最近瀏覽
關(guān)于新基建浪潮下網(wǎng)絡(luò)安全建設(shè)的一些思考
2020.11.09

本文作者:恒天軟件副總裁 祝曉春 刊登于《杭州科技》雜志第四期

導(dǎo)言 近年來,物聯(lián)網(wǎng)發(fā)展迅速。2018年12月中央經(jīng)濟(jì)會議,更是明確把5G、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)定義為“新型基礎(chǔ)設(shè)施建設(shè)”;新基建,這一名詞正式進(jìn)入大眾視野。今年3月份,中共中央政治局常務(wù)委員會召開會議提出,加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度,更是意味著新基建進(jìn)入了發(fā)展快車道。根據(jù)Strategy Analytics發(fā)布的最新研究報告《全球聯(lián)網(wǎng)和物聯(lián)網(wǎng)設(shè)備預(yù)測更新》指出,截至2018年底,全球聯(lián)網(wǎng)設(shè)備數(shù)量達(dá)到220億,同時預(yù)測2030年聯(lián)網(wǎng)設(shè)備數(shù)量將達(dá)到500億規(guī)模。 一方面,這為中國的經(jīng)濟(jì)發(fā)展和技術(shù)應(yīng)用提供一個更扎實的基礎(chǔ)平臺;另一方面,也帶來一些新問題,尤其是網(wǎng)絡(luò)安全方面的挑戰(zhàn)。根據(jù)世界經(jīng)濟(jì)論壇《2020年全球風(fēng)險報告》,2019年網(wǎng)絡(luò)犯罪總收入約為1.28萬億美元,同時2020年有迅速上升趨勢,僅勒索病毒規(guī)模上半年的同比增長為26%;一些巨頭企業(yè)也遭遇巨大安全事件,比如2020年6月份,甲骨文公司數(shù)據(jù)管理平臺BlueKai數(shù)十億網(wǎng)絡(luò)數(shù)據(jù)記錄外泄、本田在48小時內(nèi)遭受了慘烈的勒索病毒攻擊、美國主要移動運行商均遭到大規(guī)模DDos攻擊等。中國也面臨嚴(yán)峻的網(wǎng)絡(luò)安全威脅,2019年病毒感染量躍居全球榜首,成為全球網(wǎng)絡(luò)攻擊重災(zāi)區(qū)。 萬物互聯(lián)浪潮下,網(wǎng)絡(luò)安全的新挑戰(zhàn)   新基建的核心是數(shù)據(jù)和算力,極大地依賴計算機(jī)、網(wǎng)絡(luò)等資源。由于計算機(jī)的脆弱性,新基建環(huán)境下,各政府和企業(yè)的生產(chǎn)和運營安全保障將會面臨更大的挑戰(zhàn)。 新基建需要依賴物理設(shè)備和其他基礎(chǔ)設(shè)施,這些基礎(chǔ)環(huán)境和基礎(chǔ)軟硬件存在不可避免的故障和老化問題,因此維持基礎(chǔ)設(shè)施的穩(wěn)定和安全成為一個必須面對的課題。以數(shù)據(jù)中心為例,即使以阿里云、華為云等的運維服務(wù)能力和投入,依然不免會有因為服務(wù)器故障、光纜電力事故等問題導(dǎo)致的區(qū)域性服務(wù)失效。 人為因素,哪怕是無意偶然的失誤,也會帶來很大的隱患。人工智能、物聯(lián)網(wǎng)應(yīng)用等深度依賴于嵌入其中的各類計算程序,而程序員總會犯錯;同時,全自動化生產(chǎn)實現(xiàn)以前,所有的系統(tǒng)依然離不開人為操作,操作人員也會犯錯。而在信息化和智能化環(huán)境下,單一錯誤的帶來的影響往往是聯(lián)動的,因此帶來的傷害程度也很難預(yù)測。 萬物互聯(lián)為人類提供便利的同時,也打破了傳統(tǒng)的物理安全邊界,安全區(qū)域已不復(fù)存在,任何一個網(wǎng)絡(luò)聯(lián)系渠道也意味著一條黑客攻擊渠道。隨著連通的設(shè)備和服務(wù)量級提升,事故帶來的影響力和破環(huán)力也越來越大。 此外,整個網(wǎng)絡(luò)世界中,聯(lián)網(wǎng)設(shè)備快速增加,意味著對安全風(fēng)險識別和防護(hù)的代價也相應(yīng)增加。安全防護(hù)本身的計算規(guī)模將會指數(shù)級增長,對資源要求也是一大挑戰(zhàn)。 數(shù)字化時代,網(wǎng)絡(luò)安全防護(hù)理念的探討 網(wǎng)絡(luò)安全已經(jīng)成為無法回避的課題,各個國家在網(wǎng)絡(luò)安全上的重視程度幾乎都上升至國家戰(zhàn)略級別。事實上,網(wǎng)絡(luò)安全防護(hù)并不是一個新的概念,世紀(jì)初的殺毒軟件大戰(zhàn)已經(jīng)給當(dāng)時的計算機(jī)用戶一個非常好的教育。而今,大眾對網(wǎng)絡(luò)安全的認(rèn)知也更加立體,但是業(yè)界依然缺乏對于數(shù)字化時代網(wǎng)絡(luò)安全系統(tǒng)性的理論指導(dǎo)。 基于行業(yè)的知識、團(tuán)隊的實踐經(jīng)驗和思考,我們對于新時代的網(wǎng)絡(luò)安全趨勢和建設(shè)理念進(jìn)行了一些思考,借此拋轉(zhuǎn)引玉。 我們認(rèn)為早年的防護(hù)理念主要為工具防護(hù),其典型的例子為殺毒軟件,發(fā)現(xiàn)具體的問題,去尋找解決該單點問題的防御方案,比如針對性的防御工具。這個理念對于防護(hù)主體來說決策簡單,且對于熱點的大概率突出問題有很好的應(yīng)對。但是,確定是無法處理復(fù)雜的網(wǎng)絡(luò)體系,當(dāng)面臨立體式的攻擊時,這種被動的防御策略會演化成機(jī)械式的工具堆積,在防御效率和性價比方面存在嚴(yán)重的不足。

1

圖1:網(wǎng)新安服 - 網(wǎng)絡(luò)安全防護(hù)三階段理論圖

而到了當(dāng)前時節(jié),行業(yè)更接受和推崇的為體系防護(hù)理念,無論是現(xiàn)在流行的零信任體系,還是國內(nèi)各大廠商推出的一體機(jī)以及綜合解決方案,都力求構(gòu)建一套體系來有效地應(yīng)對立體的安全問題。 因為安全問題從來不是單一問題,也不是一個簡單的技術(shù)和工具問題,而是涉及到制度、流程、文化等多方面,需要融入到各企業(yè)生產(chǎn)和運營中。因此,標(biāo)準(zhǔn)化的安全解決方案是難以勝任某個特定的企業(yè)和組織的,而有效的安全防護(hù)需要滲透到組織日常的活動中。 體系的建設(shè)方法不一而足,以下簡要分享我們的思考: 首先明確防護(hù)對象:硬件設(shè)備、軟件系統(tǒng)、網(wǎng)絡(luò)訪問和行為、數(shù)據(jù)、虛擬人員都將成為潛在的防護(hù)對象,對防護(hù)對象進(jìn)行確認(rèn)和分類,是搭建體系的基礎(chǔ)。 其次感知分析:評估對象的風(fēng)險屬性、對于對象的組合進(jìn)行情景評估、進(jìn)而對于安全態(tài)勢進(jìn)行預(yù)測,這一步是安全防護(hù)的前提。 而后決策和執(zhí)行:基于防護(hù)目標(biāo)對象和狀態(tài)感知信息,根據(jù)企業(yè)和組織的防護(hù)目標(biāo),定義相應(yīng)的決策和執(zhí)行,包括事后安全審計、威脅預(yù)警、入侵行為的阻止和干預(yù)、入侵軌跡的跟蹤等。 回答了上述三方面的基本問題后,面向目標(biāo)開展支持組織的建立、基本制度的構(gòu)建、防御技術(shù)的引入、工具平臺的搭建等一系列安全體系建設(shè)行動。

2

圖2:網(wǎng)新安服 – 網(wǎng)絡(luò)安全防護(hù)體系搭建方法論示意圖

  智能防護(hù)的理念,基于體系和平臺獲取信息和數(shù)據(jù)源,通過大數(shù)據(jù)和人工智能技術(shù),進(jìn)行數(shù)據(jù)化診斷和決策、自動化防護(hù)執(zhí)行,并且植入持續(xù)演進(jìn)和優(yōu)化的機(jī)制。 目前,各大廠商已經(jīng)嘗試把智能手段引入到各個安全產(chǎn)品和解決方案中,例如用AI算法應(yīng)對DDos攻擊、利用深度學(xué)習(xí)訓(xùn)練的模型去判斷入侵行為、用高速執(zhí)行引擎去驅(qū)動海量規(guī)則庫以識別可疑行為等。但以上仍屬于針對特定的單點場景或者現(xiàn)有產(chǎn)品的智能化提升,還遠(yuǎn)達(dá)不到體系級別的智能化水平。 智能防護(hù)的成型是一個逐步的過程,大致會分成兩個階段: 其一、數(shù)據(jù)化安全管理: 即基于搭建的體系,打通和組織支撐的信息系統(tǒng),對相關(guān)的數(shù)據(jù)進(jìn)行匯集、清洗、分析,從而通過平臺數(shù)據(jù)進(jìn)行數(shù)據(jù)化安全運營管理,大部分決策有數(shù)據(jù)支撐,但這個階段依然以人的決策為主,工具和算法為輔。 其二、智能化安全防護(hù),在數(shù)據(jù)化運營的基礎(chǔ)上,利用大數(shù)據(jù)和人工智能技術(shù)主導(dǎo)分析和決策,尤其是基于持續(xù)反饋的演進(jìn)式?jīng)Q策機(jī)制,從而實現(xiàn)安全防護(hù)以工具和算法為主要手段,人為監(jiān)管為輔。 智能防護(hù)的前提是體系搭建完善、支持系統(tǒng)完備、各單點的技術(shù)到位、綜合的算法能力和運算資源達(dá)到一定能力。 捕獲3 33 4

圖3: 網(wǎng)新安服 – 可信防御智能分析平臺

新基建趨勢下,網(wǎng)絡(luò)安全行業(yè)的機(jī)遇 新基建數(shù)字化時代,網(wǎng)絡(luò)安全市場迎來了顛覆性的變革機(jī)遇。網(wǎng)絡(luò)安全將成為各企業(yè)的“剛需”,也將成為企業(yè)最重要的競爭力之一。網(wǎng)絡(luò)安全行業(yè)將會是一個巨大的市場,即使是目前頭部的安全廠商也需要進(jìn)行變革以適應(yīng)日益發(fā)展的新形勢。 由于網(wǎng)絡(luò)安全行業(yè)專業(yè)化強、具備技術(shù)門檻、同時也是一個領(lǐng)域跨度很廣的行業(yè),因此無法由少數(shù)幾個企業(yè)支撐所有的工作,必然需要構(gòu)建一個生態(tài),各個組織根據(jù)自身使命和特征各司其職。 首先,作為政府部門,可以積極規(guī)劃網(wǎng)絡(luò)安全的生態(tài)布局,開展網(wǎng)絡(luò)安全意識和知識普及、倡導(dǎo)人人有責(zé)的網(wǎng)絡(luò)安全文化、引導(dǎo)網(wǎng)絡(luò)安全企業(yè)進(jìn)行差異化和互補型發(fā)展。 其次,非安全行業(yè)的企業(yè)和組織,認(rèn)真思考本企業(yè)的網(wǎng)絡(luò)安全的目標(biāo),尋找符合自身特色的防護(hù)方案,切忌好高騖遠(yuǎn)帶來不必要的浪費、也要避免輕敵思維不做任何規(guī)劃,利用各方力量構(gòu)建起自身的安全防護(hù)能力,從而可以保障自身主營業(yè)務(wù)的可持續(xù)發(fā)展。 最后,作為主角的網(wǎng)絡(luò)安全行業(yè)中的企業(yè)和組織,需要根據(jù)自身的定位進(jìn)行差異化發(fā)展,減少同質(zhì)競爭的消耗,最終形成一個良性的生態(tài),比如:
  • 關(guān)鍵基礎(chǔ)設(shè)施類企業(yè)和組織,即那些承載5G、人工智能、工業(yè)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等基礎(chǔ)設(shè)施搭建的大型組織和核心機(jī)構(gòu),應(yīng)該致力于定義行業(yè)標(biāo)準(zhǔn)和安全規(guī)范,從而可以指導(dǎo)網(wǎng)絡(luò)安全行業(yè)的有序化發(fā)展;
  • 高校和科研機(jī)構(gòu),致力于對于重點難點技術(shù)和理論的突破,從而為產(chǎn)業(yè)和行業(yè)發(fā)展提供理論基礎(chǔ);
  • 安全設(shè)備和產(chǎn)品型企業(yè)和組織,專注于對特定領(lǐng)域的安全產(chǎn)品和解決方案的研發(fā),并構(gòu)建自身的技術(shù)特色,成為體系化網(wǎng)絡(luò)安全體系中的可靠一環(huán);
  • 安全服務(wù)型企業(yè)和組織,專注于支持企業(yè)針對自身特征構(gòu)建安全防護(hù)體系,在搭建中力求用好現(xiàn)有的理論和設(shè)備產(chǎn)品,并且提供持續(xù)可靠的安全運維服務(wù)
尾聲 數(shù)字化時代已經(jīng)到來,習(xí)近平總書記曾在講話中提到,網(wǎng)絡(luò)安全是共同的而不是孤立的,需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與,建立政府和企業(yè)網(wǎng)絡(luò)安全信息共享機(jī)制,新基建給數(shù)字化帶來的更好的基礎(chǔ)平臺,而網(wǎng)絡(luò)安全行業(yè)的志士仁人們有義務(wù)為新時代提供安全的發(fā)展環(huán)境。時代給我們提供了的巨大機(jī)遇,我們也需要在變革浪潮中發(fā)出強有力的聲音。
關(guān)于浙江網(wǎng)新恒天軟件有限公司
網(wǎng)新恒天是浙大網(wǎng)新、美國道富和浙江大學(xué)戰(zhàn)略聯(lián)盟的結(jié)晶,是一家致力于為中外企業(yè)提供可靠的、專業(yè)的IT服務(wù)及產(chǎn)品的軟件公司。恒天軟件提供企業(yè)級軟件的定制開發(fā)服務(wù),并有覆蓋金融、制造、零售等行業(yè)的IT產(chǎn)品和解決方案。