◎奇安信集團副總裁 韓永剛

韓永剛副總裁

一、數(shù)字化轉型和“十四五”發(fā)展需要筑牢網(wǎng)絡安全底板

（一）戰(zhàn)略驅動：“十四五”規(guī)劃中的數(shù)字化與網(wǎng)絡安全

首先，從戰(zhàn)略驅動的角度看，國家市場規(guī)劃的2035年目標里數(shù)字化占了非常大的比重，在第3章的現(xiàn)代化產(chǎn)業(yè)體系中，現(xiàn)代化治理和國家安全部分，數(shù)字化都是非常核心的驅動力，不論是在數(shù)字經(jīng)濟、數(shù)字社會，還是在數(shù)字政府，數(shù)字化都將起到非常關鍵的作用。

對于網(wǎng)絡安全而言一個經(jīng)典的表述就是“全面加強網(wǎng)絡安全保障體系和能力建設”，其中“體系”和“能力”是兩個關鍵詞。在“十四五”期間，若無法體系化地將整個網(wǎng)絡安全的底板能力構建起來，則會對后續(xù)智慧數(shù)字化發(fā)展，包括智慧民航造成巨大影響。數(shù)字化最大的作用之一就是把將傳統(tǒng)的行業(yè)能力用數(shù)字化的方式進行新的賦能，越來越多的核心業(yè)務運轉是建立在數(shù)字化平臺之上的。若此時網(wǎng)絡安全再出現(xiàn)問題，可以說將不僅是經(jīng)濟損失，而有可能直接影響核心業(yè)務的運行。因此，動態(tài)綜合的網(wǎng)絡安全防控體系是非常必要的。

（二）合規(guī)驅動：法律法規(guī)、實戰(zhàn)演習

從2017年一直到今年，各種配套的法律、法規(guī)、條例都在不斷地出臺。最近熱議的2020年、2021年的《數(shù)據(jù)安全法》（草案）、《個人信息保護法》（草案）都在審議，當前已經(jīng)通過人大表決，進行正式公布。同樣，《關鍵信息基礎設施保護指導意見》也在審議過程中?！蛾P鍵信息基礎設施保護指導意見》的出臺將對眾多關基單位產(chǎn)生深遠的影響。同時從2016年到2021年國家層面實戰(zhàn)化攻防演習也在持續(xù)進行。

（三）業(yè)務驅動：智慧民航

第三個層面是核心業(yè)務的驅動，民航業(yè)的智慧應用會構成越來越完整的智慧民航藍圖，民航出行一張臉、物流一張單、通關一次檢等都關聯(lián)著數(shù)字感知、數(shù)據(jù)決策、精益管理。就以機場來說，這個過程就是大量的感知網(wǎng)絡、工業(yè)控制網(wǎng)絡、數(shù)據(jù)、云計算，為很多應用的拉通、網(wǎng)的拉通、數(shù)據(jù)的拉通、應用的拉通來提供服務，例如空管做的“十四五”規(guī)劃，就是把空管隔離的專網(wǎng)進行打通，將海量數(shù)據(jù)打通，從而為航司和機場提供更便捷的智慧化服務。因此，可以說數(shù)字化是將曾經(jīng)很多僅僅是在機關或總部用到的一些信息化能力廣泛推到一線員工，甚至是消費者，極大地把數(shù)字化能力推到了廣泛的范疇，因此安全問題尤為重要。

（四）現(xiàn)實挑戰(zhàn)：從美國輸油管道運營商被勒索事件看數(shù)字化新挑戰(zhàn)

美國石油管道泄露遭黑客攻擊的事件眾所周知，其遭到勒索真正的原因就是為了勒索錢財。可以說一個經(jīng)濟犯罪就以國家關鍵基礎設施產(chǎn)生如此巨大的影響，這種勒索手法已經(jīng)開始非常普遍、便捷，越來越工具化和服務化。同時，這些攻擊的工具、資源都已經(jīng)成為一種服務用來斂財，讓別的組織也可以利用該手段去實施犯罪。

