一栋摩天大楼,从前期规划设计、建材选择,到施工建设,再到交付后的维护,若没有安全的考量,任何一个安全隐患都可能毁掉整个工程。当下正在大力推进的各种数字化建设同样如此。
在新基建浪潮之下,网络安全该如何护航数字化转型升级?即将在8月7日—16日举办的北京网络安全大会(BCS 2020),以“内生安全 从安全框架开始”为主题,探讨数字化时代各个行业、各种场景下的网络安全解决方案。
据悉,BCS 2020是“网安一哥”奇安信,在上市之后举办的首场网络安全盛会。
面对信息化和网络安全正在发生的深刻变化,在2019年的北京网络安全大会(BCS 2019)上,奇安信首次提出了“内生安全”理念,成为业界的广泛共识。今年3月,奇安信基于“内生安全”理念推出了新一代网络安全框架,已经开始在政企机构的数字化转型升级中发挥作用。如何理解内生安全必须要“从安全框架开始”?“从安全框架开始”对整个安全行业意味着什么?“从安全框架开始”的建设理念,会给信息化、数字化时代带来哪些深刻的变化?就这一系列问题,BCS 2020将给出什么样的答案,值得期待。
信息化正在产生革命性的转变
当前,以云计算、大数据、物联网、人工智能为代表的新一代信息技术蓬勃发展,给社会生产生活带来革命性的转变,信息技术已经深度融入人们日常生活之中,不仅创造出更加智能的生活方式,还从信息生产、交换、分配和消费方式变化引起了社会生产力的巨大提升,包括生产方式智能化、产业形态数字化、产业组织平台化等。
这种革命性的转变主要有三个特征:
一是,从“农业化”走向“工业化”。在生产方式上,信息系统的建设已经从自给自足的农业化生产,向规模化、标准化的工业化生产转变。农耕时代的生产,从耕作、播种、施肥、除草、收获主要是靠个体农户独立完成。同样,十年前建设一个信息化系统,需要业主从购置服务器、代码开发、网络搭建、组建运维团队等一切基础工作开始,这样的系统相对简单、封闭,安全隐患相对隔离,安全风险总体可控。
而随着云服务、开源软件等技术的不断发展,大量业务、数据开始上云,这大大缩减了信息化、数字化的进程。信息化建设不再需要从购置服务器开始,业主可以直接采购或者租用供应商的云主机、云存储和网络,并且实现云端的7×24小时运维。软件开发也不再需要从第一行代码起步,而是可以基于大量的开源软件,再进行定制化的二次开发,从而实现IT基础设施的一站式采购和业务应用的规模化部署。这就如同工业化时代的社会化大生产,从生产环境和生产设备的采购到商品的加工以及商品销售,均可通过产业链的协同合作实现。
但与此同时,信息化的开放协作就意味着风险的互联互通。政企机构在引入云服务和开源软件的同时,也引入了相应的安全漏洞和其他业务风险。一旦出现风险和漏洞,其影响范围往往较大,并且难以有效控制。譬如,谷歌Project Zero安全团队曝出的“熔断”和“幽灵”两大芯片漏洞,几乎可影响所有搭载英特尔和AMD处理器的电脑,导致重要数据泄露,并且漏洞的修复需要芯片厂商、虚拟化厂商等多方的共同协作;再例如以色列一公司将三个无密码的Amazon S3服务器暴露在互联网上,导致福特、Netflix等财富100强企业的数据被公开。
二是,从庭院化走向生态化。过去是各自独立、互不来往的庭院化,现在已走向互通互联网、共享共用的生态化。过去的信息化,注重的是核心业务流程的自动化以及核心数据的存储与管控,其本质是业务流程的优化与再造,大家“各扫门前雪”。譬如机构会利用会计电算化软件,来优化并加速财务数据处理流程,这个过程是相对封闭的。如今的数字化,需要以客户为中心,强调社会化商业,使企业内部各个单元能够实现信息互通、协作、共享,并实现产业链上下游之间的协作、数据的共享以及业务之间的协同,这是对企业运营模式的转变。这就需要所有的生态伙伴都参与进来,以开放合作的姿态达成数字化转型升级这一目标。
三是,从数据化走向数字化。过去是搜集、归类、存储为主的数据化,现在是开发、加工、利用为主的数字化。过去,数据通常是被作为静态资产存储在企业的内部的存储设备中,其主要作用是将企业的生产过程、物料移动、事务处理、现金流动、客户交易等业务过程,通过各种信息系统、简单加工生成新的信息资源,帮助员工清楚地了解业务动态,从而合理配置资源,做出最优决策。例如进销存软件把企业的进货情况、仓储物流情况以及商品销售情况清楚地展现出来。
但“数字化”则需要利用大量的计算资源,基于企业的业务逻辑框架,对海量数据进行反复的加工和计算,反过来再指导企业日常运行。在这个过程中,数据不再作为静态资产,而是一种新型的生产资料,会在企业内外部广泛流动,这就打破了过去的“数据孤岛”效应。数据的来源不再局限于企业内部的业务数据,还包括社交媒体等外部数据;计算的结果也再局限于企业内部使用,很多时候都在服务大众。当然消费者感受最深的可能还是精准营销,比如刚在电商网站上浏览某些商品,下一秒再浏览社交媒体或者其他网页时,就可能会收到这一类商品的广告。在这个过程中,数据不仅仅是跨部门、跨机构的流动,甚至还可能会出现跨境的流动。
