第一章 探索数字世界的攻防之道
1.网络安全守夜人杜跃进
专家简介
杜跃进,博士,博士生导师。现任360集团副总裁兼首席安全官、大数据协同安全技术国家工程实验室常务副主任、贵州大数据安全工程研究中心主任、360未来安全研究院院长。曾任阿里巴巴集团技术副总裁及首席安全专家、网络安全应急技术国家工程实验室主任、APCERT(亚太地区计算机应急响应组织)副主席、国家网络安全应急中心副总工程师等职。曾两次获得国家科技进步一等奖,并获得新世纪百千万人才工程国家级人才、全国青年岗位能手、亚太信息安全领导成就奖、中国计算机学会CCF杰出会员和杰出演讲者等荣誉,享受国务院特殊津贴。
我们正在进入数智时代,传统意义上的以产品为主导的“安全”越来越不能适应时代的发展,未来安全必然是以能力为主导;要有大安全理念,用新思路和方法拥抱未来;大数据时代下的数据安全治理需要以数据安全能力成熟度模型(DSMM)为抓手;建立高校和产业界的合作关系,走上网络安全人才培养的可持续发展道路。
——杜跃进
较早一批网络人
我大约从1994年开始跟着研究生导师建设校园互联网,从而开始接触互联网安全。那时,哈工大(哈尔滨工业大学)的每个邮件服务器、域名服务器和BBS服务器等,每天都面临着大量的网络攻击。我作为这些系统的建设者和管理者,从一开始就需要面对这些安全问题。从1999年博士毕业到现在,我一直从事网络安全工作。
探索未来安全方向
中国有一句话叫“从来都没有什么岁月静好,只是有人替你负重前行”,网络安全正是这样,得益于背后的一批持续努力着的守护者。我们正在经历“第四次工业革命”,全新的技术和业务革命将快速改变我们的世界,各个领域发生快速变化所导致的不确定性带给我们各种各样的焦虑。教育上,我们不知道未来培养人才的方向。行业政策、法律、标准、产业、技术、教育,统统都受到冲击。因此,从安全行业的角度来说,我们需要尽可能多、尽可能早地“看见”未来。这种“看见”未来的能力,需要在行业里有长期扎实的积累、持续深入的研究和跨领域的宽广视野。
数智时代来临
在疫情影响下,信息化、数字化在2020年呈现出新的发展趋势,步入更高阶的数智化转型期,数字安全创新也将上升为数智时代的“内需”与“刚需”。可以说,未来必然是数智时代,其基本规律是软件定义、泛在互联、数据驱动,其更底层的规律是物理世界、数字世界和人类社会的高度融合造就了复杂巨系统。从安全角度看,这意味着全世界没有安全地带,每一个地方都可以被攻击,攻击者不受时空的限制,攻击也变得超级隐蔽。在这些基本规律背后,我们看到的是严重的网络安全危机。目前的网络安全更多还是在做原来的IT安全,对付没有特定动机和目标的一般犯罪团伙。但是,数智时代的网络安全正在被重新定义,融合了IT安全、DT(数据技术)安全、OT(业务运行技术)安全的大安全挑战已经不再只是信息安全,而是扩展到了现实世界的每个角落,危害国家安全、国防安全、关键基础设施安全、经济安全、社会安全甚至人身安全,网络安全亟待被重新定义。攻击对手已经变成了有组织、有技术、有资金的高级犯罪团伙,甚至是国家级攻击力量。攻击对象涉及的领域从当年的IT已经逐渐进入到我们能够想象到的任何一个社会空间。
得能力者得天下
数智时代下,网络安全面临重重挑战。网络安全产业需要变革,安全需要从产品主导转向以能力为中心的思路。网络实战检验证明,传统积累的安全产品,并不能应对新时代的网络安全威胁,堆砌安全产品的方法已经过时了。安全的本质就是人与人的对抗,工具和系统都只是手段,不是目的。未来,这种人与人的对抗将更加明显,会被延伸到几乎所有领域。每个高级持续性威胁的背后是黑客思维与攻击技术的融合和演化,单纯的工具或系统所承载的经验与知识是匮乏的。这种情况决定了没有一种产品或者设备可以代替人的作用,只有通过人机结合形成安全能力,并以实战作为最终目标,才能应对新威胁、大挑战。
能力的建设和产品的建设很不同,需要形成体系,需要基础设施,需要有可成长的能力核心,需要能够持续成长。在建立了能力体系之后,实践才是检验安全能力的最终标准。未来,网络安全能力检验会逐渐走向实战化、体系化和常态化。同时,由于未来信息系统的极度复杂性和其与安全的普遍相关性,传统的管理思路将会失效,未来安全的关键在于治理。为了能够做好安全治理,需要发动并协同各领域里的最佳资源,调动体系内各组织的最大能力,才能保证争取最佳的效果,确保体系的持续运转。
