DT(數(shù)據(jù)技術(shù))時(shí)代���,網(wǎng)絡(luò)安全價(jià)值觀應(yīng)該是什么?
“經(jīng)營安全�,安全經(jīng)營��!
在8月26日舉行的2021年北京網(wǎng)絡(luò)安全大會(huì)上����,奇安信集團(tuán)董事長齊向東給出了8個(gè)字的答案。這個(gè)思辨色彩很濃的回答似乎少了些許“技術(shù)含量”�,卻引起了國內(nèi)外網(wǎng)絡(luò)安全專家的強(qiáng)烈共鳴。
的確��,當(dāng)互聯(lián)網(wǎng)所產(chǎn)生的數(shù)據(jù)量呈現(xiàn)指數(shù)級(jí)增長����,當(dāng)數(shù)據(jù)與土地、勞動(dòng)力�����、資本���、技術(shù)并列成為五大生產(chǎn)要素之一�����,當(dāng)數(shù)據(jù)驅(qū)動(dòng)經(jīng)濟(jì)社會(huì)出現(xiàn)層出不窮的新形態(tài)�����,網(wǎng)絡(luò)安全已經(jīng)從“配套角色”變身為“底板工程”�����,成為數(shù)字化發(fā)展的前置條件����。深刻變革之下,只有筑牢這個(gè)“新底板”����,安全經(jīng)營才有可能實(shí)現(xiàn)。
DT時(shí)代���,安全責(zé)任已無“時(shí)空邊界”
半個(gè)多世紀(jì)前�,現(xiàn)代計(jì)算機(jī)之父馮•諾依曼說:“技術(shù)日新月異����,人類生活方式正在快速轉(zhuǎn)變,這一切給人類歷史帶來了一系列不可思議的奇點(diǎn)��。我們曾經(jīng)熟悉的一切�,都開始變得陌生�!
較之馮•諾依曼所處的時(shí)代,DT時(shí)代的“轉(zhuǎn)變”仍在繼續(xù)加快���,而解讀這種轉(zhuǎn)變就必須從數(shù)據(jù)入手�。數(shù)據(jù)本身是中性的��,但是因?yàn)橛胁煌牧α��,站在不同的立場��,以不同的方式來使用?shù)據(jù)�,數(shù)據(jù)就有了一體兩面性����!八瓤梢阅脕碜龊檬拢部梢阅脕碜鰤氖�����。和人性一樣�����,數(shù)據(jù)是非常復(fù)雜的������!饼R向東說���。
齊向東認(rèn)為,數(shù)據(jù)的復(fù)雜性決定了DT時(shí)代安全的復(fù)雜性���,具體可總結(jié)為三個(gè)顯著特征:
其一�����,企業(yè)經(jīng)營者的安全責(zé)任變成無限責(zé)任�。只要用戶的數(shù)據(jù)還存在�����,企業(yè)的責(zé)任就不會(huì)終結(jié)���。保護(hù)每一個(gè)復(fù)雜交易的數(shù)據(jù)安全�,成為貫穿企業(yè)經(jīng)營的生命線���,成為企業(yè)經(jīng)營者的無限責(zé)任��。
其二�����,企業(yè)經(jīng)營活動(dòng)變成國家網(wǎng)絡(luò)安全的一部分��。從《網(wǎng)絡(luò)安全審查辦法》到《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》再到《個(gè)人信息保護(hù)法》�����,今年密集出臺(tái)的一系列法律法規(guī)都在強(qiáng)調(diào)企業(yè)涉數(shù)據(jù)活動(dòng)必須對國家��、社會(huì)的承擔(dān)安全責(zé)任���。
其三,網(wǎng)絡(luò)攻擊變成破壞企業(yè)經(jīng)營的高頻事件����。美國科洛尼爾管道運(yùn)輸公司遭網(wǎng)絡(luò)勒索再次敲響警鐘:勒索攻擊成為“流行病”,勒索的贖金越來越高�����,造成的威脅越來越大��。
責(zé)任無界化�、安全一體化、攻擊常態(tài)化��,對于這種新特征給安全帶來的壓迫感,參會(huì)的國內(nèi)外專家也感同身受�。
俄羅斯前副總理謝爾蓋•沙赫賴將之形容為“數(shù)字世界與線下世界之間特有的賽跑”,“我們都能認(rèn)識(shí)到基礎(chǔ)設(shè)施的脆弱性并對此習(xí)以為常��,我們也都感受到了保護(hù)我們遠(yuǎn)離周遭亂象的技術(shù)屏障是多么單薄�。”
可以預(yù)見的是�,在未來相當(dāng)長一段時(shí)期,安全系統(tǒng)和經(jīng)營活動(dòng)面臨的復(fù)雜挑戰(zhàn)還將不斷升級(jí)����。“想要安全經(jīng)營�,就要學(xué)會(huì)在經(jīng)營中與這種復(fù)雜性打交道。只有煞費(fèi)苦心地經(jīng)營你的安全系統(tǒng)�����,才能保障你的經(jīng)營活動(dòng)安全運(yùn)轉(zhuǎn)�。這是未來生存和發(fā)展的關(guān)鍵,也是我們提出‘經(jīng)營安全���,安全經(jīng)營’的現(xiàn)實(shí)依據(jù)和邏輯起點(diǎn)�����!饼R向東說�����。
“經(jīng)營安全”����,是對網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控
在齊向東提出“經(jīng)營安全”之前�����,很少有人把這兩個(gè)詞這樣排列在一起�����。即便有�����,“經(jīng)營”也只是作為定語或名詞去修飾“安全”�,“經(jīng)營安全”和“交通安全”“教育安全”一樣����,是諸多“安全”類別中的一種�。
而DT語境下的“經(jīng)營安全”���,“經(jīng)營”是謂語�、是動(dòng)詞�����,是對安全的籌劃和管理�����!敖(jīng)營安全”不再是靜態(tài)概念��,而是一種動(dòng)態(tài)思維����,是對網(wǎng)絡(luò)安全的提前預(yù)判����、主動(dòng)介入、動(dòng)態(tài)掌控���,通過“經(jīng)營”讓安全能力“動(dòng)”起來����,在不斷循環(huán)升級(jí)的過程中破解復(fù)雜難題。
“經(jīng)營”的“定”“謂”之變��、“靜”“動(dòng)”之變���,折射出齊向東等網(wǎng)絡(luò)安全界人士對DT時(shí)代網(wǎng)安規(guī)律的反思����。在IT時(shí)代��,人們認(rèn)為網(wǎng)絡(luò)安全建設(shè)是一個(gè)簡單活兒�����,IT系統(tǒng)的部署場景是固定的����,解決安全問題的方法是隔離�����;在DT時(shí)代,網(wǎng)絡(luò)安全解決的是生產(chǎn)力問題����,是數(shù)據(jù)的生產(chǎn)、使用和交易問題�����?堪惭b簡單的安全產(chǎn)品或者某種“銀彈”���,防住一切網(wǎng)絡(luò)攻擊是不可能的,安全變成了一個(gè)復(fù)雜過程���。
正如國家創(chuàng)新與發(fā)展戰(zhàn)略研究會(huì)副會(huì)長郝葉力所言��,“現(xiàn)在講安全不能是后天的簡單的外掛貼殼��,而是從10月懷胎的時(shí)候就開始孕育”��。
當(dāng)然����,“經(jīng)營安全”并不像字面順序調(diào)整這般簡單�����,像所有新理念付諸實(shí)踐一樣,它也需要前提條件���。齊向東認(rèn)為第一個(gè)條件應(yīng)該是要有與時(shí)俱進(jìn)的目標(biāo)������!霸谖磥硐喈(dāng)長一個(gè)歷史時(shí)期�����,新技術(shù)�����、新應(yīng)用���、新場景不斷涌現(xiàn)。因?yàn)樾虑覐?fù)雜��,注定安全系統(tǒng)要不斷完善����,所以需要為安全能力設(shè)定一個(gè)能夠因勢而動(dòng)�、因時(shí)而變�����、與日俱增的目標(biāo)����。”
實(shí)現(xiàn)目標(biāo)必須有相對應(yīng)的付出����,這成為“經(jīng)營安全”的第二個(gè)條件,即持續(xù)全面的投入������!癉T時(shí)代,網(wǎng)絡(luò)安全成了‘一失萬無’的事���,這意味著必須對安全有足夠的資源投入才能確�����!f無一失’��������!睂(shí)際上�,在這方面國家已經(jīng)有了明確要求�����,工信部在《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃(征求意見稿)》中提出���,到2023年重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入的比例要達(dá)到10%���。
“經(jīng)營安全”的第三個(gè)前提條件是專業(yè)高效的安全運(yùn)營服務(wù)。DT時(shí)代安全邊界消失���,連接網(wǎng)絡(luò)的終端泛化,使攻防對抗變得異常復(fù)雜���,單靠政企機(jī)構(gòu)自己單一的力量無法抵御這種復(fù)雜攻擊�,這就需要借助專業(yè)的安全公司來運(yùn)營。
動(dòng)態(tài)掌控網(wǎng)絡(luò)安全�,需要提升三種能力
今年3月,《十四五規(guī)劃和2035遠(yuǎn)景目標(biāo)綱要》正式發(fā)布����,“全面加強(qiáng)網(wǎng)絡(luò)安全保障體系和能力建設(shè)”被寫入文件,網(wǎng)絡(luò)安全進(jìn)入到戰(zhàn)略總體布局��、各方協(xié)同聯(lián)動(dòng)���、全方位實(shí)質(zhì)性落地推進(jìn)的新時(shí)期����。
齊向東認(rèn)為�����,做好新時(shí)期的網(wǎng)絡(luò)安全工作�,需要改變發(fā)展思維和發(fā)展模式,“經(jīng)營安全”應(yīng)成為政企機(jī)構(gòu)的自覺行動(dòng)���。只有“經(jīng)營安全”�,才能實(shí)現(xiàn)對網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控,而要實(shí)現(xiàn)動(dòng)態(tài)掌控�,必須進(jìn)一步提升三種能力。
一是全面提升認(rèn)知能力�����。態(tài)勢感知是建立認(rèn)知能力的核心�。目前,態(tài)勢感知主要分為三種:監(jiān)管機(jī)構(gòu)的監(jiān)管類態(tài)勢感知����、企業(yè)內(nèi)網(wǎng)的運(yùn)營類態(tài)勢感知、用于實(shí)戰(zhàn)演練的攻防類態(tài)勢感知�。這三類感知各有所長,也各有不足��。齊向東認(rèn)為���,只有將這三類態(tài)勢感知有機(jī)協(xié)同在一起�����,形成實(shí)戰(zhàn)化態(tài)勢感知����,才能全面提升認(rèn)知能力。為此����,需要構(gòu)建統(tǒng)一的計(jì)算平臺(tái)��、標(biāo)準(zhǔn)和運(yùn)營系統(tǒng)���,為提升認(rèn)知能力提供有力支撐����。
二是全面提升安全能力�����。以前���,人們把安全市場分為產(chǎn)品市場和服務(wù)市場���,產(chǎn)品和服務(wù)是兩回事。而在DT時(shí)代�����,產(chǎn)品和服務(wù)必須融合,要把產(chǎn)品變成一種能力���,把能力變成一種資源���,并用服務(wù)的方式使用資源。換句話說�,就是要通過安全硬件產(chǎn)品的軟件化實(shí)現(xiàn)安全產(chǎn)品的能力化,通過數(shù)據(jù)采集���、治理�����、存儲(chǔ)����、分析��、使用����、API服務(wù)的標(biāo)準(zhǔn)化實(shí)現(xiàn)安全產(chǎn)品的資源化,在此基礎(chǔ)上��,把安全能力以資源服務(wù)形式嵌入到需要的每個(gè)角落。
三是全面提升授信能力��。在傳統(tǒng)認(rèn)證體系里�����,授信相對粗放的��,一個(gè)主體可以訪問多個(gè)客體�,一個(gè)客體也可以允許多個(gè)主體訪問�����。這種方法有很多漏洞�,被黑客廣泛利用進(jìn)行攻擊。DT時(shí)代不再絕對信任任何一個(gè)主體��,而是要給每個(gè)主體����、每個(gè)客體附加很多屬性,以“權(quán)限最小化”原則進(jìn)行授信���,并且對授信持續(xù)進(jìn)行動(dòng)態(tài)評估�。
“總結(jié)起來,DT時(shí)代的網(wǎng)絡(luò)安全是一件復(fù)雜的事�,只有經(jīng)營安全,才能實(shí)現(xiàn)對網(wǎng)絡(luò)安全的動(dòng)態(tài)掌控�����,而動(dòng)態(tài)掌控力的提升有賴于三種能力:認(rèn)知能力����、安全能力和授信能力。只要我們攜起手來�,共同經(jīng)營好網(wǎng)絡(luò)安全防線,就一定能迎來一個(gè)更富競爭力����、萬物生長的數(shù)字中國���!饼R向東說���。(完)
(責(zé)任編輯:董云龍 )
【免責(zé)聲明】本文僅代表合作供稿方觀點(diǎn),不代表和訊網(wǎng)立場�。投資者據(jù)此操作,風(fēng)險(xiǎn)請自擔(dān)�����。
最新評論