Q 新基建戰(zhàn)略的推進使得數(shù)字經濟成為國民經濟發(fā)展的主引擎,,同時網絡空間的競爭博弈日趨激烈,日益與國家安全息息相關,。您認為這會給網絡安全帶來什么樣的新挑戰(zhàn),?
齊向東:隨著數(shù)字經濟時代的到來,,政府和企業(yè)開始全面網絡化,、數(shù)字化。業(yè)務和數(shù)據(jù)的安全性成了重中之重的問題,。尤其是隨著5G,、數(shù)據(jù)中心、工業(yè)互聯(lián)網等新型基礎設施建設的推進,,數(shù)字經濟加速向縱深發(fā)展,,傳統(tǒng)基礎設施轉型升級,進而形成的融合基礎設施,,加速了物理與虛擬邊界的消融,,帶來全新的安全挑戰(zhàn)。
新的安全挑戰(zhàn)體現(xiàn)在:一是攻擊暴露面擴大,。封閉的生產網絡,、業(yè)務系統(tǒng)開始向外界打開,網絡,、應用,、數(shù)據(jù)有了更多的暴露面,帶來新安全風險,。二是數(shù)據(jù)泄露風險加劇,。數(shù)據(jù)的開放、共享和持續(xù)流動加劇了信息數(shù)據(jù)的泄露風險,。三是個性化安全需求劇增,。新業(yè)務場景的安全需求千差萬別,需要針對不同行業(yè)的差異化需求,、不同的業(yè)務場景量身定做個性化的網絡安全解決方案,。四是網絡攻擊的后果擴大。自動駕駛汽車被攻擊,,可能導致車毀人亡,;電站被攻擊,可能導致災難性事故,。在數(shù)字經濟時代,,網絡攻擊將直接造成人身傷害或物理的破壞,后果是政府和企業(yè)運營主體不可承受的,。
在傳統(tǒng)互聯(lián)網時代,,網絡安全的主要任務是防止數(shù)據(jù)泄漏、破壞,,以及網絡癱瘓,;在網絡空間安全時代,網絡安全目標是包含設施、數(shù)據(jù),、用戶,、操作在內整個網絡空間的系統(tǒng)安全。
目前,,網絡攻擊在全球范圍呈現(xiàn)前所未有的頻率和激烈程度,。僅今年上半年,全球就發(fā)生十余起影響廣泛的工業(yè)控制系統(tǒng)網絡攻擊事件,,呈現(xiàn)出定向攻擊精準性提升迅速,、技術手段復雜化專業(yè)化、攻擊行為組織化的特征,,直接影響工業(yè)運行安全,。
數(shù)字經濟時代,網絡安全已經成為牽一發(fā)而動全身的要素,,其重要性更加凸顯。國際網絡空間的競爭博弈日趨激烈,,網絡安全產業(yè)是否壯大已經成為衡量國家網絡安全綜合實力的重要標準,。
Q
面對數(shù)字經濟所帶來的新技術新應用熱潮,網絡安全產業(yè)也處于一個重要轉折期,。您如何看待當前網絡安全產業(yè)的發(fā)展,?
