DT(數據技術)時代,網絡安全價值觀應該是什么��?
“經營安全�����,安全經營����。”
在8月26日舉行的2021年北京網絡安全大會上�,奇安信集團董事長齊向東給出了8個字的答案��。這個思辨色彩很濃的回答似乎少了些許“技術含量”�����,但卻引起了國內外網絡安全專家的強烈共鳴。
的確�,當互聯網所產生的數據量呈現指數級增長���,當數據與土地�、勞動力��、資本����、技術并列成為五大生產要素之一�,當數據驅動經濟社會出現層出不窮的新形態,網絡安全已經從“配套角色”變身為“底板工程”��,成為數字化發展的前置條件���。深刻變革之下�,只有筑牢這個“新底板”,安全經營才有可能實現����。
DT時代��,安全責任已無“時空邊界”
半個多世紀前����,現代計算機之父馮·諾依曼說:“技術日新月異�,人類生活方式正在快速轉變,這一切給人類歷史帶來了一系列不可思議的奇點��。我們曾經熟悉的一切�,都開始變得陌生�。”
較馮·諾依曼所處的時代,DT時代的“轉變”仍在繼續加快�����,而解讀這種轉變就必須從數據入手�����。數據本身是中性的�����,但是因為有不同的力量,站在不同的立場����,以不同的方式來使用數據�,數據就有了一體兩面性����。“它既可以拿來做好事,也可以拿來做壞事���。和人性一樣,數據是非常復雜的���。”齊向東說。
齊向東認為����,數據的復雜性決定了DT時代安全的復雜性�����,具體可總結為三個顯著特征:
其一���,企業經營者的安全責任變成無限責任����。只要用戶的數據還存在,企業的責任就不會終結。保護每一個復雜交易的數據安全,成為貫穿企業經營的生命線,成為企業經營者的無限責任�����。
其二����,企業經營活動變成國家網絡安全的一部分。從《網絡安全審查辦法》到《關鍵信息基礎設施安全保護條例》再到《個人信息保護法》,今年密集出臺的一系列法律法規都在強調企業涉數據活動必須對國家����、社會的承擔安全責任�。
其三�����,網絡攻擊變成破壞企業經營的高頻事件���。
責任無界化����、安全一體化��、攻擊常態化�,對于這種新特征給安全帶來的壓迫感���,參會的國內外專家也感同身受��。
可以預見的是�����,在未來相當長一段時間,安全系統和經營活動面臨的復雜挑戰還將不斷升級。“想要安全經營,就要學會在經營中與這種復雜性打交道����。只有用心地經營你的安全系統���,才能保障你的經營活動安全運轉��。這是未來生存和發展的關鍵,也是我們提出‘經營安全,安全經營’的現實依據和邏輯起點�����。”齊向東說��。
“經營安全”���,是對網絡安全的動態掌控
在齊向東提出“經營安全”之前����,很少有人把這兩個詞這樣排列在一起�����。即便有�,“經營”也只是作為定語或名詞去修飾“安全”�,“經營安全”和“交通安全”“教育安全”一樣,是諸多“安全”類別中的一種。
而DT語境下的“經營安全”����,“經營”是謂語、是動詞�����,是對安全的籌劃和管理�����。“經營安全”不再是靜態概念���,而是一種動態思維����,是對網絡安全的提前預判��、主動介入�、動態掌控��,通過“經營”讓安全能力“動”起來�,在不斷循環升級的過程中破解復雜難題��。
“經營”的“定”“謂”之變�����、“靜”“動”之變,折射出齊向東等網絡安全界人士對DT時代網安規律的反思��。在IT時代��,人們認為網絡安全建設是一個簡單活兒�����,IT系統的部署場景是固定的����,解決安全問題的方法是隔離��;在DT時代,網絡安全解決的是生產力問題����,是數據的生產���、使用和交易問題�?�?堪惭b簡單的安全產品或者某種“銀彈”��,防住一切網絡攻擊是不可能的,安全變成了一個復雜過程�。
當然�����,“經營安全”并不像字面順序調整這般簡單,像所有新理念付諸實踐一樣����,它也需要前提條件����。齊向東認為第一個條件應該是要有與時俱進的目標���。“在未來相當長一個歷史時期����,新技術�����、新應用���、新場景不斷涌現����。因為新且復雜����,注定安全系統要不斷完善,所以需要為安全能力設定一個能夠因勢而動、因時而變、與日俱增的目標。”
實現目標必須有相對應的付出,這成為“經營安全”的第二個條件,即持續全面的投入。“DT時代�,網絡安全成了‘一失萬無’的事�����,這意味著必須對安全有足夠的資源投入才能確保‘萬無一失’。”實際上,在這方面國家已經有了明確要求�����,工信部在《網絡安全產業高質量發展三年行動計劃(征求意見稿)》中提出�,到2023年重點行業網絡安全投入占信息化投入的比例要達到10%。
“經營安全”的第三個前提條件是專業高效的安全運營服務。DT時代安全邊界消失�,連接網絡的終端泛化���,使攻防對抗變得異常復雜�����,單靠政企機構自己單一的力量無法抵御這種復雜攻擊�,這就需要借助專業的安全公司來運營。
動態掌控網絡安全����,需要提升三種能力
今年3月�����,“十四五”規劃和2035年遠景目標綱要正式發布,“全面加強網絡安全保障體系和能力建設”被寫入文件�����,網絡安全進入到戰略總體布局、各方協同聯動��、全方位實質性落地推進的新時期�。
齊向東認為,做好新時期的網絡安全工作����,需要改變發展思維和發展模式��,“經營安全”應成為政企機構的自覺行動。只有“經營安全”,才能實現對網絡安全的動態掌控����,而要實現動態掌控����,必須進一步提升三種能力���。
一是全面提升認知能力�。態勢感知是建立認知能力的核心。目前,態勢感知主要分為三種:監管機構的監管類態勢感知�����、企業內網的運營類態勢感知�����、用于實戰演練的攻防類態勢感知。這三類感知各有所長����,也各有不足�。齊向東認為�����,只有將這三類態勢感知有機協同在一起����,形成實戰化態勢感知��,才能全面提升認知能力�����。為此,需要構建統一的計算平臺�����、標準和運營系統�,為提升認知能力提供有力支撐。
二是全面提升安全能力���。以前,人們把安全市場分為產品市場和服務市場��,產品和服務是兩回事����。而在DT時代�,產品和服務必須融合,要把產品變成一種能力,把能力變成一種資源,并用服務的方式使用資源��。換句話說��,就是要通過安全硬件產品的軟件化實現安全產品的能力化�����,通過數據采集、治理���、存儲、分析����、使用�����、API服務的標準化實現安全產品的資源化���,在此基礎上��,把安全能力以資源服務形式嵌入到需要的每個角落。
三是全面提升授信能力�。在傳統認證體系里����,授信相對粗放的�,一個主體可以訪問多個客體,一個客體也可以允許多個主體訪問�����。這種方法有很多漏洞��,被黑客廣泛利用進行攻擊。DT時代不再絕對信任任何一個主體,而是要給每個主體、每個客體附加很多屬性,以“權限最小化”原則進行授信��,并且對授信持續進行動態評估�。
“總結起來,DT時代的網絡安全是一件復雜的事��,只有經營安全��,才能實現對網絡安全的動態掌控����,而動態掌控力的提升有賴于三種能力:認知能力��、安全能力和授信能力���。只要我們攜起手來����,共同經營好網絡安全防線����,就一定能迎來一個更富競爭力、萬物生長的數字中國。”齊向東說�。