（五）從美國勒索事件看關基保護的建議：體系化與常態(tài)化

該事件發(fā)生后，美國負責安全的CSA和FBI給出了聯(lián)合的防御建議，提醒各大機構注意調整自己的security posture，即防御姿態(tài)，減少對外的暴露面。在眾多意見中，可以看到幾類有對基礎結構安全的建議，例如對終端保護的建議，對網(wǎng)絡層的終身防御建議，要對身份要求進行多因素加強，對身份不必要訪問進行攔截，同時也有對應用安全方面的積極防御意見，以及對工業(yè)控制系統(tǒng)的意見。綜上所述，當我們面臨這類問題時，單點的防御能力已不足以解決問題。我們需要用體系化、常態(tài)化、全局性的視角來解決安全問題。

（六）從Solarwinds金鏈熊供應鏈攻擊看對手的攻擊能力

最近，高深技術手段攻擊中，非常具有代表性的就是金鏈熊，其中涉及一個軟件叫做Solarwinds，該軟件在網(wǎng)絡管理方面非常普遍，以至于美國有200多家政府機構的很多關鍵部門都應用該軟件來進行IT網(wǎng)絡維護。

攻擊者恰恰攻擊了這個軟件，對它的源代碼進行污染，并在打包過程中將控制的惡意軟件打進去。因此在政府機構進行軟件版本升級時，升級到攻擊者可遠程控制的版本，從而進行數(shù)據(jù)竊取，該過程經(jīng)過4次版本的更迭仍沒有被察覺。

該事件讓我們認識到當數(shù)字化和智慧化完全去打通時，我們不再是孤立的，還有非常多IT供應商、軟件供應商、服務供應商等，其安全問題已經(jīng)不僅是自己的安全問題?？梢园l(fā)現(xiàn)整個鏈條非常長，涉及開發(fā)、打包、發(fā)布和升級等非常多環(huán)節(jié)。

（七）我國網(wǎng)絡安全面臨的六大風險

從上面兩個例子可以意識到，現(xiàn)在所面臨的風險問題在數(shù)字化時代已經(jīng)發(fā)生了巨大變化，如同上述勒索技術的越來越普遍、頻率越來越高、供應鏈攻擊和APT高級風險等問題，由于我們的數(shù)據(jù)和我們的系統(tǒng)價值越來越高，因此出現(xiàn)的不一定是由于外部攻擊，而是內(nèi)部威脅的問題，內(nèi)部人員對數(shù)據(jù)的濫用、誤用、盜用等也可能產(chǎn)生很大的威脅。

（八）攻防演練 十大薄弱環(huán)節(jié)

從2016年到2021年，我們在進行實戰(zhàn)化的攻防演練過程中，發(fā)現(xiàn)每年攻擊手段都在不斷地提升，防御體系能力也在相應提升，但依然會出現(xiàn)很多安全問題。在今年剛剛結束的2021年攻防實戰(zhàn)化的攻防演練過程中，我們總結了10個非常關鍵的安全問題。

二、以內(nèi)生安全框架為指引，構建新一代網(wǎng)絡安全保障體系

在新數(shù)字化轉型深入的過程中，要考慮新網(wǎng)絡安全體系的建設，如同國家“十四五”規(guī)劃里提到的，構建網(wǎng)絡安全的保障體系，實際上就是面向能力化的體系建設。奇安信集團已經(jīng)在過去的兩年時間里，把很多安全的技術思路整合成內(nèi)生安全的理念，并配套對應框架指引工程落地，思考如何去幫助各行各業(yè)構建新的網(wǎng)絡安全體系。

（一）實現(xiàn)內(nèi)生安全的方法是采用內(nèi)生安全框架指引網(wǎng)絡安全體系化建設

曾經(jīng)解決安全問題所采用的是逆向攻防思維，但是現(xiàn)在以正向的業(yè)務信息化和系統(tǒng)工程方法去考慮問題，在安全行業(yè)里屬于首家。所謂的內(nèi)生安全是把安全能力和信息化環(huán)境進行充分的融合內(nèi)生，對數(shù)字化環(huán)境和過程進行深度融合和全面覆蓋。在最終構建面向能力的體系后，充分考慮工程化落地，用市面上能采購到的技術、產(chǎn)品、服務來構建整體能力體系，同時我們也輸出“十大工程五大任務”來指導建設。