齊向東:在數(shù)字經濟蓬勃發(fā)展的新形勢下,網絡安全行業(yè)已進入新的發(fā)展期,,面臨五大機會:首先,,客戶的數(shù)量激增,全球網絡攻擊事件頻發(fā),,更多企業(yè)從不關注網絡安全轉而加大對網絡安全投入,。其次,重點行業(yè)出現(xiàn)重量級客戶,,新基建推動網絡安全從輔助工程變成基礎工程,,推動網絡安全的投入持續(xù)加大。第三,,安全能力成為數(shù)字化的前提條件,,數(shù)字化應用場景不斷深化,網絡安全需求越來越多,。第四,,越來越嚴格的法律合規(guī)要求引爆更大的網絡安全市場,《網絡安全法》《關鍵信息基礎設施安全保護條例(征求意見稿)》等法律條例的實施,,必然帶來巨大的網絡安全增量市場,。第五,安全服務市場潛力巨大,,美國網絡安全市場中服務已經占到了63-64%,,而我國安全服務才到12%,。網絡安全服務市場會逐漸受到重視,未來將出現(xiàn)井噴式增長,。
近年來,,網絡安全在我國已經變成風口行業(yè),網絡安全產業(yè)持續(xù)火熱,,企業(yè)資本交易活動活躍程度明顯提升,,大量投資機構涌入市場助力產業(yè)發(fā)展,2019年國內網絡安全企業(yè)融資,、并購及股權等資本交易總額為225.6億元,,創(chuàng)歷史新高。同時,,網絡安全人才的待遇也在不斷提升,,平均年薪從2016年底的18.5萬元漲到了24萬元。
與網絡安全行業(yè)的高溫相反,,網絡安全企業(yè)賺錢難,、發(fā)展慢的狀況沒有得到根本改善,絕大多數(shù)企業(yè)仍處于小規(guī)模,、零散化,、同質化的“小零同”狀態(tài)。數(shù)據(jù)顯示,,2019年美國網絡安全市場規(guī)模為447億美元,,我國同期網絡安全產業(yè)規(guī)模只有608億元人民幣,僅是美國的五分之一,,與我國GDP達到美國的67%的比例嚴重不符,。
這種行業(yè)熱但市場難、企業(yè)難的原因,,主要是網絡安全處于重要轉折期,,傳統(tǒng)的思維和慣性做法還沒有及時轉變,跟不上數(shù)字經濟時代的步伐,。具體可歸為三個方面:一是甲方受傳統(tǒng)思維局限,,認為加大網絡安全就是購買更多的安全產品,而不注重建設安全系統(tǒng),;二是由于網絡安全產品創(chuàng)新周期長,,安全廠商的創(chuàng)新動能弱,更傾向于把有限的研發(fā)資金投向市場成熟的合規(guī)類產品,,導致安全產品嚴重同質化,,缺少競爭力;三是市場競爭標準單一,測評標準低于市場需求,。
Q
對政企用戶而言,,在這種新形勢下,傳統(tǒng)網絡安全體系存在哪些問題,?該如何重塑自己的網絡安全體系,?
齊向東:在新的網絡安全形勢下,政企機構的網絡安全預算不斷增加,,但與此同時網絡攻擊,、數(shù)據(jù)泄露事件依然層出不窮。網絡安全行業(yè)陷入投入不斷增加,、安全形勢卻日益嚴峻的尷尬局面,。
造成“防不住”的原因,主要是傳統(tǒng)的產品堆疊的網絡安全體系已經不能有效應對當前的網絡安全挑戰(zhàn),。傳統(tǒng)互聯(lián)網時代,,人們對網絡安全的防護習慣采取“事后補救”措施,網絡安全企業(yè)也習慣用“治病救人”的方法,,就是出了事再采取安全措施,。“事后補救”和“治病救人”的措施,,往往是“頭痛醫(yī)頭、腳痛醫(yī)腳”,,是局部的,、針對單點的,而不是徹底的和全面的,。這種“局部整改”為主的安全建設模式,,導致網絡安全體系化缺失、碎片化嚴重,、協(xié)同能力差,,網絡安全防御能力與數(shù)字化業(yè)務的保障要求嚴重不匹配。
為了滿足數(shù)字化建設的安全防護需求,,政企用戶必須拋棄這種“事后補救”的安全建設思路,,關口前移、防患于未然,,通過內生安全系統(tǒng)工程建設,,構建全面的“事前防控”網絡安全防護體系,用“實戰(zhàn)化,、體系化,、常態(tài)化”的要求,實現(xiàn)“動態(tài)防御、主動防御,、縱深防御,、精準防護、整體防控,、聯(lián)防聯(lián)控”,。
“內生安全”通過系統(tǒng)聚合、數(shù)據(jù)聚合和人的聚合,,不斷從信息化系統(tǒng)內生長出安全能力,。內生安全用“一個中心五個濾網”,從網絡,、數(shù)據(jù),、應用、行為,、身份五個層面來有效實現(xiàn)對網絡安全體系的管理,,從而構建無處不在,處處結合,,實戰(zhàn)化運行的安全能力體系,。
Q
如何理解“內生安全從安全框架開始”?
