猎云网注:在今天召开的第二届CSS安全领袖峰会上,中国电子技术标准化研究院信息安全研究中心副主任刘贤刚代表腾讯安全联合实验室、网络空间研究中心、中国电子技术标准化研究院发布了互联网+企业网络安全生态的研究报告。报告指出,安全问题已是互联网+企业面临的非常重要的问题,由于新技术、新应用,在云计算、大数据、智能制造、传统IT业务领域带来新的安全挑战。为应对这些挑战,企业应建立“轻足迹”的管理理念:防护手段模块化,应急管理扁平化。只有快速高效的处理安全问题,企业才能在未来获得长足发展。
以下是此次刘贤刚的演讲实录,猎云网(微信:ilieyun)有所修改。
尊敬的各位领导,各位嘉宾,下面我代表多方共同参与这个报告制定的腾讯安全联合实验室、网络空间研究中心、中国电子技术标准化研究院汇报一下互联网+企业网络安全生态的研究报告。
首先我们这个报告是立足于在互联网+这个时代下一个生态环境的分析,试图从企业的角度来讲抛砖引玉,给出一些观点,希望能对企业,对趋势的判断或者是下一步的把握有所帮助。
我们梳理了一下互联网+这个时代的特征。
首先互联网+是一个新的产业革命,我想大家也很熟悉。国家层面在转型,我们的实体经济也在转型,包括整个市场运行的机制都在转型。现在我想不是转不转的问题,是转的速度快慢或者转的是否合理有效,是否符合我们国家真正的市场需求,符合我们发展的特点,这个实际上是整个转型的核心。
在这种背景下,国家提出了互联网+的战略,我们以往是通过大规模的生产、低的人力成本,以及我们比较好的一个环境基础,采用低成本的方式快速的战略市场,降低成本,这种粗犷式的发展模式。这种模式显然已经不是现在的发展现状,所以国家提出,通过互联网先进的因素,通过这样一个创新源来改造和提升传统行业。
互联网+也是一个企业的发展机遇。大量传统的制造业,传统的行业都在把它的生产、营销以及管理,包括它的整个客户关系,整个的管理链条通过互联网+的方式来改造提升,这也是带来了巨大的发展机遇。
同时互联网+也是企业发展面临的一个非常重要的问题,就是网络安全问题。随着不断的触网,不断的深度融合,信息安全问题可能会直接影响到企业的生产经营,带来非常严重的影响和后果。互联网+时代我们从企业的角度应该树立一个与发展相适应的网络安全观。
今年4月19日,习总书记提出了整体性、动态性、开放性、相对性和共同性的五个网络安全观的特点,大家也都很清楚。我想对于做网络安全的人是一个点的非常透的本质特征的把握,使我们以前有一些认识都有了一个进一步的深化和改变。
从企业的角度来讲,我们也要建立与这几个特征相适应的企业的网络安全观:
第一个是开放与协作。我想今天的很多专家都特别强调开放、协作,在现在复杂的网络环境下,我们很难独善其身,病人在协作的情况下共同来抵御一些风险,包括黑产等等。所以这个也是今天的一个共识;
第二是边界模糊,关联性强,影响面大。大家额都知道,现在网络的边界,万物互联,各种各样的设备接入到网络,给原来边界防护的控制方式带来了巨大的挑战;
第三是每个企业都会思考我的网络安全的投入和我产生的效果能不能达到一种平衡,能不能用最小的成本得到最大的收益,最大的防护效果,最大限度的抵御风险。这都是企业特别关注的问题;
第四是网络安全防护的动态化和持续化。我想习主席那五个特点也特别反映了这一点。我们企业经常会在系统上线前,或者是在系统调试的阶段会增加一些安全的考虑。但是在研发、设计或者初步需求分析的阶段考虑的安全因素往往还是比较欠缺的,更在乎的是功能的实现。
上线了以后,我们持续的监控,持续的控制往往也是跟不上的。所以很多安全隐患是在运行态,而不是上线前的这个点。所以动态持续的这种方式是非常重要的。
网络安全的政策环境,我们通过调研,通过向上级机关来了解,我们梳理了一下跟网络安全相关的政策制度。从1995年到2015年法律法规上面一共是六项,政策文件一共是47项。实际上关于这个法律法规,政策制度方面还是国家一直在积极努力健全这个环境,但是很重要的就是《网络安全法》并没有出台,三天前正式发布,所以我觉得这个是非常重要的。
所以我们划出这个体系图,是从国家层面、行业层面和企业层面来梳理的,国家这个层面现在法律已经出台了。
在行业层面,在金融、电信、电力这种信息化程度很高,或者风险控制意识特别强的领域,实际上都是有一些安全管理或者安全防护行业的指导性文件,这个做的是比较早的。
在企业层面,我们想比较重要的就是个人信息的保护,安全的漏洞管理等等,以及行业自律。这三个方面都需要协调的配合,来共同形成这种局面,最终是在国家层面、行业层面、企业层面都能够形成合力。
互联网+时代有什么样的特征?我们也结合90年代美国的陆军军事学院提出来的新时代的VUCA特征,具有四个特点:易变性、不确定性、复杂性和模糊性。
这个最早是在一些商业管理的领域也引入了这个概念,通俗来讲,就是我们处在一个动荡的、不确定的、复杂的、模糊的这样一个环境下,怎么来应对,怎么来及时调整自己的安全防护策略。
关于易变性,我想是不言而喻的,速度变化越来越快,我们很多领域都符合这个摩尔定律或者是超越了摩尔定律,尤其是数据的集中,所以变化性是不言而喻的。
不确定性,我们是不是每一个企业在做安全防护或者风险评估管理的时候都能够确定我们敌手的意图,我们的风险所带来的影响,以及能不能够量化,老板是不是清楚我们要做这些事能带来哪些效益。
复杂度,第一个就是边界方面,我们很多泛在的接入,使实体的空间跟虚拟空间的结合更加复杂。同时由于泛在的接入以及系统的复杂度,带来的影响也是不可小视。
模糊性,我想这个大家也很容易理解,就是网络的边界。我们怎么来确定防护的边界?