（二）對抗威脅需要面向能力體系的安全建設

當前將這個復雜的工具方法框架的指引轉化成了幾個關鍵點，比如“盤家底”，所“盤的家底”不是資產(chǎn)價值，而是政企環(huán)境到底需要什么樣的網(wǎng)絡安全能力，在過去的“十二五”“十三五”已經(jīng)采購大量設備，很多建設仍在進行，我們要將已經(jīng)采購的設備用起來，將能力建立起來，再看我們?nèi)笔裁?，還要做什么樣的演進。第二個是構建系統(tǒng)，用系統(tǒng)工程的方法從全局化和信息化結合的角度擴建系統(tǒng)。第三個是運行，不是安全孤立地運行，而是網(wǎng)絡安全的運行和數(shù)字化的IT運維，及應用開發(fā)的兩大過程去進行充分結合。通過盤家底、建系統(tǒng)、抓運行的過程，就能夠把內(nèi)核安全思路去進行實現(xiàn)落地。

此外，網(wǎng)絡安全的能力應該是怎樣的？通過滑動標尺的迭代演進來看，其中涉及了基礎結構安全問題、縱深防御問題，開始感知和積極防御問題、威脅情報問題是在不斷的疊加中演進。我們只有在多個層面把整個防御水平提升上來，才可能形成完整的體系化能力構建。

另外，防御上要考慮陣地守得好不好、陣地構建得完不完整，這時就要關注防御姿態(tài)，比如在縱深防御上各類安全技術產(chǎn)品其策略調整得好不好，是不是構成了堅實有效陣地。在積極防御的方面，所謂的防御姿態(tài)是我們對于威脅及時發(fā)現(xiàn)、響應、處置時效性的能力。在威脅情報方面，要考慮威脅情報是不是覆蓋完整、時效性如何、可執(zhí)行水平如何，只有當我們將整體構建好后，才具有完整的安全防御管控能力，才可能真正有效的去發(fā)揮作用。

（三）“十大工程、五大任務”項目綱要庫

從安全視角來看，工程建設真正的落地需要和信息化的物理層、虛擬化系統(tǒng)、虛擬網(wǎng)絡、應用、數(shù)據(jù)等各個層面進行結合。因此“十大工程五大任務”建設綱要庫中，若將工程后面的“安全”兩字去掉，就是信息化建設，包括身份、網(wǎng)絡、終端、辦公介入、面向云的數(shù)據(jù)中心、大數(shù)據(jù)的應用流轉，以及工業(yè)生產(chǎn)和內(nèi)部威脅等。這也體現(xiàn)了我們的安全能力應該和整個數(shù)字化環(huán)境進行深度的融合，是一個全面覆蓋的過程。

從上述所提到的我們使用系統(tǒng)工程的方法來看，當我們用系統(tǒng)工程視角去看各個部分，各要素之間是相互依賴的，即是一個復雜巨系統(tǒng)，只有當依賴關系和相互關聯(lián)共同發(fā)揮作用時，它才能達到比較完整的效果。比如上述所提到的面向資產(chǎn)、配置、漏洞、補丁的系統(tǒng)，就是解決所謂勒索最有效的問題，因為這些勒索往往都利用很多已知的漏洞，但我們難以在資產(chǎn)查清，將漏洞補全，其原因就在于資產(chǎn)管理的關系都是割裂的，其本質具有非常強的相互關系，需要通過數(shù)據(jù)驅動和IT大運維及其他區(qū)域發(fā)生紐帶結合，去解決這個問題。

例如我們希望資產(chǎn)價值清晰，關鍵系統(tǒng)漏洞要應補盡補，在進行運維過程中，用數(shù)據(jù)驅動的方法、用大數(shù)據(jù)的方法將資產(chǎn)盤清，讓資產(chǎn)、漏洞、配置、補丁之間兩兩產(chǎn)生關聯(lián)。通過系統(tǒng)工程來看，其工作過程發(fā)生了三層變化，第一層是與安全相關的工作，而且是很多后臺工作，比如漏洞情報、補丁測試等；最底下一層是IT的信息化，有IT的管理系統(tǒng)、服務器運維，網(wǎng)絡運維等；中間層是數(shù)據(jù)的匯集。

希望通過這種數(shù)據(jù)驅動的方法，將安全的運行和IT的運行結果，用大數(shù)據(jù)方法打通資產(chǎn)配置、漏洞補丁之間的基礎流程，讓安全和IT的大運維環(huán)環(huán)相扣地融合起來。

（四）《數(shù)據(jù)安全法》通過表決的意義

《數(shù)據(jù)安全法》近日通過了對應表決，它對于政企、航空、關鍵信息基礎設施意味著什么？我抽取了以下幾個方面：首先，從戰(zhàn)略上上升到了總體國家安全觀，但同時也存在運行空間，還要利用數(shù)據(jù)的驅動力將數(shù)字化經(jīng)濟持續(xù)發(fā)展，在統(tǒng)籌安全和發(fā)展之間達到平衡；其次，它明確了組織和責任，尤其在數(shù)據(jù)流轉過程中，強調了政府、企業(yè)、社會相關的部門對于數(shù)據(jù)安全的主體負責制，也提出了面向國家層面的政務體系所發(fā)揮的工作和作用。

其次在數(shù)據(jù)安全保護方面，具有數(shù)據(jù)分級分類的保護制度，包括完善數(shù)據(jù)安全保護體系、提升對應數(shù)據(jù)安全的保護能力、提供重要數(shù)據(jù)的目錄，在等保的基礎之上建立這種全流程的數(shù)據(jù)安全管理制度等。我認為整個過程要充分利用數(shù)據(jù)，解決跨部門如何使用數(shù)據(jù)、如何確權、如何確定安全策略的問題，開展真正的數(shù)據(jù)安全治理，而不僅僅是分級分類。數(shù)據(jù)安全治理是一個非常復雜的過程，要和很多原數(shù)據(jù)管理進行結合，建立數(shù)據(jù)安全保護體系，其體系要考慮業(yè)務流轉、應用流轉，而不僅是單點的保護。在這個過程中數(shù)據(jù)只有流轉起來，在不同媒介中留存流轉后才會產(chǎn)生價值，每一個流轉的控制點都要去考慮其安全問題。

第三，應用新興技術，例如身份安全、零信任、數(shù)據(jù)敏感地圖、數(shù)據(jù)的可用不可見、數(shù)據(jù)交易沙箱等，來應對大數(shù)據(jù)環(huán)境，將真正的數(shù)據(jù)安全能力體系建立起來。目前國內(nèi)各行各業(yè)在這方面仍沒有一個很好的構建，當前上位法出臺，很多條例也會接連落地，我們需要更新技術和思路。大數(shù)據(jù)的核心數(shù)據(jù)集中放在一個地方，其數(shù)據(jù)管理者、所有者、處理者可能都是不同人，這時數(shù)據(jù)的共享交換、數(shù)據(jù)的交易、開放的跨境流動等都會成為安全關注點。

另外，數(shù)據(jù)安全與其他領域安全的關系仍然是一個有機整體的關系，以一體化大數(shù)據(jù)中心為例，真正底層數(shù)據(jù)被治理、被匯、被用、被創(chuàng)新是有基礎的，數(shù)據(jù)網(wǎng)絡要通、數(shù)據(jù)要存、要傳，要進行一系列治理過程。網(wǎng)絡安全解決的事項一定要通過一個更為完整全局的視角去考慮對應，但其核心問題仍是上述的業(yè)務流轉利潤數(shù)據(jù)安全的控制。

最后，在應用安全中的軟件供應鏈方面，軟件供應鏈存在整體供應鏈的管理，面對越來越多的數(shù)字化系統(tǒng)，供應鏈的應用開發(fā)也越來越重要，基于以上原因，我們初步梳理了像軟件空間的測繪能力、代碼的安全控制能力、感知和自主測試能力、業(yè)務流程管理能力等面對這新課題所需要具備的能力。

（五）軟件供應鏈安全四大能力

當前我們在空管、機場等方面都在做諸多的體系化網(wǎng)絡模式建設，我們給出以下建議：結合數(shù)字化業(yè)務，從全局視角去規(guī)劃和設計所需的網(wǎng)絡安全體系和能力體系；加強基礎結構系統(tǒng)安全的建設；將零信任和縱深防御相結合，用新技術為原來的縱深防御賦予新的架構和技術的提升；核心的業(yè)務系統(tǒng)，尤其是大數(shù)據(jù)進行重點防護；關注到供應鏈應用系統(tǒng)開發(fā)；關注實戰(zhàn)化運行，把網(wǎng)絡安全運行、信息化運維和運營開發(fā)的大流程相結合；關注實戰(zhàn)化的演習，并用于改善我們的保護、監(jiān)測、發(fā)現(xiàn)響應還有恢復的能力的體系。