◎奇安信集团副总裁 韩永刚
韩永刚副总裁
首先,从战略驱动的角度看,国家市场规划的2035年目标里数字化占了非常大的比重,在第3章的现代化产业体系中,现代化治理和国家安全部分,数字化都是非常核心的驱动力,不论是在数字经济、数字社会,还是在数字政府,数字化都将起到非常关键的作用。
对于网络安全而言一个经典的表述就是“全面加强网络安全保障体系和能力建设”,其中“体系”和“能力”是两个关键词。在“十四五”期间,若无法体系化地将整个网络安全的底板能力构建起来,则会对后续智慧数字化发展,包括智慧民航造成巨大影响。数字化最大的作用之一就是把将传统的行业能力用数字化的方式进行新的赋能,越来越多的核心业务运转是建立在数字化平台之上的。若此时网络安全再出现问题,可以说将不仅是经济损失,而有可能直接影响核心业务的运行。因此,动态综合的网络安全防控体系是非常必要的。
从2017年一直到今年,各种配套的法律、法规、条例都在不断地出台。最近热议的2020年、2021年的《数据安全法》(草案)、《个人信息保护法》(草案)都在审议,当前已经通过人大表决,进行正式公布。同样,《关键信息基础设施保护指导意见》也在审议过程中。《关键信息基础设施保护指导意见》的出台将对众多关基单位产生深远的影响。同时从2016年到2021年国家层面实战化攻防演习也在持续进行。
第三个层面是核心业务的驱动,民航业的智慧应用会构成越来越完整的智慧民航蓝图,民航出行一张脸、物流一张单、通关一次检等都关联着数字感知、数据决策、精益管理。就以机场来说,这个过程就是大量的感知网络、工业控制网络、数据、云计算,为很多应用的拉通、网的拉通、数据的拉通、应用的拉通来提供服务,例如空管做的“十四五”规划,就是把空管隔离的专网进行打通,将海量数据打通,从而为航司和机场提供更便捷的智慧化服务。因此,可以说数字化是将曾经很多仅仅是在机关或总部用到的一些信息化能力广泛推到一线员工,甚至是消费者,极大地把数字化能力推到了广泛的范畴,因此安全问题尤为重要。
美国石油管道泄露遭黑客攻击的事件众所周知,其遭到勒索真正的原因就是为了勒索钱财。可以说一个经济犯罪就以国家关键基础设施产生如此巨大的影响,这种勒索手法已经开始非常普遍、便捷,越来越工具化和服务化。同时,这些攻击的工具、资源都已经成为一种服务用来敛财,让别的组织也可以利用该手段去实施犯罪。
该事件发生后,美国负责安全的CSA和FBI给出了联合的防御建议,提醒各大机构注意调整自己的security posture,即防御姿态,减少对外的暴露面。在众多意见中,可以看到几类有对基础结构安全的建议,例如对终端保护的建议,对网络层的终身防御建议,要对身份要求进行多因素加强,对身份不必要访问进行拦截,同时也有对应用安全方面的积极防御意见,以及对工业控制系统的意见。综上所述,当我们面临这类问题时,单点的防御能力已不足以解决问题。我们需要用体系化、常态化、全局性的视角来解决安全问题。
最近,高深技术手段攻击中,非常具有代表性的就是金链熊,其中涉及一个软件叫做Solarwinds,该软件在网络管理方面非常普遍,以至于美国有200多家政府机构的很多关键部门都应用该软件来进行IT网络维护。
攻击者恰恰攻击了这个软件,对它的源代码进行污染,并在打包过程中将控制的恶意软件打进去。因此在政府机构进行软件版本升级时,升级到攻击者可远程控制的版本,从而进行数据窃取,该过程经过4次版本的更迭仍没有被察觉。
该事件让我们认识到当数字化和智慧化完全去打通时,我们不再是孤立的,还有非常多IT供应商、软件供应商、服务供应商等,其安全问题已经不仅是自己的安全问题。可以发现整个链条非常长,涉及开发、打包、发布和升级等非常多环节。
