齊向東:責任已無界限 安全必須經營
DT(數據技術)時代,網絡安全價值觀應該是什麼?
“經營安全,安全經營。”
在8月26日舉行的2021年北京網絡安全大會上,奇安信集團董事長齊向東給出了8個字的答案。這個思辨色彩很濃的回答似乎少了些許“技術含量”,卻引起了國內外網絡安全專家的強烈共鳴。
的確,當互聯網所產生的數據量呈現指數級增長,當數據與土地、勞動力、資本、技術並列成爲五大生產要素之一,當數據驅動經濟社會出現層出不窮的新形態,網絡安全已經從“配套角色”變身爲“底板工程”,成爲數字化發展的前置條件。深刻變革之下,只有築牢這個“新底板”,安全經營纔有可能實現。
DT時代,安全責任已無“時空邊界”
半個多世紀前,現代計算機之父馮·諾依曼說:“技術日新月異,人類生活方式正在快速轉變,這一切給人類歷史帶來了一系列不可思議的奇點。我們曾經熟悉的一切,都開始變得陌生。”
較之馮·諾依曼所處的時代,DT時代的“轉變”仍在繼續加快,而解讀這種轉變就必須從數據入手。數據本身是中性的,但是因爲有不同的力量,站在不同的立場,以不同的方式來使用數據,數據就有了一體兩面性。“它既可以拿來做好事,也可以拿來做壞事。和人性一樣,數據是非常複雜的。”齊向東說。
齊向東認爲,數據的複雜性決定了DT時代安全的複雜性,具體可總結爲三個顯著特徵:
其一,企業經營者的安全責任變成無限責任。只要用戶的數據還存在,企業的責任就不會終結。保護每一個複雜交易的數據安全,成爲貫穿企業經營的生命線,成爲企業經營者的無限責任。
其二,企業經營活動變成國家網絡安全的一部分。從《網絡安全審查辦法》到《關鍵信息基礎設施安全保護條例》再到《個人信息保護法》,今年密集出臺的一系列法律法規都在強調企業涉及數據活動必須對國家、社會承擔安全責任。
其三,網絡攻擊變成破壞企業經營的高頻事件。美國科洛尼爾管道運輸公司遭網絡勒索再次敲響警鐘:勒索攻擊成爲“流行病”,勒索的贖金越來越高,造成的威脅越來越大。
責任無界化、安全一體化、攻擊常態化,對於這種新特徵給安全帶來的壓迫感,參會的國內外專家也感同身受。
俄羅斯前副總理謝爾蓋·沙赫賴將之形容爲“數字世界與線下世界之間特有的賽跑”,“我們都能認識到基礎設施的脆弱性並對此習以爲常,我們也都感受到了保護我們遠離周遭亂象的技術屏障是多麼單薄。”
可以預見的是,在未來相當長一段時期,安全系統和經營活動面臨的複雜挑戰還將不斷升級。“想要安全經營,就要學會在經營中與這種複雜性打交道。只有煞費苦心地經營你的安全系統,才能保障你的經營活動安全運轉。這是未來生存和發展的關鍵,也是我們提出‘經營安全,安全經營’的現實依據和邏輯起點。”齊向東說。
“經營安全”,是對網絡安全的動態掌控
在齊向東提出“經營安全”之前,很少有人把這兩個詞這樣排列在一起。即便有,“經營”也只是作爲定語或名詞去修飾“安全”,“經營安全”和“交通安全”“教育安全”一樣,是諸多“安全”類別中的一種。
而DT語境下的“經營安全”,“經營”是謂語、是動詞,是對安全的籌劃和管理。“經營安全”不再是靜態概念,而是一種動態思維,是對網絡安全的提前預判、主動介入、動態掌控,通過“經營”讓安全能力“動”起來,在不斷循環升級的過程中破解複雜難題。
“經營”的“定”“謂”之變、“靜”“動”之變,折射出齊向東等網絡安全界人士對DT時代網安規律的反思。在IT時代,人們認爲網絡安全建設是一個簡單活兒,IT系統的部署場景是固定的,解決安全問題的方法是隔離;在DT時代,網絡安全解決的是生產力問題,是數據的生產、使用和交易問題。靠安裝簡單的安全產品或者某種“銀彈”,防住一切網絡攻擊是不可能的,安全變成了一個複雜過程。
正如國家創新與發展戰略研究會副會長郝葉力所言,“現在講安全不能是後天的簡單的外掛貼殼,而是從10月懷胎的時候就開始孕育”。
當然,“經營安全”並不像字面順序調整這般簡單,像所有新理念付諸實踐一樣,它也需要前提條件。齊向東認爲第一個條件應該是要有與時俱進的目標。“在未來相當長一個歷史時期,新技術、新應用、新場景不斷涌現。因爲新且複雜,註定安全系統要不斷完善,所以需要爲安全能力設定一個能夠因勢而動、因時而變、與日俱增的目標。”
實現目標必須有相對應的付出,這成爲“經營安全”的第二個條件,即持續全面的投入。“DT時代,網絡安全成了‘一失萬無’的事,這意味着必須對安全有足夠的資源投入才能確保‘萬無一失’。”實際上,在這方面國家已經有了明確要求,工信部在《網絡安全產業高質量發展三年行動計劃(徵求意見稿)》中提出,到2023年重點行業網絡安全投入佔信息化投入的比例要達到10%。
“經營安全”的第三個前提條件是專業高效的安全運營服務。DT時代安全邊界消失,連接網絡的終端泛化,使攻防對抗變得異常複雜,單靠政企機構自己單一的力量無法抵禦這種複雜攻擊,這就需要藉助專業的安全公司來運營。
動態掌控網絡安全,需要提升三種能力
今年3月,《十四五規劃和2035遠景目標綱要》正式發佈,“全面加強網絡安全保障體系和能力建設”被寫入文件,網絡安全進入到戰略總體佈局、各方協同聯動、全方位實質性落地推進的新時期。
齊向東認爲,做好新時期的網絡安全工作,需要改變發展思維和發展模式,“經營安全”應成爲政企機構的自覺行動。只有“經營安全”,才能實現對網絡安全的動態掌控,而要實現動態掌控,必須進一步提升三種能力。
一是全面提升認知能力。態勢感知是建立認知能力的核心。目前,態勢感知主要分爲三種:監管機構的監管類態勢感知、企業內網的運營類態勢感知、用於實戰演練的攻防類態勢感知。這三類感知各有所長,也各有不足。齊向東認爲,只有將這三類態勢感知有機協同在一起,形成實戰化態勢感知,才能全面提升認知能力。爲此,需要構建統一的計算平臺、標準和運營系統,爲提升認知能力提供有力支撐。
二是全面提升安全能力。以前,人們把安全市場分爲產品市場和服務市場,產品和服務是兩回事。而在DT時代,產品和服務必須融合,要把產品變成一種能力,把能力變成一種資源,並用服務的方式使用資源。換句話說,就是要通過安全硬件產品的軟件化實現安全產品的能力化,通過數據採集、治理、存儲、分析、使用、API服務的標準化實現安全產品的資源化,在此基礎上,把安全能力以資源服務形式嵌入到需要的每個角落。
三是全面提升授信能力。在傳統認證體系裡,授信相對粗放的,一個主體可以訪問多個客體,一個客體也可以允許多個主體訪問。這種方法有很多漏洞,被黑客廣泛利用進行攻擊。DT時代不再絕對信任任何一個主體,而是要給每個主體、每個客體附加很多屬性,以“權限最小化”原則進行授信,並且對授信持續進行動態評估。
“總結起來,DT時代的網絡安全是一件複雜的事,只有經營安全,才能實現對網絡安全的動態掌控,而動態掌控力的提升有賴於三種能力:認知能力、安全能力和授信能力。只要我們攜起手來,共同經營好網絡安全防線,就一定能迎來一個更富競爭力、萬物生長的數字中國。”齊向東說。
編輯 宋鈺婷 校對 李世輝