“只有煞费苦心地经营你的安全系统,才能保障你的经营活动安全运转。” 8月26日,奇安信集团董事长齐向东在2021北京网络安全大会(BCS 2021)战略峰会上表示,DT时代需要与数据的复杂性共生,只有经营安全,才能实现安全经营。经营安全是对网络安全的动态掌控,它与内生安全、内生安全框架共同组成了政府和企业实施网络安全的“三部曲”。
与数据的复杂性共生是DT时代的重要命题
当前,大数据正在渗透到各行各业,海量数据的加速流转带来了一系列变化。数据问题让国际关系变得越来越复杂,数据资产成为了勒索攻击的头号目标,针对关键基础设施数字化系统的攻击愈演愈烈……这些变化标志着人类社会已经从IT时代进入了DT时代。
“数据和人性一样,是非常复杂的。我们该如何与这种复杂性共生,是DT时代的一个重要命题。”齐向东在第三届BCS大会上表示,数据本身是中性的,但是因为有不同的力量,站在不同的立场,以不同的方式来使用这些数据,数据就有了一体两面性。
他总结,DT时代有三个显著特征。其一是企业经营者的责任,从以前的有限责任变成了无限责任。DT时代几乎所有的交易都数字化了,只要数据还存在,责任就不会终结;其二是企业的经营活动,成为了国家网络安全的一部分;其三是网络攻击破坏企业经营,变成了高频事件。数据的被泄密、被篡改、被删除、被盗窃都是大事,网络安全对政企机构造成的影响,是巨大的和致命的。
齐向东认为,在未来相当长一段时期,想要安全经营,就要学会在经营中与这种复杂性打交道,这是生存和发展的关键。因此,今年BCS大会的主题确定为“经营安全 安全经营”,意思是,只有煞费苦心地经营你的安全系统,才能保障你的经营活动安全运转。
经营安全是对网络安全的动态掌控
DT时代,传统的网络边界逐渐被瓦解,传统的隔离等解决方案难以应对日益复杂的网络威胁。尤其是近年来网络攻击的规模、手段、目标等都在演化,高级持续攻击屡见不鲜,网络安全发生了颠覆性变化。
“DT系统是大数据架构的复杂系统,要拆墙、拔烟囱,靠安装简单的安全产品或者某种‘银弹’,防住一切网络攻击是不可能的。”齐向东称,只有经营安全,才能破解复杂难题。
他解释,经营安全是对网络安全的动态掌控。具体来说,要先通过运营发现问题,然后针对问题完善年度建设计划,之后再通过五年规划升级体系建设,让安全动起来,形成良性循环。
这三年BCS大会的主题,即“内生安全”、“内生安全框架”和“经营安全”,共同组成了政府和企业实施网络安全的“三部曲”:理念、方法和动态掌控。“按照这个三部曲的节奏去理解安全、实践安全、发展安全,未来我们生活的世界,必将出现万物生长的繁荣景象。”齐向东说。
经营安全的三大前提和三大能力
齐向东表示,对网络安全的动态掌控是一个复杂的循环升级过程,至少需要三个前提条件和三个重要能力。
实现动态掌控的第一个前提条件是目标,要让安全能力与日俱增,保护复杂系统和复杂交易;二是投入,要用足够的资源,来满足对安全无限的需求;三是运营,要用专业高效的安全运营服务,来抵御复杂的网络攻击。
齐向东提出,有了这三个前提条件,政企机构还需要打造三个重要能力,来提升对安全的掌控力。
一是认知能力。实战化态势感知是认知能力的核心,将目前的监管类、运营类和攻防类态势感知有机协同在一起,及时看到威胁、揪出威胁、阻断威胁;安全运营是认知能力的关键,通过资配漏补等基础工作,让安全体系日益健全。
二是安全能力。把安全产品能力化、资源化、服务化,实现这三点,要分别做到安全的硬件产品软件化、数据和API标准化以及调度指挥。这种能力资源服务模式比拼的是实战效果,能更好地推动厂家技术创新。
三是授信能力。网络安全的核心问题,是信任问题。齐向东指出,IT时代的授信能力是粗放和不足的,存在很多漏洞,广泛被黑客利用进行攻击。而DT时代的授信能力是零信任体系提供的,以“权限最小化”原则进行授信,持续进行动态评估实现动态可控,这种授信能力是网络安全的保障。
“‘飞矢不动’的悖论告诉我们,静止是相对的,运动是绝对的。安全也是一样,它看不见摸不着,但是当网络攻击发生了,我们也就感受到了安全的存在。”齐向东说,只要全社会携起手来,共同经营好网络安全防线,一定能迎来一个更富竞争力、万物生长的数字中国。