<b id="cmcy5"></b>
<strike id="cmcy5"></strike>
    1. <dfn id="cmcy5"><label id="cmcy5"></label></dfn>
      真情服務  厚德載物
      今天是:
      聯(lián)系我們

      市場部:0564-3227239
      技術部:0564-3227237
      財務部: 0564-3227034
      公司郵箱:lachs@126.com
      技術郵箱:cc1982@163.com
      地址:六安市淠望路103號

      技術分類
      推薦資訊
      當前位置:首 頁 > 技術中心 > 網(wǎng)絡 > 查看信息
      奇安信齊向東:內(nèi)生安全 從安全框架開始
      作者:永辰科技  來源:人民網(wǎng)  發(fā)表時間:2020-8-10 17:19:10  點擊:2464

         2020年8月10日,2020年北京網(wǎng)絡安全大會(BCS2020)峰會正式開幕。奇安信集團董事長齊向東發(fā)表了題為“內(nèi)生安全,從安全框架開始”的主題演講。他表示,內(nèi)生安全框架有三個重點——“理清楚”、“建起來”、“跑得贏”,目的是通過“新管理”,讓網(wǎng)絡安全體系具有動態(tài)防御,主動防御,縱深防御,精準防護,整體防護,聯(lián)防聯(lián)控的能力。投入三至五年時間,就能建立起完善的網(wǎng)絡安全協(xié)同聯(lián)動防御體系,真正實現(xiàn)內(nèi)生安全。

        以下為演講全文:

        尊敬的各位領導、來賓,觀眾朋友們,上午好!

        感謝大家參加BCS戰(zhàn)略峰會。去年,我們在首屆BCS大會上提出了“內(nèi)生安全”,得到了業(yè)界廣泛認同。很多客戶來找我們,想知道內(nèi)生安全到底應該怎么做。

        所以從去年開始,我們專門成立了一個工作組,和20多個一線部門緊密協(xié)同,用系統(tǒng)工程的思想,把網(wǎng)絡安全能力,映射成為可工程建設的安全能力組件體系,并給出一套規(guī)劃方法論,設計工具集和配套的模型、架構、項目綱要,構建一個能夠適應形勢變化的網(wǎng)絡安全框架,來支撐內(nèi)生安全體系建設。今年3月,我們正式公開發(fā)布了這套面向新基建的新一代網(wǎng)絡安全框架。

        截至目前,我們已經(jīng)在近40個大型機構里應用了這套框架,包括部委、能源央企、金融、航空、大型制造業(yè)和數(shù)字城市,得到了很高的評價,他們說,有了這套框架,從頂層設計到落地建設運行變得很容易了。為了讓更多的政企機構能快速實現(xiàn)內(nèi)生安全,我們把今年大會的主題定為“內(nèi)生安全 從安全框架開始”。

        第一部分:內(nèi)生安全的關鍵是管理

        去年的BCS大會上,我提出了“內(nèi)生安全”,強調(diào)在政府、銀行和大型企業(yè)等機構,通過系統(tǒng)聚合、數(shù)據(jù)聚合和人的聚合,不斷從信息化系統(tǒng)內(nèi)生長出安全能力,這種能力具有像免疫系統(tǒng)一樣的自主、自成長、自適應的特點,持續(xù)保證業(yè)務安全。

        我們都知道,網(wǎng)絡安全是高度對抗性的行業(yè),網(wǎng)絡安全系統(tǒng)包括技術、數(shù)據(jù)、人員和體制機制等,是一個復雜的系統(tǒng)。為了保障業(yè)務的安全性,實現(xiàn)這個系統(tǒng)的有效運轉(zhuǎn),就不能僅僅考慮產(chǎn)品和技術因素,而是要綜合技術、管理、運行等多方面的因素。

        一個網(wǎng)絡安全體系,必然面臨著層出不窮的攻擊。首先,漏洞是不可避免的,只要這個系統(tǒng)的0day漏洞還沒有被黑客窮盡,就永遠面臨著未知的威脅。這個漏洞可能存在于芯片、操作系統(tǒng)、應用系統(tǒng)、網(wǎng)絡設備等任何地方,可能掌握在任何一個未知的敵人手中,這個敵人可能隨時發(fā)動攻擊,造成的危害也難以掌握,它可能導致數(shù)據(jù)被盜,也有可能會直接導致系統(tǒng)崩潰。如果只用攻防技術來防護,被漏洞牽著鼻子走,這類安全問題是永遠無法解決的。

        其次,有報告顯示,超過85%的網(wǎng)絡安全威脅來自于內(nèi)部,危害程度遠遠超過黑客攻擊和病毒造成的損失。這些威脅絕大部分是內(nèi)部各種非法和違規(guī)的操作行為造成的。

        最后,所有的體系都是人來操控管理的,但人是不可靠的,人本身的弱點也是網(wǎng)絡體系最大的脆弱性。比如弱密碼、密碼丟失、使用不安全的設備等,甚至還有人會被策反成間諜。

        上述問題的存在,都導致了不管技術多高,我們的體系還是會失效。

        所以我們認為,安全的關鍵是管理。我們所說的管理,不是傳統(tǒng)意義上的管理,它既不是單純的人員管理、行政管理、體制機制管理,也不是傳統(tǒng)的條文式管理、流程式管理,而是一套“新管理”模式,它由數(shù)據(jù)驅(qū)動,通過與安全體系中的能力平臺和服務平臺有效對接,實現(xiàn)對安全技術、安全運行等各方面要素的有效管理,從而發(fā)現(xiàn)和規(guī)避黑客利用安全體系里的漏洞發(fā)起的攻擊,克服人的不可靠性、彌補人的能力不足?傊@種新管理模式的表現(xiàn)形式,可以是網(wǎng)絡安全管理大平臺,也可以是網(wǎng)絡安全管理運營管理中心。

        內(nèi)生安全,代表的正是這種新形態(tài)的網(wǎng)絡安全管理模式。它用“一個中心五個濾網(wǎng)”,從網(wǎng)絡、數(shù)據(jù)、應用、行為、身份五個層面來有效實現(xiàn)對網(wǎng)絡安全體系的管理,從而構建無處不在,處處結合,實戰(zhàn)化運行的安全能力體系。這種新管理模式,需要有強大的能力體系支撐,需要用工程化、體系化的方式進行實施,這套方法的成果,就構成了內(nèi)生安全框架。

        第二部分:管理的關鍵是框架

        新時代需要新管理。要實現(xiàn)內(nèi)生安全所代表的的這種新形態(tài)的網(wǎng)絡安全管理,是一套復雜的系統(tǒng)工程,它需要一個新形態(tài)的能力體系做支撐,需要用工程化、體系化的方式進行實施,實現(xiàn)它的關鍵就是安全框架。

        在系統(tǒng)科學里,有一個特性叫“涌現(xiàn)”,指的是構成系統(tǒng)的多個組成部分按照一定的方式相互聯(lián)系、相互作用,在整體上就能具備單個組成部分所沒有的性質(zhì),產(chǎn)生“1+1>2”的效果。比如,計算機系統(tǒng)可以實現(xiàn)工程計算、文字處理、軟件開發(fā)等功能,這些功能是CPU、電源、操作系統(tǒng)等單個組成部分所不具備的。

        內(nèi)生安全也具有“涌現(xiàn)”效應,能實現(xiàn)“1+1>2”的效果。在信息化系統(tǒng)的功能越來越多、規(guī)模越來越大、與用戶的交互越來越深的時候,單一的、堆疊的安全產(chǎn)品和服務,哪怕是最新、最先進的,都無法保證不被黑客穿透,但內(nèi)生安全系統(tǒng),能夠讓安全產(chǎn)品和服務相互聯(lián)系、相互作用,在整體上具備單個產(chǎn)品和服務所沒有的功能,從而保障復雜系統(tǒng)的安全。建設內(nèi)生安全,采用的就是系統(tǒng)工程的思想。

        過去20年,國內(nèi)外在信息化建設方面,用的是系統(tǒng)工程思想,通過行之有效的EA方法論與框架,引導與推動了大規(guī)模、體系化、高效整合的信息化建設,很好地支撐了各行業(yè)的業(yè)務運營。

        針對網(wǎng)絡安全,一些西方發(fā)達國家采用體系化思想,也設計出了適應他們發(fā)展階段的NIST等框架。但由于我國的網(wǎng)絡安全基礎比較薄弱,一直采用的是“局部整改”為主的安全建設模式,導致網(wǎng)絡安全體系化缺失、碎片化嚴重、協(xié)同能力差,網(wǎng)絡安全防御能力與數(shù)字化業(yè)務的保障要求嚴重不匹配。在這樣的現(xiàn)狀下,無法套用西方現(xiàn)成的框架進行安全體系建設。

        我認為,未來五年我國各行各業(yè)能不能取得高質(zhì)量發(fā)展就取決于現(xiàn)在。所以,我們提出了內(nèi)生安全框架,這是從工程實現(xiàn)的角度,針對我國的國情研制出來的,能將安全需求分步實施,逐步建成面向未來的安全體系。這套框架從頂層視角出發(fā),支撐各行業(yè)的建設模式從“局部整改外掛式”走向“深度融合體系化”,在數(shù)字化環(huán)境內(nèi)部建立無處不在的網(wǎng)絡安全“免疫力”,真正實現(xiàn)內(nèi)生安全。

        就在前兩天,我和一位大型央企的領導交流,他非常興奮,非常感慨。他告訴我,他做大規(guī)模信息化建設的時候,與業(yè)務系統(tǒng)融合用的就是系統(tǒng)工程的方法,但他從來沒有見過、也沒想到過網(wǎng)絡安全公司也能按照系統(tǒng)工程的方法,做出這么具體、這么好用的框架來。他說:“網(wǎng)絡安全與數(shù)字化,用體系對體系,這就對了!”

        內(nèi)生安全框架有三個重點,是把安全能力“理清楚”、“建起來”、“跑得贏”,目的是通過“新管理”,讓網(wǎng)絡安全體系具有動態(tài)防御,主動防御,縱深防御,精準防護,整體防護,聯(lián)防聯(lián)控的能力。

        先說“理清楚”。內(nèi)生安全體系建設,需要先體系化地梳理、設計出保障政府和企業(yè)數(shù)字化業(yè)務所需要的安全能力,才能確保這些安全能力能夠融入到信息化與業(yè)務系統(tǒng)中去。

        就像建造一棟房子,需要算清楚、準備好所有的建筑材料和工具,才能打好地基、筑好框架、建好樓板、裝好防盜門窗、配齊消防設備、布好攝像頭、警報器,房子才會安全、堅固,抵御各種風險。

        在梳理的過程中,我們要充分考慮,這個系統(tǒng)的架構和功能將來是否可以調(diào)整?系統(tǒng)的安全能力能不能做到持續(xù)不斷的增強?網(wǎng)絡安全產(chǎn)品是否有維護升級的能力?未來是否根據(jù)需要增加新的安全產(chǎn)品模塊?系統(tǒng)是否有安全監(jiān)控和數(shù)據(jù)采集的功能?

        在設計的過程中,我們要根據(jù)政府和企業(yè)自身信息化項目的實際情況,對安全能力進行挑選、組合和規(guī)劃,給出明確標準。

        再說“建起來”。融合是建設的關鍵,將安全能力深度融入物理、網(wǎng)絡、系統(tǒng)、應用、數(shù)據(jù)與用戶等各個層次,確保深度結合;還要將安全能力全面覆蓋云、終端、服務器、通信鏈路、網(wǎng)絡設備、安全設備、工控、人員等要素,避免局部盲區(qū),實現(xiàn)全面覆蓋。

        這種將安全能力合理地分配到正確位置的建設過程,就是安全能力組件化的過程。這種安全能力組件,是軟件化、虛擬化、服務化的?茖W、合理地將安全能力組件進行組合、歸并,建立相互作用關系,確保了安全能力的可建設、可落地、可調(diào)度。

        在具體建設過程中,需要一個全景化的技術部署模型,全面描繪政企機構的整體網(wǎng)絡結構,信息化和網(wǎng)絡安全的融合關系,以及安全能力的部署形態(tài)。

        比如,按照區(qū)域,把政企機構的信息化系統(tǒng)分成總部、區(qū)域中心、分支機構以及網(wǎng)絡節(jié)點等多種類型;按照業(yè)務類別和功能,又把政企機構的信息化系統(tǒng)分成了全局網(wǎng)絡、骨干網(wǎng)絡、區(qū)域邊界、通信網(wǎng)絡、信息系統(tǒng)、云平臺、大數(shù)據(jù)平臺、數(shù)字化終端等層級、組件,并標記出它們的部署位置和形態(tài)。

        在這個基礎上,我們就可以把所有的安全能力組件,分別以系統(tǒng)、服務、軟硬件資源的形態(tài),合理部署到信息化系統(tǒng)的不同區(qū)域、節(jié)點、層級中。各種安全能力組件之間,通過網(wǎng)絡和數(shù)據(jù)進行整體協(xié)同,使安全能力全面覆蓋信息化所有范圍,實現(xiàn)了對各個層次的管理,消除盲點,增強安全資源的豐富性、靈活性、完整性。

