網(wǎng)絡(luò)安全的重要性不言而喻��,但要如何落實(shí)好網(wǎng)絡(luò)安全保障�,卻沒有一個(gè)標(biāo)準(zhǔn)答案��,也沒有一個(gè)衡量的標(biāo)準(zhǔn)�。
“網(wǎng)絡(luò)安全現(xiàn)在普遍的囧境是說起來重要,做起來次要���,忙起來不要��,一旦問起責(zé)來就逃之夭夭。”李洋打趣地說道��。
李洋�����,碩士畢業(yè)于國(guó)防科大、博士畢業(yè)于中科院����,從2001年就開始研究安全相關(guān)課題?,F(xiàn)任平安集團(tuán)首席信息安全運(yùn)營(yíng)官�,平安金融安全研究院執(zhí)行院長(zhǎng)�����。他是業(yè)界知名的網(wǎng)絡(luò)安全與信息化專家�,專家頭銜包括大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室-金融行業(yè)安全研究中心執(zhí)行主任、行業(yè)千人計(jì)劃專家���、中國(guó)網(wǎng)絡(luò)空間安全人才教育聯(lián)盟常務(wù)理事……
在2017年來到平安以前,李洋先后在運(yùn)營(yíng)商�、金融���、制造業(yè)�����、互聯(lián)網(wǎng)等行業(yè)工作出任CIO和CSO等高管要職�,負(fù)責(zé)企業(yè)信息化以及安全的相關(guān)工作���。
在近20年的網(wǎng)絡(luò)安全與信息化工作中����,李洋總結(jié)出了保障網(wǎng)絡(luò)安全的兩個(gè)關(guān)鍵詞——“業(yè)務(wù)”“科技”����。
安全就像下棋�,是一場(chǎng)博弈
“安全應(yīng)該是面向業(yè)務(wù)的安全���。”李洋說。網(wǎng)絡(luò)安全是一項(xiàng)“伴生技術(shù)”�,無法獨(dú)立存在,必須要有具體業(yè)務(wù)訴求�,才能有用武之地。
但具體要如何才能滿足行業(yè)業(yè)務(wù)的需求呢�?李洋給出的答案是:“重運(yùn)營(yíng)�。”
以金融行業(yè)為例,普遍的保障安全的方法���,就是做到合法合規(guī),另外企業(yè)還會(huì)購(gòu)買相關(guān)安全設(shè)備����。這樣的方式確實(shí)能在一定程度上保障安全,起到“打預(yù)防針”的作用�����,但卻十分機(jī)械���,而且更多地只能在事后的響應(yīng)處理上發(fā)揮作用。
“安全���,強(qiáng)調(diào)的應(yīng)該是對(duì)抗性,就像下棋一樣���,它是一個(gè)博弈��,要根據(jù)對(duì)手的落子,來制定戰(zhàn)術(shù)��。”李洋說��,雖然“打預(yù)防針”能解決一部分的問題���,但更重要的�,是需要把安全的事前預(yù)防���、事中對(duì)抗和事后相響應(yīng)處理有機(jī)結(jié)合����、聯(lián)動(dòng)����,要實(shí)現(xiàn)這一目標(biāo)����,就需要做好安全運(yùn)營(yíng)�。
實(shí)際上,“安全運(yùn)營(yíng)”的概念并非李洋首創(chuàng)��,李洋告訴億歐�,這個(gè)概念由CNCERT提出,“我是在慢慢將國(guó)家安全的概念���,在企業(yè)里面深化�。”
李洋來到平安后,成立了三個(gè)部門:集團(tuán)信息安全運(yùn)營(yíng)部�����、專家服務(wù)部和平安金融安全研究院�����。其中����,信息安全運(yùn)營(yíng)部就是承擔(dān)運(yùn)營(yíng)的工作。安全運(yùn)營(yíng)部將平安集團(tuán)所有業(yè)務(wù)單元都接入到了應(yīng)急響應(yīng)體系中��,未來還將通過可視化大屏���,實(shí)時(shí)反應(yīng)各業(yè)務(wù)單元的安全狀況�,其作用就像軍隊(duì)的作戰(zhàn)指揮中心一樣。
安全要強(qiáng)調(diào)與業(yè)務(wù)之間的聯(lián)動(dòng)�����,安全運(yùn)營(yíng)部解決了“聯(lián)動(dòng)”的問題,但卻無法解決不同業(yè)務(wù)“個(gè)性化”的需求�����。平安集團(tuán)旗下業(yè)務(wù)眾多���,不僅有金融保險(xiǎn)��,還有汽車�、房產(chǎn)�����、智慧城市等�,不同的業(yè)務(wù)對(duì)安全的要求不同�,解決方式也有差異,李洋牽頭創(chuàng)立的第二個(gè)部門——專家服務(wù)部就發(fā)揮了作用�。
