基于內生安全的新一代網絡安全體系構建思路

◎奇安信集團副總裁 韓永剛

韓永剛副總裁

一、數字化轉型和“十四五”發展需要筑牢網絡安全底板

（一）戰略驅動：“十四五”規劃中的數字化與網絡安全

首先，從戰略驅動的角度看，國家市場規劃的2035年目標里數字化占了非常大的比重，在第3章的現代化產業體系中，現代化治理和國家安全部分，數字化都是非常核心的驅動力，不論是在數字經濟、數字社會，還是在數字政府，數字化都將起到非常關鍵的作用。

對于網絡安全而言一個經典的表述就是“全面加強網絡安全保障體系和能力建設”，其中“體系”和“能力”是兩個關鍵詞。在“十四五”期間，若無法體系化地將整個網絡安全的底板能力構建起來，則會對后續智慧數字化發展，包括智慧民航造成巨大影響。數字化最大的作用之一就是把將傳統的行業能力用數字化的方式進行新的賦能，越來越多的核心業務運轉是建立在數字化平臺之上的。若此時網絡安全再出現問題，可以說將不僅是經濟損失，而有可能直接影響核心業務的運行。因此，動態綜合的網絡安全防控體系是非常必要的。

（二）合規驅動：法律法規、實戰演習

從2017年一直到今年，各種配套的法律、法規、條例都在不斷地出臺。最近熱議的2020年、2021年的《數據安全法》（草案）、《個人信息保護法》（草案）都在審議，當前已經通過人大表決，進行正式公布。同樣，《關鍵信息基礎設施保護指導意見》也在審議過程中。《關鍵信息基礎設施保護指導意見》的出臺將對眾多關基單位產生深遠的影響。同時從2016年到2021年國家層面實戰化攻防演習也在持續進行。

（三）業務驅動：智慧民航

第三個層面是核心業務的驅動，民航業的智慧應用會構成越來越完整的智慧民航藍圖，民航出行一張臉、物流一張單、通關一次檢等都關聯著數字感知、數據決策、精益管理。就以機場來說，這個過程就是大量的感知網絡、工業控制網絡、數據、云計算，為很多應用的拉通、網的拉通、數據的拉通、應用的拉通來提供服務，例如空管做的“十四五”規劃，就是把空管隔離的專網進行打通，將海量數據打通，從而為航司和機場提供更便捷的智慧化服務。因此，可以說數字化是將曾經很多僅僅是在機關或總部用到的一些信息化能力廣泛推到一線員工，甚至是消費者，極大地把數字化能力推到了廣泛的范疇，因此安全問題尤為重要。

（四）現實挑戰：從美國輸油管道運營商被勒索事件看數字化新挑戰

美國石油管道泄露遭黑客攻擊的事件眾所周知，其遭到勒索真正的原因就是為了勒索錢財。可以說一個經濟犯罪就以國家關鍵基礎設施產生如此巨大的影響，這種勒索手法已經開始非常普遍、便捷，越來越工具化和服務化。同時，這些攻擊的工具、資源都已經成為一種服務用來斂財，讓別的組織也可以利用該手段去實施犯罪。

（五）從美國勒索事件看關基保護的建議：體系化與常態化

該事件發生后，美國負責安全的CSA和FBI給出了聯合的防御建議，提醒各大機構注意調整自己的security posture，即防御姿態，減少對外的暴露面。在眾多意見中，可以看到幾類有對基礎結構安全的建議，例如對終端保護的建議，對網絡層的終身防御建議，要對身份要求進行多因素加強，對身份不必要訪問進行攔截，同時也有對應用安全方面的積極防御意見，以及對工業控制系統的意見。綜上所述，當我們面臨這類問題時，單點的防御能力已不足以解決問題。我們需要用體系化、常態化、全局性的視角來解決安全問題。

（六）從Solarwinds金鏈熊供應鏈攻擊看對手的攻擊能力

最近，高深技術手段攻擊中，非常具有代表性的就是金鏈熊，其中涉及一個軟件叫做Solarwinds，該軟件在網絡管理方面非常普遍，以至于美國有200多家政府機構的很多關鍵部門都應用該軟件來進行IT網絡維護。

攻擊者恰恰攻擊了這個軟件，對它的源代碼進行污染，并在打包過程中將控制的惡意軟件打進去。因此在政府機構進行軟件版本升級時，升級到攻擊者可遠程控制的版本，從而進行數據竊取，該過程經過4次版本的更迭仍沒有被察覺。

該事件讓我們認識到當數字化和智慧化完全去打通時，我們不再是孤立的，還有非常多IT供應商、軟件供應商、服務供應商等，其安全問題已經不僅是自己的安全問題。可以發現整個鏈條非常長，涉及開發、打包、發布和升級等非常多環節。

（七）我國網絡安全面臨的六大風險

從上面兩個例子可以意識到，現在所面臨的風險問題在數字化時代已經發生了巨大變化，如同上述勒索技術的越來越普遍、頻率越來越高、供應鏈攻擊和APT高級風險等問題，由于我們的數據和我們的系統價值越來越高，因此出現的不一定是由于外部攻擊，而是內部威脅的問題，內部人員對數據的濫用、誤用、盜用等也可能產生很大的威脅。

（八）攻防演練 十大薄弱環節

從2016年到2021年，我們在進行實戰化的攻防演練過程中，發現每年攻擊手段都在不斷地提升，防御體系能力也在相應提升，但依然會出現很多安全問題。在今年剛剛結束的2021年攻防實戰化的攻防演練過程中，我們總結了10個非常關鍵的安全問題。

二、以內生安全框架為指引，構建新一代網絡安全保障體系

在新數字化轉型深入的過程中，要考慮新網絡安全體系的建設，如同國家“十四五”規劃里提到的，構建網絡安全的保障體系，實際上就是面向能力化的體系建設。奇安信集團已經在過去的兩年時間里，把很多安全的技術思路整合成內生安全的理念，并配套對應框架指引工程落地，思考如何去幫助各行各業構建新的網絡安全體系。

（一）實現內生安全的方法是采用內生安全框架指引網絡安全體系化建設

曾經解決安全問題所采用的是逆向攻防思維，但是現在以正向的業務信息化和系統工程方法去考慮問題，在安全行業里屬于首家。所謂的內生安全是把安全能力和信息化環境進行充分的融合內生，對數字化環境和過程進行深度融合和全面覆蓋。在最終構建面向能力的體系后，充分考慮工程化落地，用市面上能采購到的技術、產品、服務來構建整體能力體系，同時我們也輸出“十大工程五大任務”來指導建設。

（二）對抗威脅需要面向能力體系的安全建設

當前將這個復雜的工具方法框架的指引轉化成了幾個關鍵點，比如“盤家底”，所“盤的家底”不是資產價值，而是政企環境到底需要什么樣的網絡安全能力，在過去的“十二五”“十三五”已經采購大量設備，很多建設仍在進行，我們要將已經采購的設備用起來，將能力建立起來，再看我們缺什么，還要做什么樣的演進。第二個是構建系統，用系統工程的方法從全局化和信息化結合的角度擴建系統。第三個是運行，不是安全孤立地運行，而是網絡安全的運行和數字化的IT運維，及應用開發的兩大過程去進行充分結合。通過盤家底、建系統、抓運行的過程，就能夠把內核安全思路去進行實現落地。

此外，網絡安全的能力應該是怎樣的？通過滑動標尺的迭代演進來看，其中涉及了基礎結構安全問題、縱深防御問題，開始感知和積極防御問題、威脅情報問題是在不斷的疊加中演進。我們只有在多個層面把整個防御水平提升上來，才可能形成完整的體系化能力構建。

另外，防御上要考慮陣地守得好不好、陣地構建得完不完整，這時就要關注防御姿態，比如在縱深防御上各類安全技術產品其策略調整得好不好，是不是構成了堅實有效陣地。在積極防御的方面，所謂的防御姿態是我們對于威脅及時發現、響應、處置時效性的能力。在威脅情報方面，要考慮威脅情報是不是覆蓋完整、時效性如何、可執行水平如何，只有當我們將整體構建好后，才具有完整的安全防御管控能力，才可能真正有效的去發揮作用。

（三）“十大工程、五大任務”項目綱要庫

從安全視角來看，工程建設真正的落地需要和信息化的物理層、虛擬化系統、虛擬網絡、應用、數據等各個層面進行結合。因此“十大工程五大任務”建設綱要庫中，若將工程后面的“安全”兩字去掉，就是信息化建設，包括身份、網絡、終端、辦公介入、面向云的數據中心、大數據的應用流轉，以及工業生產和內部威脅等。這也體現了我們的安全能力應該和整個數字化環境進行深度的融合，是一個全面覆蓋的過程。

從上述所提到的我們使用系統工程的方法來看，當我們用系統工程視角去看各個部分，各要素之間是相互依賴的，即是一個復雜巨系統，只有當依賴關系和相互關聯共同發揮作用時，它才能達到比較完整的效果。比如上述所提到的面向資產、配置、漏洞、補丁的系統，就是解決所謂勒索最有效的問題，因為這些勒索往往都利用很多已知的漏洞，但我們難以在資產查清，將漏洞補全，其原因就在于資產管理的關系都是割裂的，其本質具有非常強的相互關系，需要通過數據驅動和IT大運維及其他區域發生紐帶結合，去解決這個問題。

例如我們希望資產價值清晰，關鍵系統漏洞要應補盡補，在進行運維過程中，用數據驅動的方法、用大數據的方法將資產盤清，讓資產、漏洞、配置、補丁之間兩兩產生關聯。通過系統工程來看，其工作過程發生了三層變化，第一層是與安全相關的工作，而且是很多后臺工作，比如漏洞情報、補丁測試等；最底下一層是IT的信息化，有IT的管理系統、服務器運維，網絡運維等；中間層是數據的匯集。

希望通過這種數據驅動的方法，將安全的運行和IT的運行結果，用大數據方法打通資產配置、漏洞補丁之間的基礎流程，讓安全和IT的大運維環環相扣地融合起來。

（四）《數據安全法》通過表決的意義

《數據安全法》近日通過了對應表決，它對于政企、航空、關鍵信息基礎設施意味著什么？我抽取了以下幾個方面：首先，從戰略上上升到了總體國家安全觀，但同時也存在運行空間，還要利用數據的驅動力將數字化經濟持續發展，在統籌安全和發展之間達到平衡；其次，它明確了組織和責任，尤其在數據流轉過程中，強調了政府、企業、社會相關的部門對于數據安全的主體負責制，也提出了面向國家層面的政務體系所發揮的工作和作用。

其次在數據安全保護方面，具有數據分級分類的保護制度，包括完善數據安全保護體系、提升對應數據安全的保護能力、提供重要數據的目錄，在等保的基礎之上建立這種全流程的數據安全管理制度等。我認為整個過程要充分利用數據，解決跨部門如何使用數據、如何確權、如何確定安全策略的問題，開展真正的數據安全治理，而不僅僅是分級分類。數據安全治理是一個非常復雜的過程，要和很多原數據管理進行結合，建立數據安全保護體系，其體系要考慮業務流轉、應用流轉，而不僅是單點的保護。在這個過程中數據只有流轉起來，在不同媒介中留存流轉后才會產生價值，每一個流轉的控制點都要去考慮其安全問題。

第三，應用新興技術，例如身份安全、零信任、數據敏感地圖、數據的可用不可見、數據交易沙箱等，來應對大數據環境，將真正的數據安全能力體系建立起來。目前國內各行各業在這方面仍沒有一個很好的構建，當前上位法出臺，很多條例也會接連落地，我們需要更新技術和思路。大數據的核心數據集中放在一個地方，其數據管理者、所有者、處理者可能都是不同人，這時數據的共享交換、數據的交易、開放的跨境流動等都會成為安全關注點。

另外，數據安全與其他領域安全的關系仍然是一個有機整體的關系，以一體化大數據中心為例，真正底層數據被治理、被匯、被用、被創新是有基礎的，數據網絡要通、數據要存、要傳，要進行一系列治理過程。網絡安全解決的事項一定要通過一個更為完整全局的視角去考慮對應，但其核心問題仍是上述的業務流轉利潤數據安全的控制。

最后，在應用安全中的軟件供應鏈方面，軟件供應鏈存在整體供應鏈的管理，面對越來越多的數字化系統，供應鏈的應用開發也越來越重要，基于以上原因，我們初步梳理了像軟件空間的測繪能力、代碼的安全控制能力、感知和自主測試能力、業務流程管理能力等面對這新課題所需要具備的能力。

（五）軟件供應鏈安全四大能力

當前我們在空管、機場等方面都在做諸多的體系化網絡模式建設，我們給出以下建議：結合數字化業務，從全局視角去規劃和設計所需的網絡安全體系和能力體系；加強基礎結構系統安全的建設；將零信任和縱深防御相結合，用新技術為原來的縱深防御賦予新的架構和技術的提升；核心的業務系統，尤其是大數據進行重點防護；關注到供應鏈應用系統開發；關注實戰化運行，把網絡安全運行、信息化運維和運營開發的大流程相結合；關注實戰化的演習，并用于改善我們的保護、監測、發現響應還有恢復的能力的體系。