本文作者:恒天软件副总裁 祝晓春 刊登于《杭州科技》杂志第四期
导言 近年来,物联网发展迅速。2018年12月中央经济会议,更是明确把5G、人工智能、工业互联网、物联网定义为“新型基础设施建设”;新基建,这一名词正式进入大众视野。今年3月份,中共中央政治局常务委员会召开会议提出,加快5G网络、数据中心等新型基础设施建设进度,更是意味着新基建进入了发展快车道。根据Strategy Analytics发布的最新研究报告《全球联网和物联网设备预测更新》指出,截至2018年底,全球联网设备数量达到220亿,同时预测2030年联网设备数量将达到500亿规模。 一方面,这为中国的经济发展和技术应用提供一个更扎实的基础平台;另一方面,也带来一些新问题,尤其是网络安全方面的挑战。根据世界经济论坛《2020年全球风险报告》,2019年网络犯罪总收入约为1.28万亿美元,同时2020年有迅速上升趋势,仅勒索病毒规模上半年的同比增长为26%;一些巨头企业也遭遇巨大安全事件,比如2020年6月份,甲骨文公司数据管理平台BlueKai数十亿网络数据记录外泄、本田在48小时内遭受了惨烈的勒索病毒攻击、美国主要移动运行商均遭到大规模DDos攻击等。中国也面临严峻的网络安全威胁,2019年病毒感染量跃居全球榜首,成为全球网络攻击重灾区。 万物互联浪潮下,网络安全的新挑战 新基建的核心是数据和算力,极大地依赖计算机、网络等资源。由于计算机的脆弱性,新基建环境下,各政府和企业的生产和运营安全保障将会面临更大的挑战。 新基建需要依赖物理设备和其他基础设施,这些基础环境和基础软硬件存在不可避免的故障和老化问题,因此维持基础设施的稳定和安全成为一个必须面对的课题。以数据中心为例,即使以阿里云、华为云等的运维服务能力和投入,依然不免会有因为服务器故障、光缆电力事故等问题导致的区域性服务失效。 人为因素,哪怕是无意偶然的失误,也会带来很大的隐患。人工智能、物联网应用等深度依赖于嵌入其中的各类计算程序,而程序员总会犯错;同时,全自动化生产实现以前,所有的系统依然离不开人为操作,操作人员也会犯错。而在信息化和智能化环境下,单一错误的带来的影响往往是联动的,因此带来的伤害程度也很难预测。 万物互联为人类提供便利的同时,也打破了传统的物理安全边界,安全区域已不复存在,任何一个网络联系渠道也意味着一条黑客攻击渠道。随着连通的设备和服务量级提升,事故带来的影响力和破环力也越来越大。 此外,整个网络世界中,联网设备快速增加,意味着对安全风险识别和防护的代价也相应增加。安全防护本身的计算规模将会指数级增长,对资源要求也是一大挑战。 数字化时代,网络安全防护理念的探讨 网络安全已经成为无法回避的课题,各个国家在网络安全上的重视程度几乎都上升至国家战略级别。事实上,网络安全防护并不是一个新的概念,世纪初的杀毒软件大战已经给当时的计算机用户一个非常好的教育。而今,大众对网络安全的认知也更加立体,但是业界依然缺乏对于数字化时代网络安全系统性的理论指导。 基于行业的知识、团队的实践经验和思考,我们对于新时代的网络安全趋势和建设理念进行了一些思考,借此抛转引玉。 我们认为早年的防护理念主要为工具防护,其典型的例子为杀毒软件,发现具体的问题,去寻找解决该单点问题的防御方案,比如针对性的防御工具。这个理念对于防护主体来说决策简单,且对于热点的大概率突出问题有很好的应对。但是,确定是无法处理复杂的网络体系,当面临立体式的攻击时,这种被动的防御策略会演化成机械式的工具堆积,在防御效率和性价比方面存在严重的不足。
图1:网新安服 - 网络安全防护三阶段理论图
而到了当前时节,行业更接受和推崇的为体系防护理念,无论是现在流行的零信任体系,还是国内各大厂商推出的一体机以及综合解决方案,都力求构建一套体系来有效地应对立体的安全问题。 因为安全问题从来不是单一问题,也不是一个简单的技术和工具问题,而是涉及到制度、流程、文化等多方面,需要融入到各企业生产和运营中。因此,标准化的安全解决方案是难以胜任某个特定的企业和组织的,而有效的安全防护需要渗透到组织日常的活动中。 体系的建设方法不一而足,以下简要分享我们的思考: 首先明确防护对象:硬件设备、软件系统、网络访问和行为、数据、虚拟人员都将成为潜在的防护对象,对防护对象进行确认和分类,是搭建体系的基础。 其次感知分析:评估对象的风险属性、对于对象的组合进行情景评估、进而对于安全态势进行预测,这一步是安全防护的前提。 而后决策和执行:基于防护目标对象和状态感知信息,根据企业和组织的防护目标,定义相应的决策和执行,包括事后安全审计、威胁预警、入侵行为的阻止和干预、入侵轨迹的跟踪等。 回答了上述三方面的基本问题后,面向目标开展支持组织的建立、基本制度的构建、防御技术的引入、工具平台的搭建等一系列安全体系建设行动。
图2:网新安服 – 网络安全防护体系搭建方法论示意图
智能防护的理念,基于体系和平台获取信息和数据源,通过大数据和人工智能技术,进行数据化诊断和决策、自动化防护执行,并且植入持续演进和优化的机制。 目前,各大厂商已经尝试把智能手段引入到各个安全产品和解决方案中,例如用AI算法应对DDos攻击、利用深度学习训练的模型去判断入侵行为、用高速执行引擎去驱动海量规则库以识别可疑行为等。但以上仍属于针对特定的单点场景或者现有产品的智能化提升,还远达不到体系级别的智能化水平。 智能防护的成型是一个逐步的过程,大致会分成两个阶段: 其一、数据化安全管理: 即基于搭建的体系,打通和组织支撑的信息系统,对相关的数据进行汇集、清洗、分析,从而通过平台数据进行数据化安全运营管理,大部分决策有数据支撑,但这个阶段依然以人的决策为主,工具和算法为辅。 其二、智能化安全防护,在数据化运营的基础上,利用大数据和人工智能技术主导分析和决策,尤其是基于持续反馈的演进式决策机制,从而实现安全防护以工具和算法为主要手段,人为监管为辅。 智能防护的前提是体系搭建完善、支持系统完备、各单点的技术到位、综合的算法能力和运算资源达到一定能力。
图3: 网新安服 – 可信防御智能分析平台
新基建趋势下,网络安全行业的机遇 新基建数字化时代,网络安全市场迎来了颠覆性的变革机遇。网络安全将成为各企业的“刚需”,也将成为企业最重要的竞争力之一。网络安全行业将会是一个巨大的市场,即使是目前头部的安全厂商也需要进行变革以适应日益发展的新形势。 由于网络安全行业专业化强、具备技术门槛、同时也是一个领域跨度很广的行业,因此无法由少数几个企业支撑所有的工作,必然需要构建一个生态,各个组织根据自身使命和特征各司其职。 首先,作为政府部门,可以积极规划网络安全的生态布局,开展网络安全意识和知识普及、倡导人人有责的网络安全文化、引导网络安全企业进行差异化和互补型发展。 其次,非安全行业的企业和组织,认真思考本企业的网络安全的目标,寻找符合自身特色的防护方案,切忌好高骛远带来不必要的浪费、也要避免轻敌思维不做任何规划,利用各方力量构建起自身的安全防护能力,从而可以保障自身主营业务的可持续发展。 最后,作为主角的网络安全行业中的企业和组织,需要根据自身的定位进行差异化发展,减少同质竞争的消耗,最终形成一个良性的生态,比如:- 关键基础设施类企业和组织,即那些承载5G、人工智能、工业互联网、物联网等基础设施搭建的大型组织和核心机构,应该致力于定义行业标准和安全规范,从而可以指导网络安全行业的有序化发展;
- 高校和科研机构,致力于对于重点难点技术和理论的突破,从而为产业和行业发展提供理论基础;
- 安全设备和产品型企业和组织,专注于对特定领域的安全产品和解决方案的研发,并构建自身的技术特色,成为体系化网络安全体系中的可靠一环;
- 安全服务型企业和组织,专注于支持企业针对自身特征构建安全防护体系,在搭建中力求用好现有的理论和设备产品,并且提供持续可靠的安全运维服务
