◎奇安信集團(tuán)副總裁 韓永剛

韓永剛副總裁

一、數(shù)字化轉(zhuǎn)型和“十四五”發(fā)展需要筑牢網(wǎng)絡(luò)安全底板

（一）戰(zhàn)略驅(qū)動：“十四五”規(guī)劃中的數(shù)字化與網(wǎng)絡(luò)安全

首先，從戰(zhàn)略驅(qū)動的角度看，國家市場規(guī)劃的2035年目標(biāo)里數(shù)字化占了非常大的比重，在第3章的現(xiàn)代化產(chǎn)業(yè)體系中，現(xiàn)代化治理和國家安全部分，數(shù)字化都是非常核心的驅(qū)動力，不論是在數(shù)字經(jīng)濟(jì)、數(shù)字社會，還是在數(shù)字政府，數(shù)字化都將起到非常關(guān)鍵的作用。

對于網(wǎng)絡(luò)安全而言一個(gè)經(jīng)典的表述就是“全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)”，其中“體系”和“能力”是兩個(gè)關(guān)鍵詞。在“十四五”期間，若無法體系化地將整個(gè)網(wǎng)絡(luò)安全的底板能力構(gòu)建起來，則會對后續(xù)智慧數(shù)字化發(fā)展，包括智慧民航造成巨大影響。數(shù)字化最大的作用之一就是把將傳統(tǒng)的行業(yè)能力用數(shù)字化的方式進(jìn)行新的賦能，越來越多的核心業(yè)務(wù)運(yùn)轉(zhuǎn)是建立在數(shù)字化平臺之上的。若此時(shí)網(wǎng)絡(luò)安全再出現(xiàn)問題，可以說將不僅是經(jīng)濟(jì)損失，而有可能直接影響核心業(yè)務(wù)的運(yùn)行。因此，動態(tài)綜合的網(wǎng)絡(luò)安全防控體系是非常必要的。

（二）合規(guī)驅(qū)動：法律法規(guī)、實(shí)戰(zhàn)演習(xí)

從2017年一直到今年，各種配套的法律、法規(guī)、條例都在不斷地出臺。最近熱議的2020年、2021年的《數(shù)據(jù)安全法》（草案）、《個(gè)人信息保護(hù)法》（草案）都在審議，當(dāng)前已經(jīng)通過人大表決，進(jìn)行正式公布。同樣，《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)指導(dǎo)意見》也在審議過程中?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)指導(dǎo)意見》的出臺將對眾多關(guān)基單位產(chǎn)生深遠(yuǎn)的影響。同時(shí)從2016年到2021年國家層面實(shí)戰(zhàn)化攻防演習(xí)也在持續(xù)進(jìn)行。

（三）業(yè)務(wù)驅(qū)動：智慧民航

第三個(gè)層面是核心業(yè)務(wù)的驅(qū)動，民航業(yè)的智慧應(yīng)用會構(gòu)成越來越完整的智慧民航藍(lán)圖，民航出行一張臉、物流一張單、通關(guān)一次檢等都關(guān)聯(lián)著數(shù)字感知、數(shù)據(jù)決策、精益管理。就以機(jī)場來說，這個(gè)過程就是大量的感知網(wǎng)絡(luò)、工業(yè)控制網(wǎng)絡(luò)、數(shù)據(jù)、云計(jì)算，為很多應(yīng)用的拉通、網(wǎng)的拉通、數(shù)據(jù)的拉通、應(yīng)用的拉通來提供服務(wù)，例如空管做的“十四五”規(guī)劃，就是把空管隔離的專網(wǎng)進(jìn)行打通，將海量數(shù)據(jù)打通，從而為航司和機(jī)場提供更便捷的智慧化服務(wù)。因此，可以說數(shù)字化是將曾經(jīng)很多僅僅是在機(jī)關(guān)或總部用到的一些信息化能力廣泛推到一線員工，甚至是消費(fèi)者，極大地把數(shù)字化能力推到了廣泛的范疇，因此安全問題尤為重要。

（四）現(xiàn)實(shí)挑戰(zhàn)：從美國輸油管道運(yùn)營商被勒索事件看數(shù)字化新挑戰(zhàn)