在这种情况下,网络安全的威胁是不断升级的,损失的后果也是更加严重。主要体现在几个方面,在个人信息保护方面,我们是不是每个运营的企业都在最新化的搜集用户的信息?能满足业务所需要的最小的数据,而不是最大化的或者是扩大化的来搜集这个信息。我们搜集的信息是不是有相应的安全保障?能够保护好这些数据,还是并没有加上应有的措施,导致一些信息的泄漏?
在APT攻击方面,近期APT攻击成为工业控制系统最大的一个威胁。刚才有位专家讲,以前武器是PC,是IDC,一些服务器,现在是摄像头,像IOT的产品,甚至是一些工业的产品。
工业的又分离散制造和流程制造,IT系统和工业控制系统有很大的不同就是,有一些工业系统明明有一些问题,它也很难打这个补丁,因为它是整个生产线,流程制造对他来说是非常麻烦的威胁。
云服务,云计算是一个趋势,但是云计算有很多问题,业务和数据的集中必然会带来风险的集中和攻击的集中。
漏洞从系统软件层面和应用软件层面,应用软件层面的漏洞和威胁可能会更加直接,因为从应用软件我们一样可以获得ROOT权限,以前我们都在操作层面做很多的防护。
互联网+企业网络安全的外部生态环境也需要提升。
《网络安全法》出台了,下面在部门规章层面,在更加微观的层面,比如说个人信息保护法律等等,这个法律也是急需要来完善的。
网络安全的资源和技术相对滞后,这个大家也是很清楚的,包括对关键信息基础设施的保护,我们大量依赖的是什么样的技术,什么样的产品,大量的还是来自于一些垄断性的企业。
网络安全和服务体系也不够健全,由于有些东西我们改不了,很难自主配置,所以也会带来一些风险。特别是在关键信息基础设施的领域,在《网络安全法》里面特别强调了这个领域,这个领域一旦产生威胁,对整个国民经济正常运行都会产生非常大的影响,所以这也是企业特别需要关注的。
在企业的自身方面,我觉得有两个点非常重要,一个就是我们的网络安全管理意识。我们都说很重视网络安全,但是实际上我们的网络安全的理念是否整个贯彻到我们的产品开发、管理、运行的整个环节,实际上说起来重要,做起来都放到一边,这种情况也是特别多的,所以意识的提升是非常重要的。
网信办每年也在召开网络安全宣传周,包括咱们这个峰会,我觉得都是宣传、传播网络安全理念或者提升意识一个非常好的时期。
另外是管理体系方面不健全。我们老生常谈,信息安全的问题有的说大部分,有的说70%,也有的说80%是来自于管理,其他百分之二三十是来自于技术。
这个数字怎么说的都有,我前几天也看到了一个具有宣传性的美国的报告,他说用科学的管理方法能够抵御90%已知的风险。所以不管准确的数据是什么,但是管理的重要性是非常重要的。
人才的不足,我们网络安全人才是国家的一个短板,2015年网络安全变成了国家的一级学科,后面会有陆陆续续的信息安全专业的人才来投入到这个产业当中。
我本人是搞标准的,所以我说标准方面仍需完善,我们这个标准制定了很多,现在有190项。
但是我们也发现了一些问题,真正企业一线的专家有的时候看不懂标准,他很难理解和把握这个标准条款真正的意图。甚至有一些经典的标准,在国际上广泛使用的标准,我们很多一线的工程师并不理解的特别深刻。所以今天赵院长也讲了,标准要更加的鲜活,更加的灵活,我们要出台一些指南性的、解读性的、案例性的,让标准更加接地气,让更多的人能够看得懂才能够遵守,所以这是我们觉得非常重要的一点。
新技术、新应用带来的一些新的安全挑战。我觉得一个是云计算,一个是大数据,还有我们现在国家正在努力推动的智能制造,还有一个传统的IT,传统业务触网的四个领域。
云计算我刚才已经简单讲过,大数据现在价值的集中,产生和挖掘的一些增值,大家都很关注,所以都在前所未有的广泛搜集数据。互联网+会跟智能制造领域深度融合,实现我们常说的在线的监测、远程的诊断,这些都是很好的一些功能。
