨大的浪費。
他給出的解決方案是��,對安全體系進行“統(tǒng)一設(shè)計�,分步實施”,在體系的基礎(chǔ)上把安全框架組件化���,讓這些組件既能是新體系的一部分����,又能部署到老系統(tǒng)中���,從而適應信息化系統(tǒng)“立新破舊”的過程�����,避免不斷地把安全系統(tǒng)推倒重來�����,確保現(xiàn)在安全上的投資是面向未來的�。
“我們用工程化的思想,把體系中的安全能力,映射成為可執(zhí)行���、可建設(shè)的網(wǎng)絡(luò)安全能力組件����,構(gòu)成了內(nèi)生安全框架�,這些組件與信息化進行體系化地聚合,是安全框架落地的關(guān)鍵�����。”齊向東說����。
奇安信研究了各類大型機構(gòu)網(wǎng)絡(luò)安全的新技術(shù)產(chǎn)品和服務體系,窮盡了安全能力組件的類型�����,為這些體系設(shè)計并解構(gòu)出了十個網(wǎng)絡(luò)安全工程���,以及五方面的支撐能力任務�����,簡稱“十工五任”��。
齊向東指出��,“十工五任”是內(nèi)生安全框架的具體落地手冊���,相當于打造了一個信息化巨系統(tǒng)內(nèi)生安全框架的建設(shè)樣板�,每一個工程和任務��,都可以理解成樣板房里的不同“房間”���。政企機構(gòu)可以結(jié)合自身信息化的特點��,選取不同的“房間”進行組合�����,定義自己的關(guān)鍵工程和任務�。
以某個“新基建”項目為例����,奇安信依據(jù)“十工五任”手冊,針對136個信息化組件�,總結(jié)出了29個安全區(qū)域場景��,部署了79類安全組件。
齊向東表示����,政府和企業(yè)按照內(nèi)生安全框架,投入三至五年時間�����,就能建立起完善的網(wǎng)絡(luò)安全協(xié)同聯(lián)動防御體系����,真正實現(xiàn)內(nèi)生安全。