美國石油管道泄露遭黑客攻擊的事件眾所周知，其遭到勒索真正的原因就是為了勒索錢財(cái)?？梢哉f一個(gè)經(jīng)濟(jì)犯罪就以國家關(guān)鍵基礎(chǔ)設(shè)施產(chǎn)生如此巨大的影響，這種勒索手法已經(jīng)開始非常普遍、便捷，越來越工具化和服務(wù)化。同時(shí)，這些攻擊的工具、資源都已經(jīng)成為一種服務(wù)用來斂財(cái)，讓別的組織也可以利用該手段去實(shí)施犯罪。

（五）從美國勒索事件看關(guān)基保護(hù)的建議：體系化與常態(tài)化

該事件發(fā)生后，美國負(fù)責(zé)安全的CSA和FBI給出了聯(lián)合的防御建議，提醒各大機(jī)構(gòu)注意調(diào)整自己的security posture，即防御姿態(tài)，減少對外的暴露面。在眾多意見中，可以看到幾類有對基礎(chǔ)結(jié)構(gòu)安全的建議，例如對終端保護(hù)的建議，對網(wǎng)絡(luò)層的終身防御建議，要對身份要求進(jìn)行多因素加強(qiáng)，對身份不必要訪問進(jìn)行攔截，同時(shí)也有對應(yīng)用安全方面的積極防御意見，以及對工業(yè)控制系統(tǒng)的意見。綜上所述，當(dāng)我們面臨這類問題時(shí)，單點(diǎn)的防御能力已不足以解決問題。我們需要用體系化、常態(tài)化、全局性的視角來解決安全問題。

（六）從Solarwinds金鏈熊供應(yīng)鏈攻擊看對手的攻擊能力

最近，高深技術(shù)手段攻擊中，非常具有代表性的就是金鏈熊，其中涉及一個(gè)軟件叫做Solarwinds，該軟件在網(wǎng)絡(luò)管理方面非常普遍，以至于美國有200多家政府機(jī)構(gòu)的很多關(guān)鍵部門都應(yīng)用該軟件來進(jìn)行IT網(wǎng)絡(luò)維護(hù)。

攻擊者恰恰攻擊了這個(gè)軟件，對它的源代碼進(jìn)行污染，并在打包過程中將控制的惡意軟件打進(jìn)去。因此在政府機(jī)構(gòu)進(jìn)行軟件版本升級時(shí)，升級到攻擊者可遠(yuǎn)程控制的版本，從而進(jìn)行數(shù)據(jù)竊取，該過程經(jīng)過4次版本的更迭仍沒有被察覺。

該事件讓我們認(rèn)識到當(dāng)數(shù)字化和智慧化完全去打通時(shí)，我們不再是孤立的，還有非常多IT供應(yīng)商、軟件供應(yīng)商、服務(wù)供應(yīng)商等，其安全問題已經(jīng)不僅是自己的安全問題?？梢园l(fā)現(xiàn)整個(gè)鏈條非常長，涉及開發(fā)、打包、發(fā)布和升級等非常多環(huán)節(jié)。

（七）我國網(wǎng)絡(luò)安全面臨的六大風(fēng)險(xiǎn)

從上面兩個(gè)例子可以意識到，現(xiàn)在所面臨的風(fēng)險(xiǎn)問題在數(shù)字化時(shí)代已經(jīng)發(fā)生了巨大變化，如同上述勒索技術(shù)的越來越普遍、頻率越來越高、供應(yīng)鏈攻擊和APT高級風(fēng)險(xiǎn)等問題，由于我們的數(shù)據(jù)和我們的系統(tǒng)價(jià)值越來越高，因此出現(xiàn)的不一定是由于外部攻擊，而是內(nèi)部威脅的問題，內(nèi)部人員對數(shù)據(jù)的濫用、誤用、盜用等也可能產(chǎn)生很大的威脅。

（八）攻防演練 十大薄弱環(huán)節(jié)

從2016年到2021年，我們在進(jìn)行實(shí)戰(zhàn)化的攻防演練過程中，發(fā)現(xiàn)每年攻擊手段都在不斷地提升，防御體系能力也在相應(yīng)提升，但依然會出現(xiàn)很多安全問題。在今年剛剛結(jié)束的2021年攻防實(shí)戰(zhàn)化的攻防演練過程中，我們總結(jié)了10個(gè)非常關(guān)鍵的安全問題。

