BCS 2021 | 吴云坤:新拐点上的新征程 网络安全行业要面对的四大转变

首页 / 业界 / 资讯 /  正文
作者:laos
来源:安全419
发布于:1个月前
2021年8月27日,为期三天的北京网络安全大会迎来了产业日,在当日上午的产业峰会中,奇安信集团总裁、北京网络安全大会执行主席吴云坤在现场发表了《网络安全的新拐点和新征程》的主题演讲,基于十四五期间网络安全产业环境的判断,分享了在当前这个新拐点下的新征程上会遇到哪些问题和挑战,以及作为网络安全从业者应当如何应对。
 
吴云坤表示,网络安全的发展与信息化的发展以及信息化对业务的发展密切相关,是发展的主脉络。随着信息化对业务的重要性越来越大,相应的威胁也会逐步升级,合规监管也日趋严格,这其实也是因果关系,因此网络安全产业的增长速度也在逐步加速。

 
接下来,吴云坤在现场信息化的视角带着大家一起回顾了中国网络安全产业的发展历程。
 
1995-2004年——网络安全的初级阶段
 
从1995年我国开始接入互联网以来,一直到2004年这十年的发展历程中,信息化对于各个业务而言都是辅助性的,受此影响,网络安全产业在这一时期的发展也非常缓慢,产业规模很小,这十年间的年复合增长率只有5.8%,可以说整个产业都在一个非常初级的阶段。
 
2005-2014年——先发展 再治理
 
从2005年开始到2014年的这十年间,无论是个人还是企业,信息化都开始与之紧密的结合,而这一发展过程也引起了不少攻击者的关注,网络攻击事件的数量也开始呈现出增长的态势。
 
在这个过程当中,国家和地方层面在网络安全相关的规定和政策也相继出台,因此,随着网络威胁的不断增加、升级以及合规的驱动下,网络安全被愈加重视,网络安全产业也开始加速,这十年间的年复合增长率也超过10%。
 
不过这个阶段仍体现出了一个明确的特征——尽管大家对网络安全的重视程度在逐渐增强,但是在它同信息化之间的关系上看,地位仍处在一个较低水平,彼时的现象可以总结为“先发展 再治理”。
 
2015-2020年——同步治理
 
在这个时期,信息化同整个业务已然开始深度融合,信息化的操作同业务行动不可分离,而信息化系统的安全也与业务的稳定运行高度相关。
 
而国家在这一时期先后出台了网络安全相关的战略和《网络安全法》,完成了网络安全的顶层设计,并以《网络安全法》为核心,开始建立和健全网络安全的法律法规、标准规范、监督检查机制等网络安全的治理体系。
 
这个阶段的特征就是从上一个阶段的先发展再治理进化到了同步发展同步治理。
 
2021-2025年——治理先行
 
随着十四五的到来,情况再次发生了变化。当前所说的信息化已经进步到智能化、数字化,并已开始贯穿于整个中国经济社会的全领域、各层级,成为经济发展和社会运行的核心驱动力。
 
吴云坤讲道,数字化时代下,每一个信息化的操作都变得非常重要,因为它可以通过OT不仅反映到日常生活中,更是会反映到整个国家的运行当中。因而我们可以看到在十四五规划当中,国家提出了数字化发展战略,也提出统筹安全与发展。
 
吴云坤表示,近年来国家密集出台包括数据安全法、个人信息保护法、关键基础设施安全保护条例、网络安全审查办法等法律法规,在这方面可以说国家已经走在了前面,实际上很多甲方用户的数字化还没开始或正处在开始阶段,这可以看出在发展的同时强调治理先行,这同过去有了很大的变化,从先发展到后治理,再到同步发展、同步治理,再到现在的治理先行,这堪称是一个重大转折。
 
基于此前网络安全产业的发展历程以及当前的环境变化,吴云坤认为,网络安全产业在未来的十四五甚至更长时间里,已经迎来了发展的新拐点。
 
在新拐点上,首先必须转换视角,需要为业务的高质量发展来营造健康的环境。其次是转换发展模式。此前的小零散的这种网络安全建设模式必须得到改变,要进一步应用系统化和工程化的思想,发展以能力为导向的信息化和网络安全深度融合的这种建设模式。
 
吴云坤也坦言,在这个过程当中,必然也会遇到一些问题和挑战,因此对于网络安全行业的从业者而言,也必须要做一些转变,主要在以下四点:
 
一、安全范畴的转变
 
吴云坤在这里以数据安全工程为例,指出数据安全工程之所以难做,关键在于数字化的大集成形成了叠加生长,产生了更多的应用和数据,而数据是流动的,要在不同的基础设施当中、在不同的业务系统当中进行流转,在这个过程中就会形成缠绕和交织,伴随而来的就是很多安全空白,因此对安全的覆盖度就提出了挑战。
 
传统安全普遍是对整个实体建立防护体系,但在大数据安全领域当中,防御体系对实体进行防护已明显不够。由此,当前不仅要考虑像传统防护当中抵御威胁、攻击的数据实体和计算环境的安全防护,还要关注需要填补的空白,所以在安全管理层面,过去的安全管理中心还需要扩展到进行权限管理、认证管理、审计管理当中的安全策略中心。
 
这种安全范畴的变化,其实催生了很多新的安全能力,安全范畴的整个改变,对整个安全产业而言就是要用新的思想去构建新的能力。
 
二、管理模式的转变
 
吴云坤指出,随着数字化的深入,信息化系统对核心业务系统有着很强的支撑作用,整个信息化也成为业务的生产资料,尤其是其中的数据,因此会发现信息化的性质发生了改变——信息化的管理融入到企业管理和经营过程当中。
 
这种性质的改变对软件供应链的安全管理提出了挑战,它不仅要考虑软件供应链的自主可控,防止断供、卡脖子的问题,也要将安全与应用开发的生命周期相结合。因此,需要全面梳理、掌握应用系统与供应商的整体情况,对软件成分进行管理,通过技术和管理手段相结合来建设供应链的安全检测能力。此外,更关键之处则在于要形成常态化、流程化的供应链安全管理体系,包括供应商的安全管理体系,这样才能构建更加安全可控的软件供应链的安全环境。
 
通过软件供应链安全管理可以看出,其本质就是管理理念和管理模式的变化。
 
三、运行模式的转变
 
吴云坤指出,信息化系统已经融入了业务,并以一种服务化的方式成为业务的重要支撑,而其中的IT运维也是信息化最重要的工作过程之一,因而以资产为核心,进行配置漏洞补丁整体安全管理的系统安全,就成为与IT运维工作关联最紧密的安全运行工作。
 
当前,系统安全的核心是利用数据驱动的概念,依托大数据的架构,获取经过融合的资产信息数据、安全配置信息、漏洞信息数据、补丁数据,在系统安全数据平台上进行数据的处理,只有通过这种安全策略管理以及漏洞修复能力才能真正做好整个系统安全风险的防控。
 
因此,系统安全不仅要落实到大数据平台和自动化的修复、探查工具上,更重要的是把闭环的运行工作落地到安全服务工作以及IT运维服务工作当中,全面提升系统的保障能力。
 
吴云坤表示,要将原本小规模的、边缘化的安全运营,通过流程、规程、技术、数据的融合,最终融入到IT运维和数字化业务运营的大流程,形成对业务的有效保障。
 
在这一过程中,安全的角色也发生了变化,它不再是一个单纯的检查者和监督者以及事后的救火员。
 
四、安全范式的转变
 
吴云坤认为,当前的时代要求网络安全成为应用,成为平台,成为系统。
 
以态势感知为例,它并不是单纯的一款产品,也不是单纯的几个工具的叠加,也不是一些服务的简单组合,它是多种安全能力集成组合的一个复杂系统,是集合了多种工具、设备、平台和人的应用系统,而这种复杂性带来了巨大的挑战。
 
态势感知从2016年至今在我国已发展多年,目前的态势感的种类也非常多,主要分为监管类态势感知、运营类态势感知以及攻防类态势感知,不过在发展过程中,也发现态势感知的发展难以跟上整个不同类型客户的变化需求。
 
因此,态势感知不应再是一种独立的安全工具,它本身是一个复杂的大数据系统,在这其中的数据平台、数据服务、安全运用都是基于数据驱动的,这个过程当中就要解决数据接入处理,包括数据的组织、数据的治理、数据的服务模型资源、业务应用组件这些问题,而且还要符合所有甲方的规范。如此一来,态势感知的构建也成为了一个复杂的数据平台与应用系统的构建。
 
综合来看,这种转变是由原来的安全工具、设备转变成为了平台与系统,这就是新的安全范式的转变。
 
吴云坤指出,无论是安全范畴的转变、管理模式的转变、运行模式的改变还是安全范式的改变,其实都是在安全与信息化深度融合过程当中所必须经历的新方向,也就是新拐点上的新挑战。在他看来,这四大转变给网络安全行业带来了新的机会。
 
在演讲的最后,吴云坤强调道,这十四五的这五年当中,要做好最重要的事情,用工程化、体系化的思想来做好建设和运营,满足各种法律法规的要求。作为网络安全产业的从业者,希望所有同行从业者能够一起努力,基于内生安全的框架,脚踏实地的推动每一个客户的工程落地,来满足法律法规的要求,真正助力到国家政企十四五的数字化转型,踏上新拐点上的新征程。