        第三個重點“跑得贏”。新基建、數(shù)字化轉(zhuǎn)型,催生了無數(shù)新的應用場景,帶來的安全風險劇增,推動網(wǎng)絡安全從輔助工程變成了基礎工程。

        缺乏安全運行的安全系統(tǒng),相當于“靠天吃飯”。以前,由于網(wǎng)絡攻擊是小概率事件,就好比每年都風調(diào)雨順,“靠天吃飯”的網(wǎng)絡安全也很少出事;但隨著網(wǎng)絡攻擊成為大概率事件,好比“十年九災”,繼續(xù)“靠天吃飯”的網(wǎng)絡安全就會出大問題。

        內(nèi)生安全體系強調(diào)安全運行,把管理作為關鍵,就能“人定勝天”,跑得贏漏洞、跑得贏內(nèi)鬼、跑得贏黑客。

        我們將網(wǎng)絡安全運行的各個組件,以及網(wǎng)絡安全與信息化之間聚合、協(xié)同運行的狀態(tài)進行了詳盡的描繪,使安全工作中大量隱性活動顯性化、標準化、條令化,從而確保安全運行的可持續(xù)性,實現(xiàn)管理閉環(huán)。

        第三部分:框架的關鍵是組件化。

        落地內(nèi)生安全,實現(xiàn)新管理模式,最理想的情況,是建設一個完整的框架。但現(xiàn)實情況是,大多數(shù)政府和企業(yè)的信息化系統(tǒng),都是新老結合的,往往需要花若干年的時間,才能完成對老系統(tǒng)的替換,這是一個“立新破舊”的過程。

        從安全系統(tǒng)與信息化系統(tǒng)聚合的實施角度來看,如果割裂地對老系統(tǒng)用老辦法,新系統(tǒng)用新辦法,未來,當老系統(tǒng)被替代時,老的安全系統(tǒng)也不得不替換掉,造成巨大的浪費。

        這就要求我們對安全體系進行“統(tǒng)一設計,分步實施”,在體系的基礎上,把安全框架組件化,讓這些組件既能是新體系的一部分,又能部署到老系統(tǒng)中,從而適應信息化系統(tǒng)這種漸進式的、“立新破舊”的過程,避免不斷地把安全系統(tǒng)推倒重來,確保現(xiàn)在安全上的投資是面向未來的。

        從國際的經(jīng)驗看,ISO/IEC 27000信息安全管理體系就是按照組件化的方式設計的,它包含14個類別,35個目標,114個控制措施;NIST 的系統(tǒng)安全工程也列舉了從需求、設計、實現(xiàn)到驗證、部署、維護、棄置等14個過程應該開展的安全工作,包括54個任務、235項活動。在NIST網(wǎng)絡空間安全框架中,也通過IPDRR-識別、保護、檢測、響應、恢復的機制,以及多個落地子項來構造網(wǎng)絡安全的保護體系。

        遵循這樣的經(jīng)驗,我們用工程化的思想,把體系中的安全能力,映射成為可執(zhí)行、可建設的網(wǎng)絡安全能力組件,構成了內(nèi)生安全框架,這些組件與信息化進行體系化地聚合,是安全框架落地的關鍵。

        我相信,政府和企業(yè)按照我們提出的內(nèi)生安全框架,投入三至五年時間,就能建立起完善的網(wǎng)絡安全協(xié)同聯(lián)動防御體系,真正實現(xiàn)內(nèi)生安全。

        朋友們,數(shù)字化轉(zhuǎn)型和新一輪技術革命,正在重寫全球經(jīng)濟、科技和政治格局。對網(wǎng)絡安全行業(yè)來說,這既是一次前所未有的機遇,也是一次前所未有的挑戰(zhàn)。讓我們攜起手,從安全框架開始,推動網(wǎng)絡安全產(chǎn)業(yè)再上新臺階。謝謝大家! 


       
       
       
      合作伙伴
      微軟中國 | 聯(lián)想集團 | IBM | 蘋果電腦 | 浪潮集團 | 惠普中國 | 深信服 | 愛數(shù)軟件 | 華為
      六安市永辰科技有限公司 版權所有 © Copyright 2010-2021 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
      訪問量:2917845    皖ICP備11014188號-1
      国产精品日韩无码,99在线热播精品视频,尤物萝控精品福利视频的,久久精品国产72国产精

      <b id="cmcy5"></b>
      <strike id="cmcy5"></strike>
      1. <dfn id="cmcy5"><label id="cmcy5"></label></dfn>