二、以內(nèi)生安全框架為指引，構(gòu)建新一代網(wǎng)絡(luò)安全保障體系

在新數(shù)字化轉(zhuǎn)型深入的過程中，要考慮新網(wǎng)絡(luò)安全體系的建設(shè)，如同國家“十四五”規(guī)劃里提到的，構(gòu)建網(wǎng)絡(luò)安全的保障體系，實(shí)際上就是面向能力化的體系建設(shè)。奇安信集團(tuán)已經(jīng)在過去的兩年時(shí)間里，把很多安全的技術(shù)思路整合成內(nèi)生安全的理念，并配套對應(yīng)框架指引工程落地，思考如何去幫助各行各業(yè)構(gòu)建新的網(wǎng)絡(luò)安全體系。

（一）實(shí)現(xiàn)內(nèi)生安全的方法是采用內(nèi)生安全框架指引網(wǎng)絡(luò)安全體系化建設(shè)

曾經(jīng)解決安全問題所采用的是逆向攻防思維，但是現(xiàn)在以正向的業(yè)務(wù)信息化和系統(tǒng)工程方法去考慮問題，在安全行業(yè)里屬于首家。所謂的內(nèi)生安全是把安全能力和信息化環(huán)境進(jìn)行充分的融合內(nèi)生，對數(shù)字化環(huán)境和過程進(jìn)行深度融合和全面覆蓋。在最終構(gòu)建面向能力的體系后，充分考慮工程化落地，用市面上能采購到的技術(shù)、產(chǎn)品、服務(wù)來構(gòu)建整體能力體系，同時(shí)我們也輸出“十大工程五大任務(wù)”來指導(dǎo)建設(shè)。

（二）對抗威脅需要面向能力體系的安全建設(shè)

當(dāng)前將這個(gè)復(fù)雜的工具方法框架的指引轉(zhuǎn)化成了幾個(gè)關(guān)鍵點(diǎn)，比如“盤家底”，所“盤的家底”不是資產(chǎn)價(jià)值，而是政企環(huán)境到底需要什么樣的網(wǎng)絡(luò)安全能力，在過去的“十二五”“十三五”已經(jīng)采購大量設(shè)備，很多建設(shè)仍在進(jìn)行，我們要將已經(jīng)采購的設(shè)備用起來，將能力建立起來，再看我們?nèi)笔裁矗€要做什么樣的演進(jìn)。第二個(gè)是構(gòu)建系統(tǒng)，用系統(tǒng)工程的方法從全局化和信息化結(jié)合的角度擴(kuò)建系統(tǒng)。第三個(gè)是運(yùn)行，不是安全孤立地運(yùn)行，而是網(wǎng)絡(luò)安全的運(yùn)行和數(shù)字化的IT運(yùn)維，及應(yīng)用開發(fā)的兩大過程去進(jìn)行充分結(jié)合。通過盤家底、建系統(tǒng)、抓運(yùn)行的過程，就能夠把內(nèi)核安全思路去進(jìn)行實(shí)現(xiàn)落地。

此外，網(wǎng)絡(luò)安全的能力應(yīng)該是怎樣的？通過滑動標(biāo)尺的迭代演進(jìn)來看，其中涉及了基礎(chǔ)結(jié)構(gòu)安全問題、縱深防御問題，開始感知和積極防御問題、威脅情報(bào)問題是在不斷的疊加中演進(jìn)。我們只有在多個(gè)層面把整個(gè)防御水平提升上來，才可能形成完整的體系化能力構(gòu)建。

另外，防御上要考慮陣地守得好不好、陣地構(gòu)建得完不完整，這時(shí)就要關(guān)注防御姿態(tài)，比如在縱深防御上各類安全技術(shù)產(chǎn)品其策略調(diào)整得好不好，是不是構(gòu)成了堅(jiān)實(shí)有效陣地。在積極防御的方面，所謂的防御姿態(tài)是我們對于威脅及時(shí)發(fā)現(xiàn)、響應(yīng)、處置時(shí)效性的能力。在威脅情報(bào)方面，要考慮威脅情報(bào)是不是覆蓋完整、時(shí)效性如何、可執(zhí)行水平如何，只有當(dāng)我們將整體構(gòu)建好后，才具有完整的安全防御管控能力，才可能真正有效的去發(fā)揮作用。

（三）“十大工程、五大任務(wù)”項(xiàng)目綱要庫

從安全視角來看，工程建設(shè)真正的落地需要和信息化的物理層、虛擬化系統(tǒng)、虛擬網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)等各個(gè)層面進(jìn)行結(jié)合。因此“十大工程五大任務(wù)”建設(shè)綱要庫中，若將工程后面的“安全”兩字去掉，就是信息化建設(shè)，包括身份、網(wǎng)絡(luò)、終端、辦公介入、面向云的數(shù)據(jù)中心、大數(shù)據(jù)的應(yīng)用流轉(zhuǎn)，以及工業(yè)生產(chǎn)和內(nèi)部威脅等。這也體現(xiàn)了我們的安全能力應(yīng)該和整個(gè)數(shù)字化環(huán)境進(jìn)行深度的融合，是一個(gè)全面覆蓋的過程。

從上述所提到的我們使用系統(tǒng)工程的方法來看，當(dāng)我們用系統(tǒng)工程視角去看各個(gè)部分，各要素之間是相互依賴的，即是一個(gè)復(fù)雜巨系統(tǒng)，只有當(dāng)依賴關(guān)系和相互關(guān)聯(lián)共同發(fā)揮作用時(shí)，它才能達(dá)到比較完整的效果。比如上述所提到的面向資產(chǎn)、配置、漏洞、補(bǔ)丁的系統(tǒng)，就是解決所謂勒索最有效的問題，因?yàn)檫@些勒索往往都利用很多已知的漏洞，但我們難以在資產(chǎn)查清，將漏洞補(bǔ)全，其原因就在于資產(chǎn)管理的關(guān)系都是割裂的，其本質(zhì)具有非常強(qiáng)的相互關(guān)系，需要通過數(shù)據(jù)驅(qū)動和IT大運(yùn)維及其他區(qū)域發(fā)生紐帶結(jié)合，去解決這個(gè)問題。

例如我們希望資產(chǎn)價(jià)值清晰，關(guān)鍵系統(tǒng)漏洞要應(yīng)補(bǔ)盡補(bǔ)，在進(jìn)行運(yùn)維過程中，用數(shù)據(jù)驅(qū)動的方法、用大數(shù)據(jù)的方法將資產(chǎn)盤清，讓資產(chǎn)、漏洞、配置、補(bǔ)丁之間兩兩產(chǎn)生關(guān)聯(lián)。通過系統(tǒng)工程來看，其工作過程發(fā)生了三層變化，第一層是與安全相關(guān)的工作，而且是很多后臺工作，比如漏洞情報(bào)、補(bǔ)丁測試等；最底下一層是IT的信息化，有IT的管理系統(tǒng)、服務(wù)器運(yùn)維，網(wǎng)絡(luò)運(yùn)維等；中間層是數(shù)據(jù)的匯集。

希望通過這種數(shù)據(jù)驅(qū)動的方法，將安全的運(yùn)行和IT的運(yùn)行結(jié)果，用大數(shù)據(jù)方法打通資產(chǎn)配置、漏洞補(bǔ)丁之間的基礎(chǔ)流程，讓安全和IT的大運(yùn)維環(huán)環(huán)相扣地融合起來。

（四）《數(shù)據(jù)安全法》通過表決的意義

《數(shù)據(jù)安全法》近日通過了對應(yīng)表決，它對于政企、航空、關(guān)鍵信息基礎(chǔ)設(shè)施意味著什么？我抽取了以下幾個(gè)方面：首先，從戰(zhàn)略上上升到了總體國家安全觀，但同時(shí)也存在運(yùn)行空間，還要利用數(shù)據(jù)的驅(qū)動力將數(shù)字化經(jīng)濟(jì)持續(xù)發(fā)展，在統(tǒng)籌安全和發(fā)展之間達(dá)到平衡；其次，它明確了組織和責(zé)任，尤其在數(shù)據(jù)流轉(zhuǎn)過程中，強(qiáng)調(diào)了政府、企業(yè)、社會相關(guān)的部門對于數(shù)據(jù)安全的主體負(fù)責(zé)制，也提出了面向國家層面的政務(wù)體系所發(fā)揮的工作和作用。

