進(jìn)入2020年,在復(fù)工復(fù)產(chǎn)、“新基建”全面啟動(dòng)的背景下,各地信創(chuàng)項(xiàng)目開始大面積鋪開,信創(chuàng)產(chǎn)業(yè)也隨之出現(xiàn)了一個(gè)現(xiàn)象級(jí)的風(fēng)口,其必將迎來(lái)新的發(fā)展與挑戰(zhàn)。
恰逢其時(shí),全球首場(chǎng)網(wǎng)絡(luò)安全萬(wàn)人云峰會(huì) ISC 2020 正式啟幕,打破了線上線下的空間桎梏,匯聚全球豪杰,全球頂級(jí)安全智囊、專家、學(xué)者共同探討“數(shù)字孿生時(shí)代下的新安全”解決之道,迸發(fā)出網(wǎng)絡(luò)安全領(lǐng)域新對(duì)話、新探討與新碰撞,為全球萬(wàn)千參會(huì)者打造永不閉幕的升級(jí)交流體驗(yàn)。
在ISC 2020信創(chuàng)安全論壇上,360首席安全官杜躍進(jìn)從攻防角度,全局視角,縱觀信創(chuàng)產(chǎn)業(yè)發(fā)展全局,強(qiáng)調(diào)“無(wú)安全,不信創(chuàng)”,指出信創(chuàng)安全面臨的三大挑戰(zhàn)、五大問題的同時(shí),提出要以攻防視角、整體思維、統(tǒng)一調(diào)度、開放運(yùn)營(yíng)、能力驅(qū)動(dòng)的全新思路,構(gòu)建可信的、安全的、可控的、可對(duì)抗的、可存活的信創(chuàng)安全體系。
信創(chuàng)產(chǎn)業(yè)全面啟航
信創(chuàng)安全面臨嚴(yán)峻挑戰(zhàn)
眾多數(shù)據(jù)顯示,“信創(chuàng)”這個(gè)風(fēng)口,將是一個(gè)萬(wàn)億級(jí)的市場(chǎng),對(duì)于網(wǎng)絡(luò)安全產(chǎn)業(yè)來(lái)說,既是機(jī)遇,也是挑戰(zhàn)。
360首席安全官杜躍進(jìn)指出,信息技術(shù)應(yīng)用創(chuàng)新是必然之路,在軟件定義一切、萬(wàn)物互聯(lián)、數(shù)據(jù)驅(qū)動(dòng)業(yè)務(wù)的網(wǎng)絡(luò)世界里,信創(chuàng)的大規(guī)模應(yīng)用將迅速擴(kuò)大攻擊者可利用的攻擊面,信創(chuàng)安全面臨三方面嚴(yán)重挑戰(zhàn):
自身弱。每一個(gè)軟件和系統(tǒng)都可能有漏洞,由于信創(chuàng)產(chǎn)業(yè)的廠商、產(chǎn)品和人員目前都沒有經(jīng)歷過全世界網(wǎng)絡(luò)安全人員的挑戰(zhàn),全面的信息技術(shù)應(yīng)用創(chuàng)新,將導(dǎo)致信創(chuàng)系統(tǒng)處于相對(duì)脆弱的階段。
對(duì)手強(qiáng)。“人間熙熙皆為利來(lái),人之攘攘皆為利往”?;ヂ?lián)網(wǎng)剛剛出來(lái)的時(shí)候,網(wǎng)絡(luò)攻擊者的動(dòng)機(jī)以技術(shù)挑戰(zhàn)為主,沒有太多的利益考慮。但是,隨著網(wǎng)絡(luò)上開展的業(yè)務(wù)越來(lái)越多,網(wǎng)絡(luò)攻擊帶來(lái)的利益日趨“誘人”,網(wǎng)絡(luò)空間里的對(duì)手越來(lái)越強(qiáng),單純的網(wǎng)絡(luò)攻擊逐漸演變成獲取非法利益的手段。隨著信創(chuàng)的發(fā)展,未來(lái)關(guān)鍵基礎(chǔ)實(shí)施、重要信息系統(tǒng),業(yè)務(wù)都依賴軟件、網(wǎng)絡(luò)、數(shù)據(jù)作為基礎(chǔ),攻擊者的攻擊能力越來(lái)越強(qiáng),信創(chuàng)安全將會(huì)面臨更多且更強(qiáng)的對(duì)手。
動(dòng)機(jī)多。未來(lái),網(wǎng)絡(luò)安全還會(huì)面臨越來(lái)越復(fù)雜的動(dòng)機(jī)。不僅僅是利益驅(qū)動(dòng),直接對(duì)金融機(jī)構(gòu)進(jìn)行攻擊獲利等,還會(huì)吸引更高級(jí)的網(wǎng)絡(luò)攻擊團(tuán)伙、恐怖組織以及具有國(guó)家背景的攻擊團(tuán)伙,他們都有可能對(duì)網(wǎng)絡(luò)空間不同的攻擊目標(biāo),使用不同的攻擊手法,達(dá)到個(gè)人或國(guó)家級(jí)別的目的。
與此同時(shí),信創(chuàng)安全本身還面臨著:認(rèn)知偏差、能力不足、積累不足、實(shí)戰(zhàn)不足四大問題。
認(rèn)知偏差。要清醒的認(rèn)識(shí)到自己的并不等于安全的,安全產(chǎn)品不等于安全能力。
能力不足。安全本質(zhì)上是能力之間的對(duì)抗,在信創(chuàng)的安全能力領(lǐng)域里仍有安全測(cè)試與驗(yàn)證、安全開發(fā)與設(shè)計(jì)、漏洞發(fā)現(xiàn)與管理、威脅發(fā)現(xiàn)于應(yīng)對(duì)、安全大數(shù)據(jù)應(yīng)用等方面能力的不足。
積累不足。能力都不是一蹴而就的,需要長(zhǎng)期積累。目前在信創(chuàng)安全領(lǐng)域,攻防經(jīng)驗(yàn)、威脅情報(bào)、安全知識(shí)庫(kù)、安全大數(shù)據(jù)和安全專家各方面目前的積累不足。
實(shí)戰(zhàn)不足。首先是產(chǎn)品、用戶和業(yè)務(wù)都未曾經(jīng)受全球考驗(yàn),其次是安全管理方面長(zhǎng)期存在“捂蓋子”的現(xiàn)象。只有揭開“捂蓋子”的現(xiàn)象,通過發(fā)現(xiàn)問題不斷總結(jié)、不斷改進(jìn),才是應(yīng)對(duì)安全挑戰(zhàn)的正確道路,信創(chuàng)才能安全發(fā)展。
基于此,杜躍進(jìn)提出“無(wú)安全,不信創(chuàng)“,一味照搬過去的安全思維和方法,無(wú)法解決當(dāng)下信息技術(shù)應(yīng)用創(chuàng)新所面臨的安全問題,信創(chuàng)安全需要全新的思路。
機(jī)遇與挑戰(zhàn)并存
信創(chuàng)安全體系設(shè)計(jì)需要新思路
網(wǎng)絡(luò)安全和信息化是“一體之兩翼,驅(qū)動(dòng)之雙輪”,安全作為信創(chuàng)發(fā)展的“基石”,需要同步規(guī)劃、同步建設(shè)。
杜躍進(jìn)提出信創(chuàng)安全體系設(shè)計(jì)的五大指導(dǎo)思想:
其一,需以攻防視角進(jìn)行體系設(shè)計(jì),網(wǎng)絡(luò)安全的本質(zhì)是攻防對(duì)抗,因此需要抓住本質(zhì),從攻防的視角進(jìn)行安全設(shè)計(jì)、運(yùn)營(yíng)和檢驗(yàn)。
其二,需要整體思維,鑒于主要對(duì)手能力遠(yuǎn)超于我們,而我方基礎(chǔ)薄弱、積累不足,任何單獨(dú)的產(chǎn)品或者用戶部門,都不可能有效應(yīng)對(duì)這類威脅。由于攻防的不對(duì)稱性,要充分利用來(lái)自各方的資源與力量,使其相互響應(yīng)與配合,以實(shí)現(xiàn)有效防御。
其三,需要統(tǒng)一調(diào)度,為了確保安全體系設(shè)計(jì)落實(shí)到位,特別是保障在運(yùn)行階段的攻防對(duì)抗能力,需要以統(tǒng)一調(diào)度的方式來(lái)運(yùn)轉(zhuǎn)整個(gè)安全體系。。
其四,需要開放運(yùn)營(yíng),信創(chuàng)體系的運(yùn)行環(huán)境是開放的,攻擊者通常會(huì)選擇最弱,最有價(jià)值的目標(biāo)進(jìn)行攻擊。對(duì)于防御方來(lái)說,通過開放運(yùn)營(yíng)才能讓更好的安全能力接入,才能集中所有力量有效抵御威脅。
最后,需要能力驅(qū)動(dòng),安全防護(hù)的最終效果,由實(shí)戰(zhàn)的能力決定。合規(guī)作為基本要求,還需要以能力的提升、能力的檢驗(yàn)為核心,多測(cè)多練。只有具備了對(duì)抗抵御威脅的能力,才能確保信創(chuàng)安全。
“在這樣的指導(dǎo)思想下,整個(gè)信創(chuàng)安全的目標(biāo)可以分為五個(gè)層面。”杜躍進(jìn)表示,第一層基礎(chǔ)目標(biāo)是“可信的”,可信的基礎(chǔ)之上是”安全的”。由于漏洞永遠(yuǎn)無(wú)法消除,系統(tǒng)總是可能會(huì)被入侵,第三層的目標(biāo)是增強(qiáng)被入侵之后對(duì)攻擊事件的”可控性”。第四層是增強(qiáng)安全威脅溯源、取證、懾阻等”可對(duì)抗的”能力?;谝陨纤膫€(gè)層次的目標(biāo),第五層目標(biāo)是增強(qiáng)核心業(yè)務(wù)“可存活的“能力,守住網(wǎng)絡(luò)安全最后的“底線“。
落地信創(chuàng)安全體系建設(shè)更加勢(shì)在必行。截止目前,各信創(chuàng)安全廠商已逐步推進(jìn)了終端安全、安全性測(cè)試、漏洞管理、安全開發(fā)、安全挑戰(zhàn)、數(shù)字證書等方面的工作。未來(lái)還有更多的工作需要安全行業(yè)共同參與,互相配合,才有可能解決信創(chuàng)安全面臨的問題。
杜躍進(jìn)呼吁希望更多的安全企業(yè)參與到信創(chuàng)安全的工作之中,以確保國(guó)家信息化建設(shè)目標(biāo)的實(shí)現(xiàn)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )