我國網(wǎng)絡安全“裸奔”狀況亟需改變
發(fā)布時間:2018-02-07“當前,我國的網(wǎng)絡安全仍然存在較大隱患。一方面,基于合規(guī)性要求和已知安全風險防護的基礎安全防護體系建設取得了良好成效,基本形成了針對商業(yè)級安全風險的應對能力;但與此同時,由于存在體系的缺失,安全問題仍會頻繁發(fā)生。從國家對抗的風險來看,目前我國的網(wǎng)絡安全在這個場景下無異于‘裸奔’?!苯眨须婇L城網(wǎng)際系統(tǒng)應用有限公司總經(jīng)理賀衛(wèi)東在接受記者采訪時如此表示。
賀衛(wèi)東說,無論是央企還是其他安全企業(yè),針對所面臨的商業(yè)級和國家級威脅風險的新變化,迫切需要打造支撐國家安全的自主可控IT產(chǎn)品系統(tǒng)和全新動態(tài)安全體系,實現(xiàn)本質(zhì)安全(國產(chǎn)化替代)和過程安全(產(chǎn)業(yè)鏈安全)的深度融合。
一面是“保護得好”一面是還在“裸奔”
近年來,我國網(wǎng)絡安全工作以落實等級保護要求為目標,扎實做好各項工作,組織體系、管理體系、技術(shù)體系和建設與運維體系都基本完善,基于合規(guī)性要求和已知安全風險防護的基礎安全防護體系建設取得良好成效(“保護得好”),基本形成了針對商業(yè)級安全風險的應對能力。
但在取得成績的同時,也要看到,從動態(tài)攻防對抗的視角來看,當前還存在著大量未知或已知的“后門”和“漏洞”風險。而這些風險背后體現(xiàn)的實質(zhì)是,由于對抗能力不可能馬上轉(zhuǎn)化成為防護產(chǎn)品,并部署形成防護能力,處置這些風險就必須依靠實時或快速響應。由此可見,安全對抗能力快速運用需要構(gòu)建對抗服務體系來應對,即用高能力的安全服務去彌補。因為存在體系的缺失,安全問題就會頻繁發(fā)生。所以從國家對抗的風險來看,目前我國的網(wǎng)絡安全在這個場景下,無異于“裸奔”。
據(jù)賀衛(wèi)東介紹,“保護得好”和“裸奔”的根本原因在于新形勢下面對的威脅發(fā)生了重大變化。當前,我國面臨的網(wǎng)絡安全威脅可以分為商業(yè)級威脅和國家級威脅。國家網(wǎng)絡安全面臨的核心威脅是國家級網(wǎng)絡威脅,即國家間的網(wǎng)絡攻擊和威懾?!袄忡R門”、伊朗核電站等一系列事件表明目前的國家網(wǎng)絡空間安全就是國家級網(wǎng)絡安全能力的體系化對抗。
通過分析國外網(wǎng)絡安全的發(fā)展趨勢,我們發(fā)現(xiàn),發(fā)達國家已經(jīng)處于智能迭代為特點的智能防御3.0時代,發(fā)展中國家部分進入安全可控為特點的主動防御2.0時代,欠發(fā)達國家處于合規(guī)保障為特點的被動防御1.0時代。而我國現(xiàn)在就處于合規(guī)保障被動防御1.0時代,防護級別僅屬于商業(yè)級安全范疇。與發(fā)達國家的現(xiàn)階段情況相比,我國防護能力與國家級對抗的要求差距明顯,且集中體現(xiàn)在發(fā)展階段差異、技術(shù)代差、能力代差和投入有限四個方面。
國家網(wǎng)絡安全與商業(yè)網(wǎng)絡安全存在差異
賀衛(wèi)東介紹,在風險來源、攻擊目的、攻擊手段、投入方式和防護模式上,國家網(wǎng)絡安全與商業(yè)網(wǎng)絡安全存在顯著的差異。
國家網(wǎng)絡安全的風險來源于國家網(wǎng)絡戰(zhàn)部隊及國家能力;對方攻擊目的為控制或破壞國家關(guān)鍵基礎設施;采用的攻擊手段為軟硬件后門,網(wǎng)絡戰(zhàn)武器,國家級安全能力;投入方式以國家投入,實現(xiàn)對抗威懾為目標;技術(shù)上,采取自主可控、基于威脅的主動防御模式。而商業(yè)網(wǎng)絡安全的風險來源為黑客團隊;攻擊目的為獲取商業(yè)利益;采用的攻擊手段為尋找漏洞,層層滲透;投入方式追求合規(guī)性和性價比,企業(yè)自主投入;采用合規(guī)性防御模式;防護能力是產(chǎn)業(yè)單一廠商的安全能力。
國家網(wǎng)絡安全面對的是國家級對抗的威脅,是國家之間頂級智慧的較量。應該采取的是國家網(wǎng)絡安全策略,以能力威懾為基礎,對標對抗先進國家的攻防能力,采用國家級安全經(jīng)濟投入,建設全產(chǎn)業(yè)技術(shù)支撐體系,健全法律威懾為輔,研究突破核心技術(shù)打造公共性產(chǎn)品,建設基于國家技術(shù)鑒別能力的技術(shù)信任體系,支撐關(guān)鍵信息基礎設施保護。需要專項投入,有序推進。
商業(yè)網(wǎng)絡安全面臨極端個人、黑客團體和經(jīng)濟犯罪的威脅,應采用商業(yè)網(wǎng)絡安全策略,以法律威懾為核心,突出技術(shù)追溯與執(zhí)法能力,滿足商業(yè)網(wǎng)絡安全目標;基于投資能力建設單一廠家或部分廠家有限對抗能力的技術(shù)支撐體系,健全攻防能力,采購部署大規(guī)??蓮椭频姆枪残援a(chǎn)品和服務,其技術(shù)能力是基于商業(yè)信任和市場競爭形成的。
三大策略解決國家網(wǎng)絡安全問題
賀衛(wèi)東表示,我們國家非常重視網(wǎng)絡安全,成立了中央網(wǎng)信辦,制定并頒布了國家網(wǎng)絡安全法,網(wǎng)絡安全與信息化已經(jīng)上升為國家戰(zhàn)略。
解決國家網(wǎng)絡安全問題,首先要遵循網(wǎng)絡安全的經(jīng)濟規(guī)律。面對“攻擊的成本越來越低,防御的成本越來越高”的客觀現(xiàn)實,花多少錢,怎樣花錢來保障安全,一直是這些年安全界所關(guān)心的重要問題。網(wǎng)絡安全覆蓋從終端到網(wǎng)絡,從應用到系統(tǒng),從軟件到硬件,從管理到法律,范圍之廣、門類之多容易造成網(wǎng)絡安全防不勝防。那么,究竟需要在安全上投入多少錢?這個問題似乎沒有一個絕對的答案。安全是動態(tài)的,從技術(shù)的視角來看,任何信息化系統(tǒng)都是存在缺陷的。網(wǎng)絡安全產(chǎn)品本身就是對現(xiàn)有技術(shù)的固化(產(chǎn)品化),所以當它面市時,它的技術(shù)就已過時。所以安全應該是相對的,絕對的安全恐怕只在理論上存在。在實際中,需要進行安全與成本的平衡,即用“最小”的成本來達到“最佳”的效果,這也導致新的信息安全理論轉(zhuǎn)向了“基于攻擊環(huán)境下的主動防御”模式,主要技術(shù)特點體現(xiàn)為自主可控、可信計算和動態(tài)監(jiān)控。而在商業(yè)模式上則體現(xiàn)為平臺與服務廠商聚合化。
