进入2020年,在复工复产、“新基建”全面启动的背景下,各地信创项目开始大面积铺开,信创产业也随之出现了一个现象级的风口,其必将迎来新的发展与挑战。
恰逢其时,全球首场网络安全万人云峰会 ISC 2020 正式启幕,打破了线上线下的空间桎梏,汇聚全球豪杰,全球顶级安全智囊、专家、学者共同探讨“数字孪生时代下的新安全”解决之道,迸发出网络安全领域新对话、新探讨与新碰撞,为全球万千参会者打造永不闭幕的升级交流体验。
在ISC 2020信创安全论坛上,360首席安全官杜跃进从攻防角度,全局视角,纵观信创产业发展全局,强调“无安全,不信创”,指出信创安全面临的三大挑战、五大问题的同时,提出要以攻防视角、整体思维、统一调度、开放运营、能力驱动的全新思路,构建可信的、安全的、可控的、可对抗的、可存活的信创安全体系。
信创产业全面启航
信创安全面临严峻挑战
众多数据显示,“信创”这个风口,将是一个万亿级的市场,对于网络安全产业来说,既是机遇,也是挑战。
360首席安全官杜跃进指出,信息技术应用创新是必然之路,在软件定义一切、万物互联、数据驱动业务的网络世界里,信创的大规模应用将迅速扩大攻击者可利用的攻击面,信创安全面临三方面严重挑战:
自身弱。每一个软件和系统都可能有漏洞,由于信创产业的厂商、产品和人员目前都没有经历过全世界网络安全人员的挑战,全面的信息技术应用创新,将导致信创系统处于相对脆弱的阶段。
对手强。“人间熙熙皆为利来,人之攘攘皆为利往”。互联网刚刚出来的时候,网络攻击者的动机以技术挑战为主,没有太多的利益考虑。但是,随着网络上开展的业务越来越多,网络攻击带来的利益日趋“诱人”,网络空间里的对手越来越强,单纯的网络攻击逐渐演变成获取非法利益的手段。随着信创的发展,未来关键基础实施、重要信息系统,业务都依赖软件、网络、数据作为基础,攻击者的攻击能力越来越强,信创安全将会面临更多且更强的对手。
动机多。未来,网络安全还会面临越来越复杂的动机。不仅仅是利益驱动,直接对金融机构进行攻击获利等,还会吸引更高级的网络攻击团伙、恐怖组织以及具有国家背景的攻击团伙,他们都有可能对网络空间不同的攻击目标,使用不同的攻击手法,达到个人或国家级别的目的。
与此同时,信创安全本身还面临着:认知偏差、能力不足、积累不足、实战不足四大问题。
认知偏差。要清醒的认识到自己的并不等于安全的,安全产品不等于安全能力。
能力不足。安全本质上是能力之间的对抗,在信创的安全能力领域里仍有安全测试与验证、安全开发与设计、漏洞发现与管理、威胁发现于应对、安全大数据应用等方面能力的不足。
积累不足。能力都不是一蹴而就的,需要长期积累。目前在信创安全领域,攻防经验、威胁情报、安全知识库、安全大数据和安全专家各方面目前的积累不足。
实战不足。首先是产品、用户和业务都未曾经受全球考验,其次是安全管理方面长期存在“捂盖子”的现象。只有揭开“捂盖子”的现象,通过发现问题不断总结、不断改进,才是应对安全挑战的正确道路,信创才能安全发展。
基于此,杜跃进提出“无安全,不信创“,一味照搬过去的安全思维和方法,无法解决当下信息技术应用创新所面临的安全问题,信创安全需要全新的思路。
机遇与挑战并存
信创安全体系设计需要新思路
网络安全和信息化是“一体之两翼,驱动之双轮”,安全作为信创发展的“基石”,需要同步规划、同步建设。
杜跃进提出信创安全体系设计的五大指导思想:
其一,需以攻防视角进行体系设计,网络安全的本质是攻防对抗,因此需要抓住本质,从攻防的视角进行安全设计、运营和检验。
其二,需要整体思维,鉴于主要对手能力远超于我们,而我方基础薄弱、积累不足,任何单独的产品或者用户部门,都不可能有效应对这类威胁。由于攻防的不对称性,要充分利用来自各方的资源与力量,使其相互响应与配合,以实现有效防御。
其三,需要统一调度,为了确保安全体系设计落实到位,特别是保障在运行阶段的攻防对抗能力,需要以统一调度的方式来运转整个安全体系。。
其四,需要开放运营,信创体系的运行环境是开放的,攻击者通常会选择最弱,最有价值的目标进行攻击。对于防御方来说,通过开放运营才能让更好的安全能力接入,才能集中所有力量有效抵御威胁。
最后,需要能力驱动,安全防护的最终效果,由实战的能力决定。合规作为基本要求,还需要以能力的提升、能力的检验为核心,多测多练。只有具备了对抗抵御威胁的能力,才能确保信创安全。
“在这样的指导思想下,整个信创安全的目标可以分为五个层面。”杜跃进表示,第一层基础目标是“可信的”,可信的基础之上是”安全的”。由于漏洞永远无法消除,系统总是可能会被入侵,第三层的目标是增强被入侵之后对攻击事件的”可控性”。第四层是增强安全威胁溯源、取证、慑阻等”可对抗的”能力。基于以上四个层次的目标,第五层目标是增强核心业务“可存活的“能力,守住网络安全最后的“底线“。
落地信创安全体系建设更加势在必行。截止目前,各信创安全厂商已逐步推进了终端安全、安全性测试、漏洞管理、安全开发、安全挑战、数字证书等方面的工作。未来还有更多的工作需要安全行业共同参与,互相配合,才有可能解决信创安全面临的问题。
杜跃进呼吁希望更多的安全企业参与到信创安全的工作之中,以确保国家信息化建设目标的实现。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )