内生安全的关键是管理
“内生安全”是齐向东在2019年首届BCS大会上发布的最新理念,指出需要依靠聚合,从信息化系统内不断生长出自适应、自主和自成长的安全能力,一经提出就得到了业界的广泛认同。
“内生安全的关键是管理。”齐向东在BCS 2020大会上表示:“漏洞是不可避免的,人是不可靠的,所以不管技术多高,网络安全体系还是会失效。”
近年来多起影响重大的网络安全事件都表明,缺乏有效管理会导致严重后果。例如,今年7月,奥巴马、拜登、比尔·盖茨、巴菲特等多位美国政商名流的推特账号被劫持并发布诈骗信息,事后调查发现,是一个17岁的黑客窃取了推特员工内部管理系统账号的权限。如果对身份、行为做了有效管理,被攻击的可能性就会大大降低。
齐向东指出,内生安全代表是一种新形态的网络安全管理模式。它与传统意义上的管理有很大区别,既不是单纯的人员管理、行政管理、体制机制管理,也不是传统的条文式管理、流程式管理。
这套“新管理”模式由数据驱动,通过与安全体系中的能力平台和服务平台有效对接,实现对安全技术、安全运行等各方面要素的有效管理,从而发现和规避黑客利用安全体系里的漏洞发起的攻击,克服人的不可靠性、弥补人的能力不足。
管理的关键是框架
实现内生安全所代表的新形态安全管理,是一套复杂的系统工程,需要用工程化、体系化的方式进行实施,实现它的关键是安全框架。
齐向东表示,内生安全框架已经经过了40余个大型政企机构的实战锤炼,具有“1+1>2”的涌现效应。它按照系统工程的思想,将安全能力组件化,由规划方法、工具集、模型、架构和项目纲要构成,能让安全产品和服务相互联系、相互作用,在整体上具备单个产品和服务所没有的功能,从而保障复杂系统的安全。
他总结,内生安全框架有三个重点——“理清楚”、“建起来”、“跑得赢”,目的是通过“新管理”,让网络安全体系具有动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控的能力。
“理清楚”是体系化地梳理、设计出所需的安全能力。梳理时充分考虑所有可能涉及到的问题,设计时根据实际情况挑选、组合和规划,给出明确标准,确保这些安全能力能够融入到信息化与业务系统中。
“建起来”是通过融合,做到安全能力与信息化系统的深度结合、全面覆盖。在具体建设过程中,按照全景化的技术部署模型,把安全能力组件化,以系统、服务、软硬件资源的形态,合理部署到信息化系统的不同区域、节点、层级中。
“跑得赢”是确保安全运行的可持续性,实现管理闭环。齐向东认为,缺乏安全运行的安全系统,相当于“靠天吃饭”,极易被攻击。只有强调安全运行,把管理作为关键,才能跑得赢漏洞、内鬼和黑客。
框架的关键是组件化
在新基建建设、数字化转型的浪潮下,很多政府和企业的信息化系统都需要对老系统进行替换,实现“立新破旧”。齐向东认为,从安全系统与信息化系统聚合的实施角度看,如果割裂地对老系统用老办法,新系统用新办法,会造成巨大的浪费。
他给出的解决方案是,对安全体系进行“统一设计,分步实施”,在体系的基础上把安全框架组件化,让这些组件既能是新体系的一部分,又能部署到老系统中,从而适应信息化系统“立新破旧”的过程,避免不断地把安全系统推倒重来,确保现在安全上的投资是面向未来的。
“我们用工程化的思想,把体系中的安全能力,映射成为可执行、可建设的网络安全能力组件,构成了内生安全框架,这些组件与信息化进行体系化地聚合,是安全框架落地的关键。”齐向东说。
奇安信研究了各类大型机构网络安全的新技术产品和服务体系,穷尽了安全能力组件的类型,为这些体系设计并解构出了十个网络安全工程,以及五方面的支撑能力任务,简称“十工五任”。
齐向东指出,“十工五任”是内生安全框架的具体落地手册,相当于打造了一个信息化巨系统内生安全框架的建设样板,每一个工程和任务,都可以理解成样板房里的不同“房间”。政企机构可以结合自身信息化的特点,选取不同的“房间”进行组合,定义自己的关键工程和任务。
以某个“新基建”项目为例,奇安信依据“十工五任”手册,针对136个信息化组件,总结出了29个安全区域场景,部署了79类安全组件。
齐向东表示,政府和企业按照内生安全框架,投入三至五年时间,就能建立起完善的网络安全协同联动防御体系,真正实现内生安全。