当然从安全角度来讲,这也是一个非常严峻的挑战。
互联网+时代企业安全生态有一个什么愿景呢?我们企业希望将来是一个什么样的Eco-System,在这个环境里面,科学的游戏规则是非常重要的,只有一个法制、规范的竞争环境,才能有一个公平、良好的竞争氛围,才能够激发出更多创新的要素,包括大企业,创新性强的小企业,这样才是一个很好的生态圈。所以在这个游戏规则方面,我们说国家的环境是非常重要的。
明晰的生态定位,对于一个企业来讲,他在生态环境里处于某一个环节,它跟谁来协同,跟谁来竞争,在环节中是不是不可替代,在这个环境中是否具有竞争优势,所以他的生态定位是非常重要的。
开放的共同体,我们谁都不能独善其身,比如说刚才几位专家提到的威胁情报的共享,我们标准化领域是威胁信息共享,避免“情报”这个词产生一个另外的理解,所以是威胁信息共享。
威胁信息如何共享?一方面是机制和规则的设定,另外一个就是基础,就是标准化的支撑,有没有一些通用的格式能够支持这个威胁的共享。
针对这些问题,我们提出来企业要建立一个“轻足迹”的管理理念:首先防护手段要模块化,让整个防护更加有弹性,减少这种耦合度和这种关联性,避免单点的问题影响整个全局,这个可能从企业的设计思路来讲很重要。
应急管理的扁平化,企业是三级管理、四级管理、两级管理还是五级管理,分了几个层次,当然越扁平越有效。防御机制的协同化,经常有些企业会说,APT攻击我们企业这么弱小,我们防不了,国家队应该履行责任。
我觉得这也是一个很好的问题,但是要有一个协同的机制,大家怎么样信息共享,信息协同,来快速的响应。最后是处理过程的快速化,我觉得速度还是非常重要的。
刚才有专家说会有充足的时间来做响应,我觉得有的真的是争分夺妙,可能拼的就是谁的响应和恢复的时间快。前两年我大概自己做了一个统计,真正的云计算平台好像没有报过信息安全事件的,谁能响应得快,在短期的时间内恢复,我觉得这是一个核心竞争力的内容。
最后我们也提出了一些观点,就是在构建互联网+时代,企业网络安全生态的几个重点方面:
第一是法律法规层面,今天很多专家和领导都强调了法的重要性,我就不强调了;
第二是标准,在网络安全领域我觉得标准化非常重要,法律是一个宏观的通用的要求,而且它要非常的有张力,适用于不同的需求,不同的领域;在某个领域怎么来设定合理的基准和基线,这实际上是标准要回答的问题,也是标准要解决的问题,所以我们设立了一个基准和基线的模块,我们要把一些标准的要求变成一个业界所能够接受的基准;
第三是加速产业链的融合,提升综合防御能力,我们反复强调的还是协同,不能单打独斗,要有信息共享,要有联合防御;
第四要有一个共享交互平台,建立可控、可信、高效的保障机制。这是围绕着供应链安全,尤其是在关键信息基础设施领域的供应链安全。
我们大量的关键信息基础设施现在也在云化,我们做云的企业是不是真正的把这个安全做深做透?我们大量的使用了开元的技术,我们是不是经历过安全的分析?经过一些安全机制的验证,还是拿来就用了?
功能、性能都调通了就很好,支撑多少个集群就把它上线了,所以我觉得这个也是非常重要的一个领域。另外一个,云计算的隔离,虚拟的隔离是不是真的就是这么有效?
近两年也报出来这个虚拟机逃逸的一些漏洞。所以我说,关键信息基础设施上云,安全是很重要的,还是要加强供应链方面的投入。
还有一个方面是收尾,也是点睛之笔,这是几位专家共同讨论的。大家说互联网+的生态环境在激烈的碰撞中形成平衡,这个平衡是为下一步打破这种平衡做积累,产生螺旋式的上升,也特别希望企业能够有一些颠覆性的创新,来打破一些生态环境,重塑生态环境。在新的生态环境中,自己是一个核心的、基础的、不可替代的作用,这也是我们最后的一个愿景。