构建“全场景、可信任、实战化”的智慧安全3.0安全体系
——访绿盟科技集团股份有限公司副总裁曹嘉

本刊记者 王 超

随着数字化转型进入高速发展阶段，越来越多的企业将网络安全在数字战略中的优先地位一再提前，而近年安全顶层法规，如《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等陆续出台和完善，也促使企业不再将网络安全局限于合规要求，而是开始从顶层设计来规划安全建设，使之成为数字化转型发展中的重要保障和基石。

在此背景下，绿盟科技集团股份有限公司（以下简称“绿盟科技”）正式发布智慧安全3.0理念体系，这是继2015年智慧安全2.0战略发布后，绿盟科技在安全理念上的又一次战略升维。基于6年的经验积累，智慧安全3.0理念体系有何重大升级？如何将理念用于实际，做好数字时代下的网络安全工作？实现网络安全的实战化、体系化和常态化需要哪些系统的方法论？近日，绿盟科技集团副总裁曹嘉在采访中针对智慧安全3.0理念体系的由来、架构及落地布局进行了详细解读。

记者：请您谈谈，从智慧安全1.0到3.0的动态发展和持续演进过程。

曹嘉：俯瞰安全行业，绿盟科技根据客户的安全需求，早期希望能够在云端和地面进行协同，让每个静态安全设备能够跟云端产生最基本的连接。于是，早在2011年，绿盟科技就提出了“智慧安全”理念，首先要建立连接。但由于很多行业本身的局限性，实现实时的直接连接相对困难。而面对未来，连接一定是要逐步开放的，是不可逆的，也一定会面向更多的系统，这是“智慧安全1.0”提出的背景和要解决的实际问题。

升维到“智慧安全2.0”后，解决的是智慧化问题，即解决服务客户过程中产生成果和数据应当如何更好更安全地进行运用与协同的问题。不只是能创造连接，还要能和客户实时同步，及时有效地为客户解决问题，而在日常不能过多地干涉系统，不能产生新的安全风险，智慧化地处理好协同问题。

在数字经济转型背景下，绿盟科技结合多年安全实践以及对未来发展的深度思考，融入新的安全要素，并提出了智慧安全3.0理念体系，以体系化建设为指引，构建出“全场景、可信任、实战化”的安全运营能力，与合作伙伴协同推进，助力客户建设全面安全保障体系。

现在，绿盟科技越来越清楚地意识到，无论是在现实世界还是数字世界，安全问题都无处不在，如影随行。以前，对待安全问题，大多数人都习惯了“发散性”思维，“头痛医头，脚痛医脚”。这种处理方式导致在安全威胁愈演愈烈的今天，企业在安全防护方面不仅疲于奔命，而且效果还不尽如人意。

面对似乎永无止境的安全威胁，不能总想找到一劳永逸的解决方案。必须正视这样的事实：安全威胁是动态变化的，安全防御也必须是动态发展、持续演进的。从最早提出“智慧安全1.0”的理念，旨在实现连接协同，然后演进到以“智能、敏捷、可运营”为核心的“智慧安全2.0”阶段，再到2021年3月提出“智慧安全3.0”的理念，绿盟科技在大力倡导以体系化建设为指引，构建“全场景、可信任、实战化”的安全运营能力，从而达到“全面防护、智能分析、自动响应”的防护效果。

记者：在“智慧安全3.0”理念下，如何构建高效的安全运营能力？

曹嘉：智慧安全3.0理念提到了三大核心要素：“全场景、可信任、实战化”。其中，“全场景”是指绿盟科技致力于面向全部数字化应用场景，针对全部安全要素，提供全方位的安全能力；“可信任”是指绿盟科技要支撑客户构建可信任的能力，可信任的访问与可信任的供应链；“实战化”是指绿盟科技以实战化安全运营为目标，为客户构建按需调度能力，以及响应高效的安全运营体系。

结合绿盟科技多年的网络安全攻防实践经验，智慧安全3.0提出实战化安全运营的安全建设思路。通过攻防演练等方式，发现网络安全薄弱环节，对防护措施进行验证。在安全建设中融入零信任安全思想，最小化攻击暴露面，基于业务重要性和实际运营需求加强针对性能力适配。通过自动化编排结合专家研判等方式，强化攻防对抗的及时性和有效性，实现对风险的快速和自适应响应。

在智慧安全3.0的理念指导下，绿盟科技总结出泛链式攻击防御的经典案例。泛链指的是业务链、供应链和人员链。硬件、网络、应用、数据库等属于业务链，软硬件提供商、云计算服务商等构成供应链，开发者、运维人员、普通用户等组成人员链。智慧安全3.0理念体系下的安全防护网遍布“中枢神经与神经末梢”，兼顾有组织、有目的的恶意攻击，以及不易发觉的无意识攻击，例如，滥用误用等无意识行为，以及软件缺陷等。安全性取决于链条中最薄弱的一环，泛链式的全场景安全体系建设，可在实战化安全运营中有效提升安全效果。

记者：基于零信任的技术理念，如何在“智慧安全3.0”理念下实现可信访问？

曹嘉：5G、云计算、人工智能、物联网、工业互联网等新基建的快速融合发展不断模糊网络的安全边界。随着网络安全形势的不断演进，针对信息系统的网络安全威胁环境也发生了重大变化，勒索软件、0-Day漏洞、高级持续性威胁已成为当前的主流攻击形式。网络安全攻击已逐步形成组织严密、技术精湛的团队化作战，攻击者的不对称性优势也一直是安全团队面临的最大问题。在这种攻防失衡的局势中，传统的基于边界安全防护，单次静态安全策略配置的安全措施已经无法满足业务发展的安全需求，网络安全产业面临着新一轮技术更新换代所带来的挑战和发展机遇。

绿盟科技基于当前形势，以及对网络安全面临的新挑战的观察和对未来发展的深度思考，提出了智慧安全3.0安全理念，“全场景”把智慧安全的外延扩展到整个网络空间，全部数字化应用场景；“实战化”呼应当前新形势要求，而“可信任”的则是内涵的扩展，充分参考了CARTA及零信任模型，安全不仅仅是攻击防护，还是信任模型的建立与保障，通过持续验证多方身份、持续行为评估，摆脱传统的补丁式、外挂式、围墙式思路，形成网络安全纵深防御信任保障体系。

随着数字经济的深入发展，“数字信任”将会成为未来的一大热点。智慧安全3.0提出的“可信任”要素，一方面，突破了传统网络安全的界限，从业务视角出发，融入零信任思想，为用户构建信任模型，以应对复杂多变的网络环境与威胁。另一方面，持续保障自身安全能力、产品与服务的可信任，构建可信任网络环境，优化安全策略，形成安全防御保障体系的持续优化，确保网络安全综合防护能力和水平的显著提升。

记者：在“智慧安全3.0”理念下，如何应对数据安全风险与挑战？

曹嘉：基于实战化知识、生态情报分析，绿盟科技构建了基于情报和威胁狩猎的实战化运营体系，能向客户提供精准威胁情报；同时可以自动化处理实战化情报，解决情报响应不及时或情报处理门槛高等问题。该运营体系将威胁体系分为三个场景：基于事件的直接威胁狩猎、基于情报的间接威胁狩猎以及基于溯源前置的威胁狩猎。根据不同的场景，将威胁狩猎实战中的路径归类为三条来进行运营，并以此构建了实战化运营指标体系。

针对数据安全方面，依据《数据安全法》建立数据安全管理制度和数据开发利用的规则，绿盟科技兼顾管理和技术，全面落地“智慧安全3.0”的理念，通过关键技术创新，构建起全场景、可信任、实战化的数据安全纵深防御预警体系，并贴合客户需求，形成场景化的数据安全解决方案。绿盟科技始终以数据安全防护为中心，通过“知、识、控、察、行”五个步骤实现能力落地，引入新技术不断优化技术和管理流程，确立数据安全管理制度，提升数据安全治理与开发利用技术水平的同时，可有效应对数据安全风险与挑战。

绿盟科技基于“智慧安全3.0”理念，形成具备数据全生命周期流转防护能力的产品、服务以及面向各行业覆盖全场景的体系化解决方案，并以“攻防驱动”理念创新落地“数据脱敏效果评估技术”，可针对多种攻击场景下数据应用的安全度给出直观的风险评估结果。

记者：基于“智慧安全3.0”理念，绿盟科技如何在产品方面进行布局？

曹嘉：在智慧安全3.0理念指导下，绿盟科技会在未来的战略中，进行颠覆性调整，比较典型的两个场景是云侧和端侧。就端侧而言，传统行业更多是把端侧的防护看成一个相对静态的过程，而现在则发生了几点变化：第一，端侧具备一定的唯一性，很少有客户会安装过多的客户端，所以端侧具有一定的唯一性以及稀缺性，在端侧的布局也就尤为重要。第二，在端侧的布局中，要更加自动化、轻量化，不能简单基于病毒特征库去构建，需要监控更多的系统调用，形成更加高效和灵活的传感器，这样才能和云端联动形成闭环的安全防护效果，提升可运维性。其实，目前更多的端侧是从一个成熟产品向工具化场景去转化的过程，要面对的是云端的专业运维人员。例如进行威胁狩猎，就必须要构建威胁狩猎体系，以点到面逐步推演在过程中掌握安全产业发展趋势及未来需要具备的安全能力及技术。

云侧以威胁狩猎为例，云侧威胁狩猎的能力由云沙箱、TI平台等构成，其中TI平台至关重要，不只是订阅服务，或者情报输入的平台，更需要基于TI平台跟现有的服务体系建立连接，通过安全服务给TI提供数据输入，牵引威胁狩猎；在威胁狩猎过程中调用云沙箱的能力，将云端能力打通，这就是我们所说的全场景。智慧安全3.0理念指导下，需要云地协同，并且这个环节要变得更加高效和集约。智慧安全3.0理念下的全场景，不仅是跟客户的安全场景更加贴近，在内部也进行了场景化思考，使安全场景变得更加可度量、更加高效。

总体来讲，绿盟科技在产品布局上，已形成可覆盖网络安全、应用安全、数据安全、终端安全、云安全以及安全管理的全栈产品系列，以解决方案适应不同客户场景的需要。结合安全服务、安全运营，形成对客户安全规划、建设、运行的全线支撑。绿盟科技拥有实力强劲的安全研究团队，持续致力于安全攻防能力及创新技术的研究，并组建了专业团队实现对体系化的布局及对重要领域、新领域的方案设计和牵引落地。通过渠道合作赋能等方式构建全面安全生态，快速响应新场景需求，发现并解决新的安全问题。