齊向東:實現(xiàn)內生安全,,是一套復雜的系統(tǒng)工程,,需要一個新形態(tài)的能力體系做支撐,需要用工程化,、體系化的方式實施,,實現(xiàn)它的關鍵就是安全框架。
在信息化系統(tǒng)功能越來越多,、規(guī)模越來越大,、與用戶的交互越來越深時,單一的,、堆疊的安全產品和服務,,哪怕是最新最先進的,都無法保證不被黑客攻破,。但內生安全系統(tǒng),,能夠讓安全產品和服務相互聯(lián)系、相互作用,,在整體上具備單個產品和服務所沒有的功能,,從而保障復雜系統(tǒng)的安全。
過去20年,,國內外在信息化建設方面,,用的是系統(tǒng)工程思想,,通過行之有效的EA方法論與框架,引導與推動了大規(guī)模,、體系化,、高效整合的信息化建設,很好地支撐了各行業(yè)的業(yè)務運營,。針對網絡安全,,一些西方發(fā)達國家采用體系化思想,也設計出了適應他們發(fā)展階段的NIST等框架,。但由于我國的網絡安全基礎比較薄弱,,一直采用的是“局部整改”為主的安全建設模式,無法套用西方現(xiàn)成的框架進行安全體系建設,。
針對我國的國情,,我們提出了內生安全框架,從工程實現(xiàn)的角度,,將安全需求分步實施,,逐步建成面向未來的安全體系。這套框架從頂層視角出發(fā),,以系統(tǒng)工程的方法論結合“內生安全”的理念,,支撐各行業(yè)的建設模式從“局部整改外掛式”走向“深度融合體系化”,在數(shù)字化環(huán)境內部建立無處不在的網絡安全“免疫力”,,真正實現(xiàn)內生安全,。
Q
內生安全框架具體如何落地?政企用戶如何使用內生安全框架來建設面向未來的網絡安全防御體系,?
齊向東:內生安全框架落地有三個重點:“盤家底”“建系統(tǒng)”“跑得贏”,。
“盤家底”指的是體系化地梳理、設計出所需的全部安全能力,;“建系統(tǒng)”指的是通過與信息化的融合實現(xiàn)深度結合、全面覆蓋,,把安全能力組件化,,以系統(tǒng)、服務,、軟硬件資源等不同形態(tài),,科學、有序地部署到信息化環(huán)境的不同區(qū)域,、節(jié)點,、層級中,確保安全能力可建設,、可落地,、可調度,;“跑得贏”指的是確保安全運行的可持續(xù)性,實現(xiàn)管理閉環(huán),。只有強調安全運行,,才能跑得贏漏洞、內鬼和黑客,。
落地內生安全,,最理想的情況是建設一個完整的框架。但現(xiàn)實情況是,,大多數(shù)政府和企業(yè)的信息化系統(tǒng),,都是新老結合,往往需要花若干年的時間,,才能完成對老系統(tǒng)的替換,,是一個“立新破舊”的過程。從安全系統(tǒng)與信息化系統(tǒng)聚合的實施角度來看,,如果割裂地對老系統(tǒng)用老辦法,,新系統(tǒng)用新辦法,未來當老系統(tǒng)被替代時,,老的安全系統(tǒng)也不得不替換掉,,造成巨大的浪費。這就要求我們對安全體系進行“統(tǒng)一設計,,分步實施”,,在體系的基礎上,把安全框架組件化,,讓這些組件既是新體系的一部分,,又能部署到老系統(tǒng)中,從而適應信息化系統(tǒng)這種漸進式的,、“立新破舊”的過程,,避免不斷地把安全系統(tǒng)推倒重來,確?,F(xiàn)在安全上的投資是面向未來的,。
我們用工程化的思想,把體系中的安全能力,,映射成為可執(zhí)行,、可建設的網絡安全能力組件,構成了內生安全框架,,這些組件與信息化進行體系化地聚合,,是安全框架落地的關鍵。
在內生安全框架中,,我們設計解構出了“十大工程,、五大任務”,, 這是內生安全框架的具體落地手冊,涵蓋了當前所有主流場景,、技術的信息化系統(tǒng)所需要的安全能力,。這相當于打造了一個信息化巨系統(tǒng)內生安全框架的建設樣板,每一個工程和任務,,都可以理解成樣板房里的不同“房間”,。政企機構可以結合自身信息化的特點,選取不同的“房間”進行組合,,定義自己的關鍵工程和任務,。
Q
內生安全框架對產業(yè)會帶來什么樣的影響?在打造產業(yè)生態(tài)上起到何種作用,?
齊向東:新一代內生安全網絡安全框架,,從信息化的角度規(guī)劃安全建設,立足解決未來十年到二十年的網絡安全體系問題,,有助于改變網絡安全產業(yè)“小零同”的現(xiàn)狀,,為網絡安全產業(yè)提供更多更大的發(fā)展空間。
內生安全框架的核心是指導政企機構體系化的網絡安全規(guī)劃建設,,從過去局部整改為主的外掛式建設模式走向深度融合的體系化建設模式,,使之能夠輸出體系化、全局化,、實戰(zhàn)化的網絡安全能力,,以“內生安全”理念構建出動態(tài)綜合的網絡安全防御體系。
在這個過程中,,通過規(guī)劃,、建設、服務等產業(yè)不斷擴大的網絡安全預算,,可以提升網絡安全產值,,形成巨大的網絡安全市場,從而破解我國網絡安全產業(yè)規(guī)模小的困局,。
內生安全框架催生了新的安全需求,,為網絡安全生態(tài)發(fā)展創(chuàng)造了更大的空間。要滿足新的網絡安全需求,,必須借助生態(tài)整合的力量,協(xié)同網絡安全廠商,、基礎設施廠商,、應用開發(fā)廠商,以及教育,、科研機構,,主管部門和用戶,,共同打造“產學研用管”一體化的網絡安全產業(yè)生態(tài)。
在內生安全框架指導下,,政企用戶網絡安全建設將實現(xiàn)網絡安全與信息化深度融合,、全面覆蓋,網絡安全與信息化建設同步規(guī)劃,、同步建設,、同步運行,成為覆蓋信息化全產業(yè)鏈的內生安全體系建設,。網絡安全廠商需要深入業(yè)務和數(shù)據(jù),,為客戶提供更精準的安全保護,沒有一家廠商能單獨解決所有安全領域問題,,生態(tài)領導力將成為網絡安全廠商未來核心競爭力,。
內生安全框架旨在構建出動態(tài)綜合的網絡安全防御體系。這個體系中包含了130多個信息化組件,,需要79類網絡安全組件,,覆蓋了29個安全域場景。這其中很多組件目前都是空缺,,需要更多的產品和服務來填補,,這既是產業(yè)規(guī)模和增長空間擴大的因素,也是產業(yè)創(chuàng)新,、合作發(fā)展的機會,,需要眾多廠商共同參與。
在內生安全驅動的新型網絡安全生態(tài)中,,安全大廠商,、大集成商發(fā)揮好牽引作用,小企業(yè)專精細分領域的技術創(chuàng)新和能力建設,,通過同步規(guī)劃,、同步建設、同步運行,,實現(xiàn)整個網絡安全生態(tài)與信息化的深度融合,,促進與產品廠商和技術創(chuàng)新廠商的共同發(fā)展,進一步擴大網絡安全產業(yè)規(guī)模,,促進我國信息安全產業(yè)實現(xiàn)良性快速發(fā)展,。