其次在數(shù)據(jù)安全保護(hù)方面，具有數(shù)據(jù)分級分類的保護(hù)制度，包括完善數(shù)據(jù)安全保護(hù)體系、提升對應(yīng)數(shù)據(jù)安全的保護(hù)能力、提供重要數(shù)據(jù)的目錄，在等保的基礎(chǔ)之上建立這種全流程的數(shù)據(jù)安全管理制度等。我認(rèn)為整個(gè)過程要充分利用數(shù)據(jù)，解決跨部門如何使用數(shù)據(jù)、如何確權(quán)、如何確定安全策略的問題，開展真正的數(shù)據(jù)安全治理，而不僅僅是分級分類。數(shù)據(jù)安全治理是一個(gè)非常復(fù)雜的過程，要和很多原數(shù)據(jù)管理進(jìn)行結(jié)合，建立數(shù)據(jù)安全保護(hù)體系，其體系要考慮業(yè)務(wù)流轉(zhuǎn)、應(yīng)用流轉(zhuǎn)，而不僅是單點(diǎn)的保護(hù)。在這個(gè)過程中數(shù)據(jù)只有流轉(zhuǎn)起來，在不同媒介中留存流轉(zhuǎn)后才會產(chǎn)生價(jià)值，每一個(gè)流轉(zhuǎn)的控制點(diǎn)都要去考慮其安全問題。

第三，應(yīng)用新興技術(shù)，例如身份安全、零信任、數(shù)據(jù)敏感地圖、數(shù)據(jù)的可用不可見、數(shù)據(jù)交易沙箱等，來應(yīng)對大數(shù)據(jù)環(huán)境，將真正的數(shù)據(jù)安全能力體系建立起來。目前國內(nèi)各行各業(yè)在這方面仍沒有一個(gè)很好的構(gòu)建，當(dāng)前上位法出臺，很多條例也會接連落地，我們需要更新技術(shù)和思路。大數(shù)據(jù)的核心數(shù)據(jù)集中放在一個(gè)地方，其數(shù)據(jù)管理者、所有者、處理者可能都是不同人，這時(shí)數(shù)據(jù)的共享交換、數(shù)據(jù)的交易、開放的跨境流動等都會成為安全關(guān)注點(diǎn)。

另外，數(shù)據(jù)安全與其他領(lǐng)域安全的關(guān)系仍然是一個(gè)有機(jī)整體的關(guān)系，以一體化大數(shù)據(jù)中心為例，真正底層數(shù)據(jù)被治理、被匯、被用、被創(chuàng)新是有基礎(chǔ)的，數(shù)據(jù)網(wǎng)絡(luò)要通、數(shù)據(jù)要存、要傳，要進(jìn)行一系列治理過程。網(wǎng)絡(luò)安全解決的事項(xiàng)一定要通過一個(gè)更為完整全局的視角去考慮對應(yīng)，但其核心問題仍是上述的業(yè)務(wù)流轉(zhuǎn)利潤數(shù)據(jù)安全的控制。

最后，在應(yīng)用安全中的軟件供應(yīng)鏈方面，軟件供應(yīng)鏈存在整體供應(yīng)鏈的管理，面對越來越多的數(shù)字化系統(tǒng)，供應(yīng)鏈的應(yīng)用開發(fā)也越來越重要，基于以上原因，我們初步梳理了像軟件空間的測繪能力、代碼的安全控制能力、感知和自主測試能力、業(yè)務(wù)流程管理能力等面對這新課題所需要具備的能力。

（五）軟件供應(yīng)鏈安全四大能力

當(dāng)前我們在空管、機(jī)場等方面都在做諸多的體系化網(wǎng)絡(luò)模式建設(shè)，我們給出以下建議：結(jié)合數(shù)字化業(yè)務(wù)，從全局視角去規(guī)劃和設(shè)計(jì)所需的網(wǎng)絡(luò)安全體系和能力體系；加強(qiáng)基礎(chǔ)結(jié)構(gòu)系統(tǒng)安全的建設(shè)；將零信任和縱深防御相結(jié)合，用新技術(shù)為原來的縱深防御賦予新的架構(gòu)和技術(shù)的提升；核心的業(yè)務(wù)系統(tǒng)，尤其是大數(shù)據(jù)進(jìn)行重點(diǎn)防護(hù)；關(guān)注到供應(yīng)鏈應(yīng)用系統(tǒng)開發(fā)；關(guān)注實(shí)戰(zhàn)化運(yùn)行，把網(wǎng)絡(luò)安全運(yùn)行、信息化運(yùn)維和運(yùn)營開發(fā)的大流程相結(jié)合；關(guān)注實(shí)戰(zhàn)化的演習(xí)，并用于改善我們的保護(hù)、監(jiān)測、發(fā)現(xiàn)響應(yīng)還有恢復(fù)的能力的體系。