网络安全的业务也在发生着深刻变革
在信息化时代,网络安全主要防止信息系统被破坏以及数据和资产被窃取;在数字化时代,网络安全目标是包含设施、数据、用户、操作在内整个网络空间的系统安全。而在这个过程中,随着数字化进程的加速推进,网络安全的业务也正在发生着深刻变革。
一是,网络安全从功能化走向工程化。此前,网络安全只是为信息系统的运行环节提供配套功能,类似于“守门员”。而如今,网络安全已转变为贯穿全信息系统的工程,不是单一的一个动作,一个防护产品,而是按照系统化、规范化的方式,贯穿信息化系统的规划、建设、运营。
二是,网络安全从碎片化走向系统化。过去在信息化时代,对于网络安全的认识是碎片化的,往往采用的是 “打补丁”的方法,出一个漏洞打一个补丁即可,或针对隔夜的威胁设计一个刻舟求剑的安全方案。过去的信息化建设相对封闭,因此网络安全建设并不用过多考虑全局。并且由于内外网边界分明,依靠防火墙、入侵检测、防病毒“老三件”就能够解决绝大多数网络安全问题。但新一代的信息基础设施已经云化和智能化,各个系统之间也逐渐实现了互联互通,数据在不同的系统之间广泛流动,因此网络安全建设必须从全局出发,具备系统化思维和系统化作业,增强整体免疫能力,才能有效避免“木桶效应”的发生,导致一失万无。
三是,网络安全从边缘化走向基础化。在过去信息化的时代,人们对于网络安全的观念有明显不足,认为网络安全建设与医生一样,只有在健康遇到挑战时,人们才能感到它的迫切,而平素在追求看得见的效率、效益之际,又难免以“重要非紧急”的冗余视之。就像许多人们在生活中为逞一时之快,想吃什么就吃什么,等到各种各样的疾病缠身才想起花钱看病,殊不知平时的科学饮食和强身健体才是最好的医生。而在数字化时代,当网络安全保护的对象发生了根本性的变化,从过去只保护信息化系统的安全,到现在流动数据的安全后,人们对于安全的需求,成了首位,网络安全建设应该成为一切数字化系统建设的基础,与数字化IT系统共生永续,并为IT系统提供安全服务,持续输出安全价值。
以能力为中心进行安全体系的规划、建设
奇安信集团董事长齐向东提出,“以前,网络安全是辅助性工程,但在新基建里是基础工程。新基建会进一步加快网络世界和物理世界的融合。这意味着两者的边界将基本消失,对网络的攻击就等于对物理世界的攻击,直接影响人民生活、社会稳定和国家安全。”
因此,网络安全必须从头布局,以能力为中心进行安全体系的规划、建设。
举个通俗的例子,安全就像建房子。数字化时代,安全不再是农村自建房,房屋已经变成了摩天大楼,从选址、勘探、设计、修建、装修、交付、甚至到使用后的日常检查,所有动作的考量,以及包括建筑方、设计方、政府监管部门、入驻方在内的所有涉事主体,都会首先看是否安全。这其中,既包括一钉一铆、一砖一瓦、每一个零部件都要是安全的,大楼地基、管道对接、电路架设,每一步都要是安全的,更需要大楼整体结构、架构、运行体系的安全。
这就是数字化时代的网络安全,它是数字化这座摩天大楼的基础工程,是这座摩天大楼价值存在的根基,是设计、修建、运营这座摩天大楼的第一标准,是数字时代下意识的条件反射。
这就要求网络安全必须为数字化、信息化持续输出安全能力,数字化、信息化到哪里,安全就应该到那里。数字化进程中的每一个主体,都应该站在安全上思考信息化、数字化,从过去视安全为可有可无的单一项目,转变为让安全成为数字化、信息化不可或缺的支撑体系。
而要实现这一目标,就必须从头开始规划建设网络安全。没有体系化、工程化思维的布局,就无法形成规模化效应,没有规模化效应,信息化、数字化依旧是碎片式的;如网络安全不能平台化,那么就意味着每一条数字化业务,都需要配置相应的安全设备、安全运维人员,造成信息系统各业务模块无法协同发展;而只有统一谋划、统一设计、统一建设,才能实现网络安全的规模效应、才能实现网络安全的平台操作。
这个指导理念,就是“内生安全”。
“网络安全已进化到内生安全时代。”去年BCS2019大会上,大会主席、奇安信集团董事长齐向东首次公开提出了“内生安全”的基本理念,认为需要通过“一个中心、五张滤网”,真正将安全融入网络、应用、数据和行为,与业务相结合,形成关口前移。这样的安全体系,通过信息化系统和安全系统的聚合,产生自适应安全能力;业务数据和安全数据的聚合,产生自主安全能力;IT人才和安全人才的聚合,产生自成长的安全能力。这其中,当信息化系统和安全系统升级换代,业务系统流程再造的时候,安全能力应该能动态提升。
内生安全,从安全框架开始
以“内生安全”指导信息化、数字化时代的网络安全建设,则必须从安全框架开始。
过去20年,国内外在信息化建设方面,有一套行之有效的框架与方法论,即采用以系统工程思想结合IT的EA(Enterprise Architecture)方法论,形成TOGAF框架(开放组织体系结构框架 The Open Group Architecture Framework),引导与推动了大规模、体系化、高效整合的信息化建设,很好地支撑了各行业的业务运营。
网络安全亦是如此。过去,一直采用的是“局部整改”为主的安全建设模式,致使网络安全体系化缺失、碎片化严重,网络安全防御能力与数字化业务运营的保障要求严重不相匹配。因此,当网络安全成为数字化时代的基础工程,就必须有一套行之有效的框架作为指导。
尤其是随着“十四五”期间数字化转型深入推进,政企机构网络安全形势将愈发严峻,网络安全能力不仅要达到监管要求,更需要面向实战,保障数字化业务,构建“关口前移,防患于未然”的网络安全管理体系。“关口前移”是对落实网络安全防护的方法提出的重要要求,而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求。
因此,政企机构应以“一体之两翼、驱动之双轮”作为其信息化和网络安全的战略定位,以“统一谋划”作为落实“四统一”的起点,在做好“关口前移”的基础上,进一步加强网络安全防护运行工作,将“局部整改”模式转变为体系化规划建设模式。
政企机构应以系统工程方法论来指导网络安全体系的规划、设计和建设工作,除了保护IT资产,还须关注人员、系统、数据以及运行支撑体系之间的交互关系,进行整体防护。面向叠加演进的基础结构安全、网络纵深防御、积极防御和威胁情报等能力,识别、设计构成网络安全防御体系的基础设施、平台、系统和工具集,并围绕可持续的实战化安全运行体系,以数据驱动方式进行整合,从而构建出动态综合的网络安全防御体系。
政企机构应避免“以偏概全”的传统模式,以全覆盖、层次化思路进行规划设计。以围绕网络的纵深防御体系为基础,进一步围绕数据确定防御重点,围绕人员开展实战化安全运行,规划建设动态综合的网络安全防御体系,使安全能力全面覆盖云、终端、服务器、通信链路、网络设备、安全设备、工控、人员等IT要素,避免局部盲区而导致的防御体系失效;还应将安全能力深度融入物理、网络、系统、应用、数据与用户等各个层次,确保安全能力能在IT的各层次有效集成。随着威胁向“有组织攻击”发展,政企机构应以可量化的方式识别能力上限和底线,打破“紧平衡”建设方式来规划、设计和建设网络安全体系。
同时,借鉴2020年初抗“疫情”战役的经验教训,要充分考虑随时可能突发的网络安全威胁升级情况,须本着“宁可备而不用、备而少用,不可用而不备”的原则,在建设中预置可扩展的能力,在运行中预留出必要的应急资源,确保在面对网络空间重大不确定性风险时数字化运营不会受到重大影响。
这看似难以理解的方法论,总结为一句话便是:秉承内生安全的理念,通过新一代网络安全框架,建立数字化环境内部无处不在的“免疫力”,以“三同步”原则,推进安全和信息化的“全面覆盖、深度融合”,从而实现全方位的网络安全防御能力体系,保障数字化业务安全。
新一代网络安全框架,是“网安一哥”奇安信历经过去六年在政企安全方面实践得出的“内生安全”理念落地的方法论。今年3月,奇安信基于内生安全理念,推出了新一代网络安全框架,该框架以系统工程的方法论结合“内生安全”的理念,改变了以往“局部整改”和产品堆叠为主的安全规划及建设模式,而是利用系统工程方法论,从顶层视角建立安全体系全景视图以指导安全建设,强化安全与信息化的融合,提升网络安全能力成熟度,凸显安全对业务的保障作用。
在新基建浪潮下,新一代网络安全框架已在一些政企信息化、数字化工程中开始落地实践,以某个新基建大工程为例,新一代网络安全框架针对136 个信息化组件,总结出了29 个安全区域场景,设计研发了79 类安全组件,可以根据使用场景需求任意组合,适用于所有应用场景。
目前,新一代网络安全框架,已在政企机构的数字化转型升级中开始发挥作用。对于众多政企机构而言,如何把握“十四五”规划这个契机,利用新一代网络安全框架推进网络安全工作模式升级,在原本还不够坚实的基础之上进行网络安全体系的全面重构和加强;如何结合自身信息化现状制定安全框架,又该如何利用新一代网络安全框架中包含的规划方法、工具、项目库、参考架构、规划模型等组件,科学、严谨的规划出适合政企业务发展的新一代网络安全体系?这一系列的问题,都将在即将召开的BCS 2020大会上找到答案。