“運(yùn)營(yíng)部提供的是共享服務(wù),有點(diǎn)像網(wǎng)絡(luò)服務(wù)器����,專家服務(wù)部是做量體裁衣的工作。”李洋說����,安全運(yùn)營(yíng)和專家服務(wù)相結(jié)合�,才稱得上是一套完整的服務(wù)���。
如果說安全運(yùn)營(yíng)和專家服務(wù)是為平安集團(tuán)的安全“賦能”�����,而“要’賦能’,首先還得’蓄能’”���,平安金融安全研究院就是一個(gè)“蓄能池”���。
李洋說,平安再大也只是一個(gè)企業(yè)節(jié)點(diǎn)�,只是在整個(gè)社會(huì)生態(tài)產(chǎn)業(yè)鏈條上的其中一環(huán),如果要更好地把保障安全的能力聚集起來���,就需要多方參與�,“所以我們適時(shí)提出了’政產(chǎn)學(xué)研金介用’結(jié)合的概念��。”
“政產(chǎn)學(xué)研”并不難理解�����,但什么是“金�����、介、用”��?李洋介紹道�����,“金”是指金融行業(yè)��,也是平安的主業(yè)�;“介”是中介、協(xié)會(huì)����,通過這些第三方機(jī)構(gòu),不僅能夠進(jìn)一步拓寬交流圈子�����,也能更好地吸納人才�����;“用”是指用戶��,用戶分集團(tuán)內(nèi)的用戶和集團(tuán)外的用戶,內(nèi)部的用戶就是各個(gè)子公司�,外部用戶是C端用戶,比如手機(jī)銀行的用戶�����,“安全要讓大家有感知����,才能增加用戶的信任感����,以及對(duì)我們的粘合度。”李洋說�。
科技���、安全����、生態(tài)���,驅(qū)動(dòng)業(yè)務(wù)發(fā)展
2017年�,卡巴斯基實(shí)驗(yàn)室和B2B International調(diào)查報(bào)告指出��,全球有40%的企業(yè)存在員工隱藏IT安全事故的情況���,每年有46%的IT安全事故是由企業(yè)員工造成的。既然是不少安全事故都是人為造成的����,那是否意味著,網(wǎng)絡(luò)安全的保障��,關(guān)鍵還是在制定規(guī)則�����,更好地約束人的行為�?
李洋認(rèn)為,規(guī)范人的行為的確很重要��,但無論規(guī)則如何完備���,但人總有粗心大意的時(shí)候����。此外����,現(xiàn)在人工智能等技術(shù)正在滲透各行各業(yè),而AI基礎(chǔ)框架和算法本身也存在漏洞和缺陷�����,這也為安全帶來新的挑戰(zhàn)�。
技術(shù)帶來的問題,還需要用技術(shù)來解決�,因此安全的保障,也離不開科技的手段���。“從我這么多年從事信息化和網(wǎng)絡(luò)安全的從業(yè)經(jīng)驗(yàn)來說���,其實(shí)就是突出六個(gè)字——科技、安全�����、生態(tài)�����。”李洋說��。真正的科技和安全應(yīng)該是通過生態(tài)更好地驅(qū)動(dòng)業(yè)務(wù)發(fā)展���,讓企業(yè)���、社會(huì)����、老百姓切實(shí)感受和體驗(yàn)到科技���、安全�����、生態(tài)帶來的益處��。
李洋認(rèn)為���,科技和網(wǎng)絡(luò)安全發(fā)展到現(xiàn)階段,要做到“系統(tǒng)防入侵�、數(shù)據(jù)防泄漏�、業(yè)務(wù)防風(fēng)險(xiǎn)”��,就需要搭建一個(gè)完善的�、能夠面向業(yè)務(wù)的安全保障系統(tǒng)。這個(gè)系統(tǒng)不僅能讓安全變得可視化��、可評(píng)估��,還能通過分析數(shù)據(jù)���,給出相應(yīng)的預(yù)測(cè)和方案�����。
據(jù)了解�,平安現(xiàn)在正在打造的“智能安全運(yùn)營(yíng)中心”就具備這樣的態(tài)勢(shì)感知功能��。今年�,平安金融安全研究院聯(lián)合大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室�����、中國(guó)信通院,發(fā)布《網(wǎng)絡(luò)安全態(tài)勢(shì)感知技術(shù)及應(yīng)用發(fā)展藍(lán)皮書》(下稱藍(lán)皮書)�,通過收集、整理全球范圍內(nèi)的網(wǎng)絡(luò)空間態(tài)勢(shì)感知發(fā)展情況�����,展示了態(tài)勢(shì)感知技術(shù)及發(fā)展的全貌���。
