DT(數(shù)據(jù)技術(shù))時(shí)代�����,網(wǎng)絡(luò)安全價(jià)值觀應(yīng)該是什么�����?
“經(jīng)營安全��,安全經(jīng)營��。”
在8月26日舉行的2021年北京網(wǎng)絡(luò)安全大會(huì)上����,奇安信集團(tuán)董事長齊向東給出了8個(gè)字的答案��。這個(gè)思辨色彩很濃的回答似乎少了些許“技術(shù)含量”����,但卻引起了國內(nèi)外網(wǎng)絡(luò)安全專家的強(qiáng)烈共鳴����。
的確,當(dāng)互聯(lián)網(wǎng)所產(chǎn)生的數(shù)據(jù)量呈現(xiàn)指數(shù)級(jí)增長����,當(dāng)數(shù)據(jù)與土地、勞動(dòng)力���、資本���、技術(shù)并列成為五大生產(chǎn)要素之一�,當(dāng)數(shù)據(jù)驅(qū)動(dòng)經(jīng)濟(jì)社會(huì)出現(xiàn)層出不窮的新形態(tài),網(wǎng)絡(luò)安全已經(jīng)從“配套角色”變身為“底板工程”�����,成為數(shù)字化發(fā)展的前置條件。深刻變革之下����,只有筑牢這個(gè)“新底板”,安全經(jīng)營才有可能實(shí)現(xiàn)��。
DT時(shí)代��,安全責(zé)任已無“時(shí)空邊界”
半個(gè)多世紀(jì)前����,現(xiàn)代計(jì)算機(jī)之父馮·諾依曼說:“技術(shù)日新月異,人類生活方式正在快速轉(zhuǎn)變�����,這一切給人類歷史帶來了一系列不可思議的奇點(diǎn)�。我們?cè)?jīng)熟悉的一切,都開始變得陌生��。”
較馮·諾依曼所處的時(shí)代�����,DT時(shí)代的“轉(zhuǎn)變”仍在繼續(xù)加快�����,而解讀這種轉(zhuǎn)變就必須從數(shù)據(jù)入手。數(shù)據(jù)本身是中性的����,但是因?yàn)橛胁煌牧α浚驹诓煌牧?,以不同的方式來使用?shù)據(jù),數(shù)據(jù)就有了一體兩面性��。“它既可以拿來做好事����,也可以拿來做壞事。和人性一樣���,數(shù)據(jù)是非常復(fù)雜的�。”齊向東說���。
齊向東認(rèn)為���,數(shù)據(jù)的復(fù)雜性決定了DT時(shí)代安全的復(fù)雜性�,具體可總結(jié)為三個(gè)顯著特征:
其一�,企業(yè)經(jīng)營者的安全責(zé)任變成無限責(zé)任����。只要用戶的數(shù)據(jù)還存在,企業(yè)的責(zé)任就不會(huì)終結(jié)�����。保護(hù)每一個(gè)復(fù)雜交易的數(shù)據(jù)安全�����,成為貫穿企業(yè)經(jīng)營的生命線����,成為企業(yè)經(jīng)營者的無限責(zé)任。
其二�,企業(yè)經(jīng)營活動(dòng)變成國家網(wǎng)絡(luò)安全的一部分。從《網(wǎng)絡(luò)安全審查辦法》到《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》再到《個(gè)人信息保護(hù)法》����,今年密集出臺(tái)的一系列法律法規(guī)都在強(qiáng)調(diào)企業(yè)涉數(shù)據(jù)活動(dòng)必須對(duì)國家、社會(huì)的承擔(dān)安全責(zé)任�。
其三,網(wǎng)絡(luò)攻擊變成破壞企業(yè)經(jīng)營的高頻事件���。
責(zé)任無界化���、安全一體化����、攻擊常態(tài)化����,對(duì)于這種新特征給安全帶來的壓迫感,參會(huì)的國內(nèi)外專家也感同身受�。
可以預(yù)見的是,在未來相當(dāng)長一段時(shí)間����,安全系統(tǒng)和經(jīng)營活動(dòng)面臨的復(fù)雜挑戰(zhàn)還將不斷升級(jí)。“想要安全經(jīng)營��,就要學(xué)會(huì)在經(jīng)營中與這種復(fù)雜性打交道�����。只有用心地經(jīng)營你的安全系統(tǒng)��,才能保障你的經(jīng)營活動(dòng)安全運(yùn)轉(zhuǎn)。這是未來生存和發(fā)展的關(guān)鍵��,也是我們提出‘經(jīng)營安全���,安全經(jīng)營’的現(xiàn)實(shí)依據(jù)和邏輯起點(diǎn)。”齊向東說��。
“經(jīng)營安全”���,是對(duì)網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控
在齊向東提出“經(jīng)營安全”之前�����,很少有人把這兩個(gè)詞這樣排列在一起�。即便有���,“經(jīng)營”也只是作為定語或名詞去修飾“安全”����,“經(jīng)營安全”和“交通安全”“教育安全”一樣����,是諸多“安全”類別中的一種。
而DT語境下的“經(jīng)營安全”,“經(jīng)營”是謂語�����、是動(dòng)詞�,是對(duì)安全的籌劃和管理。“經(jīng)營安全”不再是靜態(tài)概念��,而是一種動(dòng)態(tài)思維��,是對(duì)網(wǎng)絡(luò)安全的提前預(yù)判���、主動(dòng)介入�����、動(dòng)態(tài)掌控����,通過“經(jīng)營”讓安全能力“動(dòng)”起來���,在不斷循環(huán)升級(jí)的過程中破解復(fù)雜難題���。
“經(jīng)營”的“定”“謂”之變、“靜”“動(dòng)”之變,折射出齊向東等網(wǎng)絡(luò)安全界人士對(duì)DT時(shí)代網(wǎng)安規(guī)律的反思��。在IT時(shí)代��,人們認(rèn)為網(wǎng)絡(luò)安全建設(shè)是一個(gè)簡單活兒�,IT系統(tǒng)的部署場景是固定的,解決安全問題的方法是隔離����;在DT時(shí)代���,網(wǎng)絡(luò)安全解決的是生產(chǎn)力問題���,是數(shù)據(jù)的生產(chǎn)、使用和交易問題����。靠安裝簡單的安全產(chǎn)品或者某種“銀彈”����,防住一切網(wǎng)絡(luò)攻擊是不可能的,安全變成了一個(gè)復(fù)雜過程���。
當(dāng)然��,“經(jīng)營安全”并不像字面順序調(diào)整這般簡單��,像所有新理念付諸實(shí)踐一樣����,它也需要前提條件。齊向東認(rèn)為第一個(gè)條件應(yīng)該是要有與時(shí)俱進(jìn)的目標(biāo)����。“在未來相當(dāng)長一個(gè)歷史時(shí)期,新技術(shù)���、新應(yīng)用�、新場景不斷涌現(xiàn)�。因?yàn)樾虑覐?fù)雜,注定安全系統(tǒng)要不斷完善�����,所以需要為安全能力設(shè)定一個(gè)能夠因勢而動(dòng)����、因時(shí)而變�、與日俱增的目標(biāo)�����。”
實(shí)現(xiàn)目標(biāo)必須有相對(duì)應(yīng)的付出�����,這成為“經(jīng)營安全”的第二個(gè)條件����,即持續(xù)全面的投入��。“DT時(shí)代���,網(wǎng)絡(luò)安全成了‘一失萬無’的事�,這意味著必須對(duì)安全有足夠的資源投入才能確保‘萬無一失’��。”實(shí)際上�����,在這方面國家已經(jīng)有了明確要求�,工信部在《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃(征求意見稿)》中提出����,到2023年重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入的比例要達(dá)到10%���。
“經(jīng)營安全”的第三個(gè)前提條件是專業(yè)高效的安全運(yùn)營服務(wù)����。DT時(shí)代安全邊界消失�����,連接網(wǎng)絡(luò)的終端泛化���,使攻防對(duì)抗變得異常復(fù)雜���,單靠政企機(jī)構(gòu)自己單一的力量無法抵御這種復(fù)雜攻擊,這就需要借助專業(yè)的安全公司來運(yùn)營����。
動(dòng)態(tài)掌控網(wǎng)絡(luò)安全,需要提升三種能力
今年3月�,“十四五”規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要正式發(fā)布,“全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)”被寫入文件�,網(wǎng)絡(luò)安全進(jìn)入到戰(zhàn)略總體布局����、各方協(xié)同聯(lián)動(dòng)��、全方位實(shí)質(zhì)性落地推進(jìn)的新時(shí)期���。
齊向東認(rèn)為��,做好新時(shí)期的網(wǎng)絡(luò)安全工作���,需要改變發(fā)展思維和發(fā)展模式,“經(jīng)營安全”應(yīng)成為政企機(jī)構(gòu)的自覺行動(dòng)�����。只有“經(jīng)營安全”���,才能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控,而要實(shí)現(xiàn)動(dòng)態(tài)掌控����,必須進(jìn)一步提升三種能力。
一是全面提升認(rèn)知能力����。態(tài)勢感知是建立認(rèn)知能力的核心�。目前���,態(tài)勢感知主要分為三種:監(jiān)管機(jī)構(gòu)的監(jiān)管類態(tài)勢感知����、企業(yè)內(nèi)網(wǎng)的運(yùn)營類態(tài)勢感知��、用于實(shí)戰(zhàn)演練的攻防類態(tài)勢感知��。這三類感知各有所長�,也各有不足。齊向東認(rèn)為��,只有將這三類態(tài)勢感知有機(jī)協(xié)同在一起���,形成實(shí)戰(zhàn)化態(tài)勢感知���,才能全面提升認(rèn)知能力。為此�,需要構(gòu)建統(tǒng)一的計(jì)算平臺(tái)、標(biāo)準(zhǔn)和運(yùn)營系統(tǒng)���,為提升認(rèn)知能力提供有力支撐�����。
二是全面提升安全能力���。以前�����,人們把安全市場分為產(chǎn)品市場和服務(wù)市場�����,產(chǎn)品和服務(wù)是兩回事����。而在DT時(shí)代�����,產(chǎn)品和服務(wù)必須融合���,要把產(chǎn)品變成一種能力�,把能力變成一種資源����,并用服務(wù)的方式使用資源。換句話說���,就是要通過安全硬件產(chǎn)品的軟件化實(shí)現(xiàn)安全產(chǎn)品的能力化���,通過數(shù)據(jù)采集、治理�����、存儲(chǔ)�����、分析���、使用��、API服務(wù)的標(biāo)準(zhǔn)化實(shí)現(xiàn)安全產(chǎn)品的資源化�����,在此基礎(chǔ)上���,把安全能力以資源服務(wù)形式嵌入到需要的每個(gè)角落�。
三是全面提升授信能力���。在傳統(tǒng)認(rèn)證體系里��,授信相對(duì)粗放的�����,一個(gè)主體可以訪問多個(gè)客體�����,一個(gè)客體也可以允許多個(gè)主體訪問�����。這種方法有很多漏洞����,被黑客廣泛利用進(jìn)行攻擊��。DT時(shí)代不再絕對(duì)信任任何一個(gè)主體��,而是要給每個(gè)主體�、每個(gè)客體附加很多屬性,以“權(quán)限最小化”原則進(jìn)行授信���,并且對(duì)授信持續(xù)進(jìn)行動(dòng)態(tài)評(píng)估��。
“總結(jié)起來��,DT時(shí)代的網(wǎng)絡(luò)安全是一件復(fù)雜的事���,只有經(jīng)營安全,才能實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控��,而動(dòng)態(tài)掌控力的提升有賴于三種能力:認(rèn)知能力��、安全能力和授信能力�����。只要我們攜起手來����,共同經(jīng)營好網(wǎng)絡(luò)安全防線���,就一定能迎來一個(gè)更富競爭力、萬物生長的數(shù)字中國�。”齊向東說。
