DT(数据技术)时代,网络安全价值观应该是什么?
“经营安全,安全经营。”
在8月26日举行的2021年北京网络安全大会上,奇安信集团董事长齐向东给出了8个字的答案。这个思辨色彩很浓的回答似乎少了些许“技术含量”,却引起了国内外网络安全专家的强烈共鸣。
的确,当互联网所产生的数据量呈现指数级增长,当数据与土地、劳动力、资本、技术并列成为五大生产要素之一,当数据驱动经济社会出现层出不穷的新形态,网络安全已经从“配套角色”变身为“底板工程”,成为数字化发展的前置条件。深刻变革之下,只有筑牢这个“新底板”,安全经营才有可能实现。
DT时代,安全责任已无“时空边界”
半个多世纪前,现代计算机之父冯•诺依曼说:“技术日新月异,人类生活方式正在快速转变,这一切给人类历史带来了一系列不可思议的奇点。我们曾经熟悉的一切,都开始变得陌生。”
较之冯•诺依曼所处的时代,DT时代的“转变”仍在继续加快,而解读这种转变就必须从数据入手。数据本身是中性的,但是因为有不同的力量,站在不同的立场,以不同的方式来使用数据,数据就有了一体两面性。“它既可以拿来做好事,也可以拿来做坏事。和人性一样,数据是非常复杂的。”齐向东说。
齐向东认为,数据的复杂性决定了DT时代安全的复杂性,具体可总结为三个显著特征:
其一,企业经营者的安全责任变成无限责任。只要用户的数据还存在,企业的责任就不会终结。保护每一个复杂交易的数据安全,成为贯穿企业经营的生命线,成为企业经营者的无限责任。
其二,企业经营活动变成国家网络安全的一部分。从《网络安全审查办法》到《关键信息基础设施安全保护条例》再到《个人信息保护法》,今年密集出台的一系列法律法规都在强调企业涉数据活动必须对国家、社会的承担安全责任。
其三,网络攻击变成破坏企业经营的高频事件。美国科洛尼尔管道运输公司遭网络勒索再次敲响警钟:勒索攻击成为“流行病”,勒索的赎金越来越高,造成的威胁越来越大。
责任无界化、安全一体化、攻击常态化,对于这种新特征给安全带来的压迫感,参会的国内外专家也感同身受。
俄罗斯前副总理谢尔盖•沙赫赖将之形容为“数字世界与线下世界之间特有的赛跑”,“我们都能认识到基础设施的脆弱性并对此习以为常,我们也都感受到了保护我们远离周遭乱象的技术屏障是多么单薄。”
可以预见的是,在未来相当长一段时期,安全系统和经营活动面临的复杂挑战还将不断升级。“想要安全经营,就要学会在经营中与这种复杂性打交道。只有煞费苦心地经营你的安全系统,才能保障你的经营活动安全运转。这是未来生存和发展的关键,也是我们提出‘经营安全,安全经营’的现实依据和逻辑起点。”齐向东说。
“经营安全”,是对网络安全的动态掌控
在齐向东提出“经营安全”之前,很少有人把这两个词这样排列在一起。即便有,“经营”也只是作为定语或名词去修饰“安全”,“经营安全”和“交通安全”“教育安全”一样,是诸多“安全”类别中的一种。
而DT语境下的“经营安全”,“经营”是谓语、是动词,是对安全的筹划和管理。“经营安全”不再是静态概念,而是一种动态思维,是对网络安全的提前预判、主动介入、动态掌控,通过“经营”让安全能力“动”起来,在不断循环升级的过程中破解复杂难题。
“经营”的“定”“谓”之变、“静”“动”之变,折射出齐向东等网络安全界人士对DT时代网安规律的反思。在IT时代,人们认为网络安全建设是一个简单活儿,IT系统的部署场景是固定的,解决安全问题的方法是隔离;在DT时代,网络安全解决的是生产力问题,是数据的生产、使用和交易问题。靠安装简单的安全产品或者某种“银弹”,防住一切网络攻击是不可能的,安全变成了一个复杂过程。
正如国家创新与发展战略研究会副会长郝叶力所言,“现在讲安全不能是后天的简单的外挂贴壳,而是从10月怀胎的时候就开始孕育”。
当然,“经营安全”并不像字面顺序调整这般简单,像所有新理念付诸实践一样,它也需要前提条件。齐向东认为第一个条件应该是要有与时俱进的目标。“在未来相当长一个历史时期,新技术、新应用、新场景不断涌现。因为新且复杂,注定安全系统要不断完善,所以需要为安全能力设定一个能够因势而动、因时而变、与日俱增的目标。”
实现目标必须有相对应的付出,这成为“经营安全”的第二个条件,即持续全面的投入。“DT时代,网络安全成了‘一失万无’的事,这意味着必须对安全有足够的资源投入才能确保‘万无一失’。”实际上,在这方面国家已经有了明确要求,工信部在《网络安全产业高质量发展三年行动计划(征求意见稿)》中提出,到2023年重点行业网络安全投入占信息化投入的比例要达到10%。
“经营安全”的第三个前提条件是专业高效的安全运营服务。DT时代安全边界消失,连接网络的终端泛化,使攻防对抗变得异常复杂,单靠政企机构自己单一的力量无法抵御这种复杂攻击,这就需要借助专业的安全公司来运营。
动态掌控网络安全,需要提升三种能力
今年3月,《十四五规划和2035远景目标纲要》正式发布,“全面加强网络安全保障体系和能力建设”被写入文件,网络安全进入到战略总体布局、各方协同联动、全方位实质性落地推进的新时期。
齐向东认为,做好新时期的网络安全工作,需要改变发展思维和发展模式,“经营安全”应成为政企机构的自觉行动。只有“经营安全”,才能实现对网络安全的动态掌控,而要实现动态掌控,必须进一步提升三种能力。
一是全面提升认知能力。态势感知是建立认知能力的核心。目前,态势感知主要分为三种:监管机构的监管类态势感知、企业内网的运营类态势感知、用于实战演练的攻防类态势感知。这三类感知各有所长,也各有不足。齐向东认为,只有将这三类态势感知有机协同在一起,形成实战化态势感知,才能全面提升认知能力。为此,需要构建统一的计算平台、标准和运营系统,为提升认知能力提供有力支撑。
二是全面提升安全能力。以前,人们把安全市场分为产品市场和服务市场,产品和服务是两回事。而在DT时代,产品和服务必须融合,要把产品变成一种能力,把能力变成一种资源,并用服务的方式使用资源。换句话说,就是要通过安全硬件产品的软件化实现安全产品的能力化,通过数据采集、治理、存储、分析、使用、API服务的标准化实现安全产品的资源化,在此基础上,把安全能力以资源服务形式嵌入到需要的每个角落。
三是全面提升授信能力。在传统认证体系里,授信相对粗放的,一个主体可以访问多个客体,一个客体也可以允许多个主体访问。这种方法有很多漏洞,被黑客广泛利用进行攻击。DT时代不再绝对信任任何一个主体,而是要给每个主体、每个客体附加很多属性,以“权限最小化”原则进行授信,并且对授信持续进行动态评估。
“总结起来,DT时代的网络安全是一件复杂的事,只有经营安全,才能实现对网络安全的动态掌控,而动态掌控力的提升有赖于三种能力:认知能力、安全能力和授信能力。只要我们携起手来,共同经营好网络安全防线,就一定能迎来一个更富竞争力、万物生长的数字中国。”齐向东说。(完)
(责任编辑:董云龙)