根據(jù)藍(lán)皮書�,網(wǎng)絡(luò)安全態(tài)勢(shì)感知是綜合分析網(wǎng)絡(luò)安全要素,評(píng)估網(wǎng)絡(luò)安全狀況����,預(yù)測(cè)其發(fā)展趨勢(shì),并以可視化的方式展現(xiàn)給用戶��,并給出相應(yīng)的報(bào)表和應(yīng)對(duì)措施�。具體而言,態(tài)勢(shì)感知平臺(tái)對(duì)風(fēng)險(xiǎn)預(yù)測(cè)的結(jié)果����,可以為傳統(tǒng)安全設(shè)備提供防御指導(dǎo)����,為其提供風(fēng)險(xiǎn)預(yù)警,提前規(guī)劃和制訂安全措施應(yīng)對(duì)即將到來的攻擊威脅��;并且能夠與威脅情報(bào)平臺(tái)進(jìn)行融合�,從而提升風(fēng)險(xiǎn)研判的準(zhǔn)確性�;此外還打造了一個(gè)統(tǒng)一支撐安全運(yùn)營(yíng)的平臺(tái)�����,改變以往多套平臺(tái)�����、多套系統(tǒng)林立的局面�����,提升運(yùn)營(yíng)效率��。
網(wǎng)絡(luò)安全�����,企業(yè)究竟該如何做��?
雖然科技對(duì)安全建設(shè)很重要����,但李洋承認(rèn)�,現(xiàn)在安全平臺(tái)的建設(shè)還不能跟上技術(shù)發(fā)展的腳步。
一方面���,現(xiàn)在的不少攻防工具還是基于“黑客”或“白帽”的經(jīng)驗(yàn)打造的��,難以標(biāo)準(zhǔn)化�����,不能標(biāo)準(zhǔn)化就難以大規(guī)模復(fù)制���,批量化生產(chǎn)。
另一方面�����,安全有很強(qiáng)的時(shí)效性���,對(duì)技術(shù)的要求也很高�����。李洋舉例說道���,就好比一場(chǎng)足球賽����,守門員就是守衛(wèi)安全的角色,球員在90分鐘內(nèi)能不斷發(fā)起進(jìn)攻�,但守門員是否能擋住球,就在一瞬間��,如果無法馬上響應(yīng)�����,就會(huì)出現(xiàn)安全事故����。
“數(shù)據(jù)中心可以慢慢建�����,但攻擊來了不可能慢慢去處理���,這種不確定性和對(duì)應(yīng)對(duì)時(shí)效的高要求�����,是目前科技不能在安全很好地落地的一大原因�����。”李洋說�。
但不可否認(rèn)的是����,未來安全一定需要科技的手段去守護(hù)��,而且在萬物互聯(lián)的時(shí)代��,任意一個(gè)小節(jié)點(diǎn)出了問題�,都會(huì)對(duì)整個(gè)系統(tǒng)造成影響�,只有用科技的手段,才能更有效地保障安全�。
而“保障網(wǎng)絡(luò)安全”常常是說起來容易,企業(yè)要做起來卻常常不知如何是好��,李洋的建議是��,要重視基礎(chǔ)建設(shè)�。一方面,在開發(fā)系統(tǒng)和應(yīng)用的一開始��,就要開始考慮安全因素,“要把安全做全流程植入��,不能最后再來’補(bǔ)課’��,這樣不僅需要付出更高的代價(jià),而且效果也不好����。”另一方面,要考慮各環(huán)節(jié)的安全需要�,以物聯(lián)網(wǎng)為例,既要考慮到感知層硬件設(shè)備的安全性�����,也要考慮到邊緣計(jì)算平臺(tái)�、云端的安全���。
科技雖然重要,但李洋告訴億歐�����,在他過去近20年從事網(wǎng)信工作的經(jīng)歷中,很多問題的答案不是在技術(shù)里面找到的���,李洋日常不僅會(huì)看網(wǎng)絡(luò)安全相關(guān)的書籍����,還會(huì)看云計(jì)算�、金融,甚至人文方面的書�。
“安全需要綜合學(xué)科的人才,不僅要懂IT�,要懂具體的業(yè)務(wù)���,還要有網(wǎng)絡(luò)安全的攻防意識(shí)。”李洋說����,只有具備了這樣綜合的能力,才能對(duì)“安全”有更深層的理解�。
【來源:億歐網(wǎng)】
上一篇:
