在“阿黄阿黄鹂儿不要笑,等我爬上它就成熟了。”这句脍炙人口的歌词里,两只黄鹂鸟只看到了蜗牛现在爬上了一棵没有果实的葡萄树,而蜗牛的眼里则是未来一颗颗甜甜的葡萄果实。现在与未来在我们儿时的记忆里首次碰撞。
而在数字化的世界里,5G就是其中一个我们肉眼可见的未来,厉害的是,亚信安全正忙着“预建未来”。
数字化技术的发展与传统网络安全之间的矛盾
除了是亚信集团董事长外,田溯宁投资人的身份更为业界所熟知。投资人的眼睛总是在盯着诗和远方,田溯宁也不例外。2015年,田溯宁“赌”上了网络安全这个筹码,大手一挥拿下了趋势科技中国,亚信安全正式破壳而出。时间印证了他当年的眼光,没有网络安全,现如今这个世界还真玩不转。
4年时间过去了,田溯宁又把网络安全和5G紧密地结合在了一起。在他看来,没有安全就没有5G网络,就有可能没有更美好的未来。但是,以5G为代表的数字化技术的发展,和传统网络安全的理念却是“矛盾”的。
【田溯宁:IT、OT与CT将实现与ST的深度融合,形成万物互联和云物一体化的新时代】
看一看传统网络安全的建设思路。在过去,网络安全建设往往是查漏补缺的模式,哪里有安全问题就在哪里“打个补丁”,放个设备。在那个设备堆砌的时代,企业在网络边界部署一套防火墙,是希望通过一些规则,在网络层阻止一些非法的访问;在终端上部署一套反病毒软件,则是希望在设备层降低病毒入侵的概率;部署数据库审计系统则是希望能够监控数据库的访问行为。
总而言之,企业是希望通过部署网络安全设备从而缩小攻击面,反过来提升网络攻击的成本。
但不巧的是,“5G是一个多元化的、开放的平台,有更多定制化的需求和应用产生,它的应用场景越来越多,连接的设备也越来越多,这就给安全威胁带来了更多入侵的机会。” 亚信安全研发中心总经理吴湘宁说到。
简而言之,5G大大提升了网络、设备的暴露面积,使它们更容易遭受入侵。当然不仅仅是5G,我们回想一下过去十年蓬勃发展的新技术。举几个例子,云计算、虚拟化技术的应用带来了网络边界的模糊化,黑客更容易在网络层和应用层发起攻击;大数据技术的应用推动了数据的流转与使用,使得数据更频繁的暴露在危险之中;IPv6技术解决了现有IP地址不足的问题,为万物互联带来了更多的可能性,但同时也将原有隐藏在路由器背后的动态IP直接暴露在了网络空间中。
所以我们经常听到这样一句话,随着某某技术的不断发展,网络安全风险与日俱增。
从着眼5G到网络安全“关口前移”
这就是传统网络安全模式的无奈,因为它存在一个非常大的缺点:静态防御,后知后觉。
后知后觉太可怕了,尤其是在未来的网络攻防中,慢一步很可能就意味着满盘皆输。“5G的发展大大推动了数字化转型的进程,越来越多的终端设备与计算和网络相结合,IT、CT与OT技术紧密的结合在了一起,我们很难想象如果没有网络安全,未来的5G会变成什么样子。” 亚信网络安全产业技术研究院副院长刘政平感慨道。
【由左至右:亚信安全研发中心总经理吴湘宁,亚信网络安全产业技术研究院副院长刘政平】
不难看出,亚信安全希望能在5G安全方面,先知先觉。所以,田溯宁提了一个新的理念——ST(安全技术),并且需要渗透进入到IT、CT与OT中的每一个环节中去。简而言之,网络安全应该是内生的。
就像我买一套房子,门、窗是标配一样,它们本就应该是房子的一部分。这在网络安全圈应该被称为关口前移,把以前“查漏补缺”的工作做在前头,让网络安全技术的方法论进入到数字化建设的初期。
关于这个话题,习近平总书记强调,“关口前移”是对落实网络安全防护的方法提出的重要要求,深入落实“关口前移”的前提是深入理解“关口”的内涵意义,不能将其片面窄化为安全网关或网络入口,而是应理解为落实安全能力的重要控制点。
刘政平认为,如果等到5G全面商用我们再谈安全的话,就已经很难做了,往往需要投入很高的成本。5G安全的建设是一个规划问题,必须与5G网络同步规划,避免由于网络和系统本身的脆弱性而导致的网络安全风险。如果在事前把工作做得足够充分,后续会节省大量的人力物力。这就和平时多流汗,战时少流血是一个道理。
实现网络安全的“三同步”
还有一件很巧的事情。C3安全峰会刚结束没两天,等保2.0就在万众期盼中正式发布了。关于这个标准的解读,网上已经铺天盖地,讲得非常透彻。在安全建设方面,我认为有几点非常重要:第一,等保2.0将云计算、大数据、工业互联网等都纳入了保护对象范围之内,受保护环境更加复杂;第二,移除不必要的控制点,引导产品堆砌式的被动防御向积极防御和主动防御转变;第三,强调了安全管理中心和持续运营的重要作用。
从这几点中我们能够明显看到,进入等保2.0时代,网络应用环境愈加复杂,业务安全需求也更加明显,我们在信息化建设的同时必须统筹考虑网络安全的建设,做到同步规划、同步建设、同步运营,我认为这应该是关口前移应该实现的目标,也是亚信安全正在一步一步实现的。
更重要的是,等保2.0是以《网络安全法》、《保守国家秘密法》等法律为顶层设计,而不是等保1.0时代的各个条例。根据《网络安全法》第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
回过头来看亚信安全在着眼5G时是如何实现这三个同步的。
第一步,亚信安全与中国信息通信研究院共同发起,联合中国移动、中国电信、中国联通、中国网安和北京邮电大学成立了中国国内首家5G安全协同创新中心。
很明显的是,在这个时候成立这样一个中心,就是希望能在行业内形成一些标准,做好事前的规划。据介绍,5G安全协同创新中心将在终端安全、接入网安全、核心网安全、服务/应用安全、通用安全这5个主要领域进行技术创新,在SDN控制器安全防护、NFV基础架构安全防护、边缘计算安全防护及云网安全运营管理4个主要方面进行重点研究。
第二步,据亚信安全首席架构师徐业礼介绍,一方面亚信安全已经针对5G的网络及虚拟化等核心技术安全开展了大量的工作。凭借亚信安全在虚拟化安全,云安全等领域的长期积累和在运营商行业的深耕,亚信安全目前的产品可以全面覆盖运营商所使用的5G的基础设施。5G基础设施开始建设,运营商首当其冲,所以亚信安全在这一点上有着很大的优势。
另一方面,亚信安全会在5G时代到来之前,会优先把态势感知,安全管理产品做到5G网络中去,其他的安全能力后续也会逐步接入。能够看到,在全球5G建设都进入了一个快速发展的阶段,亚信安全同步建设的步伐也是相当之快。
第三步,至于同步使用和同步运营,因为现阶段还5G并没有大规模商用,这一点还体现的不那么明显。但是,亚信安全的安全运营体系及相关服务,能够实现事前主动预警内外部的各类安全事件,并达到对信息安全风险的事中监测和控制、事后追踪和溯源的整体运营目标。
不难想象,亚信安全有足够大的舞台。
岂止于5G安全
大势不可逆。5G是技术趋势,等保2.0是政策法规的趋势,频繁的数据泄露、APT攻击甚至是网络战这是威胁趋势,在这三大趋势下,三同步不再是一句口号。
不仅仅是5G。记得去年年底的时候,亚信安全依托于SOAR模型,重磅发布了XDR战略,从字面上理解就是以检测和响应为核心,它包括“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段。吴湘宁介绍说,这是未来亚信安全三年里面最重要的解决方案之一。传统的安全防护当中,总会是百密有一疏,企业需要做到实时的检测和响应,同时能够通过精密编排的预案来做及时的补救,这是未来整个网络安全防护的重要的思想。
【亚信安全首席运营官陆光明】
还有一点值得关注。在5月16日下午举办的“网络安全等级保护制度2.0国家标准宣贯会”上,亚信安全首席运营官陆光明介绍了践行网络安全等级保护2.0的五个观点:第一,以身份为基础,构建网络空间信任体系;第二,以攻防为视角,提升全方位主劢防御能力;第三,以联动为策略,提升网络安全事件智能响应能力;第四,以运维为关键,加强统一集中管控平台建设;第五,从实战出发,建设自适应安全体系。
这五点足够让亚信安全在等保2.0时代“攻城略地”。
未来,亚信安全准备好了。那么网络安全圈紫禁之巅这个位置呢?