其次,要洞察網(wǎng)絡產(chǎn)業(yè)的演變方向。目前網(wǎng)絡安全技術(shù)已走向?qū)崟r監(jiān)測及風險預防控制,網(wǎng)絡安全業(yè)態(tài)也從原先的“產(chǎn)品業(yè)態(tài)”走向了“服務業(yè)態(tài)”。網(wǎng)絡安全的提供將由專業(yè)的網(wǎng)絡安全服務商來完成,而非某些特定產(chǎn)品廠商。
最后,把握網(wǎng)絡安全技術(shù)演進路線。針對面臨的商業(yè)級和國家級威脅風險,為實現(xiàn)國家安全的目標,迫切需要打造支撐國家安全的安全服務體系,打造國之重器:發(fā)現(xiàn)之眼——練就風險和威脅預警監(jiān)測的火眼金睛;防護之穹——構(gòu)建國家關(guān)鍵信息基礎設施防護的金剛罩;追蹤之劍——鍛造一招制敵、有效威懾的殺手锏;應急之隊——形成響應迅速、指揮有序、保障有力的快反之師;重建之能——提升網(wǎng)絡空間基礎設施重構(gòu)的恢復之力;長久之才——筑建網(wǎng)絡空間攻防人才隊伍培養(yǎng)的新高地。
“漏洞”與“后門”的應對之道
賀衛(wèi)東建議,以平臺共享經(jīng)濟模式,有效聚合服務能力,以結(jié)果付費解決動態(tài)安全的“漏洞”問題和國家能力傳導互動問題。
聚合模式就是充分發(fā)揮共享經(jīng)濟、平臺經(jīng)濟、智慧經(jīng)濟的優(yōu)越性,通過平臺積聚各類資源,有效實現(xiàn)能力與需求的協(xié)同。這就好比,醫(yī)院看病的“專家會診”模式。網(wǎng)絡安全與看病類似,滿足客戶需求的方式已由“單個醫(yī)生問診”轉(zhuǎn)向“專家會診”,促成產(chǎn)業(yè)鏈由單一的供應鏈向復合供應體系轉(zhuǎn)型升級,以軍民融合的方式解決國家安全和商業(yè)安全不同安全服務能力的要求。通過構(gòu)筑基于建立國家、產(chǎn)品供應商、安全服務商、用戶“四位一體”的網(wǎng)絡安全保障平臺,將多維度的安全監(jiān)測、監(jiān)管與商業(yè)服務體系融合作為國家網(wǎng)絡安全體系的重要組成部分。推動動態(tài)能力轉(zhuǎn)換,以結(jié)果論英雄,解決濫竽充數(shù)、劣幣驅(qū)逐良幣的問題。因此,平臺化是安全服務產(chǎn)業(yè)規(guī)?;?、集約化、聚合化的產(chǎn)業(yè)升級和科學發(fā)展的必由之路。
與此同時,以安全服務產(chǎn)業(yè)鏈的全過程安全的深度融合,建立基于攻擊語境下的主動防護體系,推動IT產(chǎn)品自帶免疫能力,成為安全的IT產(chǎn)品,解決“后門問題”。
從全球網(wǎng)絡安全產(chǎn)業(yè)格局的發(fā)展可以發(fā)現(xiàn),網(wǎng)絡安全產(chǎn)品的發(fā)展趨勢逐步開始轉(zhuǎn)向“安全的IT產(chǎn)品”。網(wǎng)絡安全產(chǎn)品走向?qū)I(yè)化,橫向并購明顯,小型網(wǎng)絡安全產(chǎn)品開發(fā)商不斷被大型IT廠商合并以完善自身產(chǎn)品,使得新的IT產(chǎn)品不僅有業(yè)務處理能力也有安全免疫的能力。
當前我們的自主可信的產(chǎn)業(yè)生態(tài)體系有序推進。已經(jīng)形成基本完整的產(chǎn)業(yè)鏈。具備包括CPU(中央處理器)、DDR4(第四代內(nèi)存)、網(wǎng)絡芯片、網(wǎng)絡設備、災備、基礎軟件、應用系統(tǒng)開發(fā)平臺在內(nèi)的關(guān)鍵核心技術(shù)。以可信技術(shù)為紐帶,本質(zhì)安全和過程安全深度融合的全新動態(tài)安全體系,基本實現(xiàn)自主可控安全的IT產(chǎn)品系統(tǒng)與應用。
中國電子超前布局形成多重經(jīng)驗
據(jù)賀衛(wèi)東介紹,基于國家安全需求這個最終目標,中國電子打造網(wǎng)絡安全的保護體系,即本質(zhì)安全(國產(chǎn)化替代)和過程安全(產(chǎn)業(yè)鏈安全)。
中國電子結(jié)合下屬企業(yè)情況,明確長城網(wǎng)際為“過程安全”的牽頭企業(yè),面向成都、中山等地方政府和能源廣電等重要行業(yè)信息系統(tǒng)的安全需求,采用聚合、共享、共建、共御策略,按照“可發(fā)現(xiàn)、可防護、可控制、可替代、有能力”目標框架,創(chuàng)造性、定制化地開展信息安全服務,基本建立了本質(zhì)安全、過程安全和可信技術(shù)體系產(chǎn)業(yè)鏈。
一是平臺建設形成體系格局。搭建了“1個安全數(shù)據(jù)分析中心、5個區(qū)域節(jié)點、2個直轄市、9個地區(qū)子節(jié)點”的網(wǎng)絡化產(chǎn)業(yè)服務體系格局。在線安全服務模式、行業(yè)定制化服務模式、安全的IT資源服務外包模式均在多地得到應用。
二是核心技術(shù)攻關(guān)取得實質(zhì)性突破。長城網(wǎng)際所屬企業(yè)可信華泰圍繞可信計算打造本質(zhì)安全,建立起主動防御免疫體系和計算體系合一的雙體系系統(tǒng),在計算和可信雙結(jié)構(gòu)構(gòu)建等方面具有重大創(chuàng)新,總體達到國際先進水平,可信主動動態(tài)度量控制等技術(shù)達到國際領先水平。
三是生態(tài)圈建設成效顯著。構(gòu)建產(chǎn)業(yè)生態(tài)圈和用戶生態(tài)圈,形成安全服務生態(tài)鏈。加強與公安、安全、工信、保密等部門的密切合作,建立了由80多家合作伙伴組成的生態(tài)圈,提高了國際對抗的產(chǎn)業(yè)能力,形成了“國進民升”的產(chǎn)業(yè)格局。
四是構(gòu)建新的網(wǎng)信產(chǎn)業(yè)體系。本質(zhì)安全方面具備包括CPU(中央處理器)、DDR4(第四代內(nèi)存)、網(wǎng)絡芯片等關(guān)鍵核心技術(shù);過程安全方面實現(xiàn)了從防護、發(fā)現(xiàn)、控制、處置、能力建設到生態(tài)圈的信息安全高端服務業(yè)的產(chǎn)業(yè)鏈打造;構(gòu)建新的安全體系方面,形成以可信技術(shù)為紐帶,將本質(zhì)安全和過程安全深度融合的全新動態(tài)安全體系。
五是探索形成新的商業(yè)模式。探索實踐了“IOS”服務模式、聚合服務模式,平臺在項目上得到了實踐,充分表明眾測眾分、線下線上相結(jié)合、按分析結(jié)果付費的聚合服務模式能夠有效提升安全服務能力。通過“國進民升”,建立了安全大數(shù)據(jù)開放性分析平臺,推出了可信計算雙創(chuàng)社區(qū),以行業(yè)化聯(lián)合推動“雙創(chuàng)”,建設了國企進入、帶動民企的共贏產(chǎn)業(yè)環(huán)境。(來源:鋰電網(wǎng))