从上面两个例子可以意识到,现在所面临的风险问题在数字化时代已经发生了巨大变化,如同上述勒索技术的越来越普遍、频率越来越高、供应链攻击和APT高级风险等问题,由于我们的数据和我们的系统价值越来越高,因此出现的不一定是由于外部攻击,而是内部威胁的问题,内部人员对数据的滥用、误用、盗用等也可能产生很大的威胁。
从2016年到2021年,我们在进行实战化的攻防演练过程中,发现每年攻击手段都在不断地提升,防御体系能力也在相应提升,但依然会出现很多安全问题。在今年刚刚结束的2021年攻防实战化的攻防演练过程中,我们总结了10个非常关键的安全问题。
在新数字化转型深入的过程中,要考虑新网络安全体系的建设,如同国家“十四五”规划里提到的,构建网络安全的保障体系,实际上就是面向能力化的体系建设。奇安信集团已经在过去的两年时间里,把很多安全的技术思路整合成内生安全的理念,并配套对应框架指引工程落地,思考如何去帮助各行各业构建新的网络安全体系。
曾经解决安全问题所采用的是逆向攻防思维,但是现在以正向的业务信息化和系统工程方法去考虑问题,在安全行业里属于首家。所谓的内生安全是把安全能力和信息化环境进行充分的融合内生,对数字化环境和过程进行深度融合和全面覆盖。在最终构建面向能力的体系后,充分考虑工程化落地,用市面上能采购到的技术、产品、服务来构建整体能力体系,同时我们也输出“十大工程五大任务”来指导建设。
当前将这个复杂的工具方法框架的指引转化成了几个关键点,比如“盘家底”,所“盘的家底”不是资产价值,而是政企环境到底需要什么样的网络安全能力,在过去的“十二五”“十三五”已经采购大量设备,很多建设仍在进行,我们要将已经采购的设备用起来,将能力建立起来,再看我们缺什么,还要做什么样的演进。第二个是构建系统,用系统工程的方法从全局化和信息化结合的角度扩建系统。第三个是运行,不是安全孤立地运行,而是网络安全的运行和数字化的IT运维,及应用开发的两大过程去进行充分结合。通过盘家底、建系统、抓运行的过程,就能够把内核安全思路去进行实现落地。
此外,网络安全的能力应该是怎样的?通过滑动标尺的迭代演进来看,其中涉及了基础结构安全问题、纵深防御问题,开始感知和积极防御问题、威胁情报问题是在不断的叠加中演进。我们只有在多个层面把整个防御水平提升上来,才可能形成完整的体系化能力构建。
另外,防御上要考虑阵地守得好不好、阵地构建得完不完整,这时就要关注防御姿态,比如在纵深防御上各类安全技术产品其策略调整得好不好,是不是构成了坚实有效阵地。在积极防御的方面,所谓的防御姿态是我们对于威胁及时发现、响应、处置时效性的能力。在威胁情报方面,要考虑威胁情报是不是覆盖完整、时效性如何、可执行水平如何,只有当我们将整体构建好后,才具有完整的安全防御管控能力,才可能真正有效的去发挥作用。
从安全视角来看,工程建设真正的落地需要和信息化的物理层、虚拟化系统、虚拟网络、应用、数据等各个层面进行结合。因此“十大工程五大任务”建设纲要库中,若将工程后面的“安全”两字去掉,就是信息化建设,包括身份、网络、终端、办公介入、面向云的数据中心、大数据的应用流转,以及工业生产和内部威胁等。这也体现了我们的安全能力应该和整个数字化环境进行深度的融合,是一个全面覆盖的过程。
从上述所提到的我们使用系统工程的方法来看,当我们用系统工程视角去看各个部分,各要素之间是相互依赖的,即是一个复杂巨系统,只有当依赖关系和相互关联共同发挥作用时,它才能达到比较完整的效果。比如上述所提到的面向资产、配置、漏洞、补丁的系统,就是解决所谓勒索最有效的问题,因为这些勒索往往都利用很多已知的漏洞,但我们难以在资产查清,将漏洞补全,其原因就在于资产管理的关系都是割裂的,其本质具有非常强的相互关系,需要通过数据驱动和IT大运维及其他区域发生纽带结合,去解决这个问题。
例如我们希望资产价值清晰,关键系统漏洞要应补尽补,在进行运维过程中,用数据驱动的方法、用大数据的方法将资产盘清,让资产、漏洞、配置、补丁之间两两产生关联。通过系统工程来看,其工作过程发生了三层变化,第一层是与安全相关的工作,而且是很多后台工作,比如漏洞情报、补丁测试等;最底下一层是IT的信息化,有IT的管理系统、服务器运维,网络运维等;中间层是数据的汇集。
希望通过这种数据驱动的方法,将安全的运行和IT的运行结果,用大数据方法打通资产配置、漏洞补丁之间的基础流程,让安全和IT的大运维环环相扣地融合起来。
《数据安全法》近日通过了对应表决,它对于政企、航空、关键信息基础设施意味着什么?我抽取了以下几个方面:首先,从战略上上升到了总体国家安全观,但同时也存在运行空间,还要利用数据的驱动力将数字化经济持续发展,在统筹安全和发展之间达到平衡;其次,它明确了组织和责任,尤其在数据流转过程中,强调了政府、企业、社会相关的部门对于数据安全的主体负责制,也提出了面向国家层面的政务体系所发挥的工作和作用。
其次在数据安全保护方面,具有数据分级分类的保护制度,包括完善数据安全保护体系、提升对应数据安全的保护能力、提供重要数据的目录,在等保的基础之上建立这种全流程的数据安全管理制度等。我认为整个过程要充分利用数据,解决跨部门如何使用数据、如何确权、如何确定安全策略的问题,开展真正的数据安全治理,而不仅仅是分级分类。数据安全治理是一个非常复杂的过程,要和很多原数据管理进行结合,建立数据安全保护体系,其体系要考虑业务流转、应用流转,而不仅是单点的保护。在这个过程中数据只有流转起来,在不同媒介中留存流转后才会产生价值,每一个流转的控制点都要去考虑其安全问题。
第三,应用新兴技术,例如身份安全、零信任、数据敏感地图、数据的可用不可见、数据交易沙箱等,来应对大数据环境,将真正的数据安全能力体系建立起来。目前国内各行各业在这方面仍没有一个很好的构建,当前上位法出台,很多条例也会接连落地,我们需要更新技术和思路。大数据的核心数据集中放在一个地方,其数据管理者、所有者、处理者可能都是不同人,这时数据的共享交换、数据的交易、开放的跨境流动等都会成为安全关注点。
另外,数据安全与其他领域安全的关系仍然是一个有机整体的关系,以一体化大数据中心为例,真正底层数据被治理、被汇、被用、被创新是有基础的,数据网络要通、数据要存、要传,要进行一系列治理过程。网络安全解决的事项一定要通过一个更为完整全局的视角去考虑对应,但其核心问题仍是上述的业务流转利润数据安全的控制。
最后,在应用安全中的软件供应链方面,软件供应链存在整体供应链的管理,面对越来越多的数字化系统,供应链的应用开发也越来越重要,基于以上原因,我们初步梳理了像软件空间的测绘能力、代码的安全控制能力、感知和自主测试能力、业务流程管理能力等面对这新课题所需要具备的能力。
当前我们在空管、机场等方面都在做诸多的体系化网络模式建设,我们给出以下建议:结合数字化业务,从全局视角去规划和设计所需的网络安全体系和能力体系;加强基础结构系统安全的建设;将零信任和纵深防御相结合,用新技术为原来的纵深防御赋予新的架构和技术的提升;核心的业务系统,尤其是大数据进行重点防护;关注到供应链应用系统开发;关注实战化运行,把网络安全运行、信息化运维和运营开发的大流程相结合;关注实战化的演习,并用于改善我们的保护、监测、发现响应还有恢复的能力的体系。