辩证看待新技术
在以大数据、人工智能等为代表的新一代信息技术的驱动下,信息化正从网络化向智能化方向迈进。新一代信息技术正在改变全球数字格局,赋能各行各业发展的同时,也带来了隐私安全、社会伦理等问题。并且随着新一代信息技术的深度应用,IT安全将会与DT安全以及OT安全相融合,安全的复杂度会急剧上升,精准的有目标的网络攻击会越来越多。
新技术带来的网络安全威胁,我们必须要采用全新的安全思路和方法才有希望应对,具体来说包括以下六点:第一要有意识,必须充分而广泛地重视新技术带来的安全问题;第二要有能力,需要加强培养网络安全基础能力;第三要协同,用开源和众包等方式大幅提升发现和解决问题的能力;第四要有共识,建立新技术领域普遍共识的规则;第五要创新,全新的数智时代,创新成为基本需要,过去的经验大量过时,需要提出各种创新思路,而不能沉迷于过去的思路;第六要有大安全的理念,尽管新技术本身面临安全问题,但同样也可能成为解决安全问题的利器。
APT应对理念之“博、大、精、深”
“博”指的是需要多维度的知识构建,需要“带外信息”的支持与整合;需要多维度的异常感知,这种感知能力越丰富,越精确,越有可能发现高级安全威胁;需要多维度的威胁分析,包括对攻击者及其动机、攻击源、攻击路径、攻击目标的不同角度的信息整合与关联分析。
“大”指的是大视野的分析和应对思路,强调整体配合,强调使用更大规模的相互关联的数据和信息进行分析。实际上“大视野”还包括技术以外的含义,例如通过法律和政策建立更好的安全环境,基于国家利益和国际关系的视角进行安全威胁的分析等。
“精”指的是新阶段的网络安全对策强调细节,每一个环节都要精益求精,以此提高效率;需要对众多威胁线索进行精细化分析,重点应对筛选出的高威胁线索;通过持续不断地研究、建设和积累,构建应对国家级网络安全威胁的最精锐队伍。
“深”指的是深度分析,对恶意代码、安全事件和宏观安全数据展开相互关联的深度分析,识别与梳理安全威胁,发现重大威胁及其来源与动机,积累相关知识。
这种“博、大、精、深”的思路,并不依赖于已知威胁的特征和攻击手法来做出判断,而是需要从不同的角度进行特定的调查,来使危险有迹可循。未来,随着APT(Advanced Persistent Threat,高持续性威胁)形势的发展,“博、大、精、深”的理念也需要增加内涵,不断进行迭代调整。
安全对抗范围快速扩张
纵观网络安全发展的规律,我认为今天的安全对抗正从过去的以计算机系统和弱目标性威胁为主要特点的小空间,逐渐沿着三个维度快速扩展。第一个维度是安全对抗的领域,从早期计算机本身的安全,延伸到手机、IOT等一切智能终端的安全;从计算机网络的安全,延伸到通信网络、社交网络和生产网络的安全;从系统本身的安全,延伸到数据本身和业务本身的安全。第二个维度是安全的对手,从最早的没有特定动机和目标的“白开心”,到被经济利益驱使以逐利为目标的“小毛贼”和犯罪团伙,再到具有复杂动机的围绕政治、经济和军事等国家安全目标的“大玩家”,他们的攻击手法、目标等都在发生很大变化。第三个维度是网络攻击带来的威胁,经历了从办公安全、信息和数据安全、财产安全、生产安全到社会和国家安全。未来的安全趋势,将会是精准化、个人化、针对特定目标的攻击成为主流,且由于系统过于复杂,无法简单地靠评测和计算得出结论,只能够依靠实战对抗,来检验最终的效果。
无安全,不信创
信息技术应用创新(信创)是发展的必然之路,做好网络安全保障是信创产业发展的重要基础。信创的大规模应用将迅速扩大攻击者可利用的攻击面,信创安全面临着自身弱、对手强、动机多的严峻挑战,加上我们对安全存在认知偏差、能力不足、积累不足、实战不足的情况,信创产业将面临前所未有的安全威胁。“无安全,不信创”,一味照搬过去的安全思维和方法,无法解决当下信创所面临的安全问题,信创安全需要体系化设计。信创安全体系设计的核心目标是经得住实战考验,最基本的思想是:攻防视角、整体思维、统一调度、开放运营和能力驱动。
在这样的指导思想下,信创安全技术体系的目标分为“可信、安全、可控、可对抗和可存活”五个层次,简称为“两个减少、三个增强”:第一层目标是“可信”,主要通过数字证书等各种密码技术应用辅以供应链的统一管理等方法来减少硬件、软件数据和人员等元素“作假”的可能性。第二层目标是“安全”,需要建立方法和机制,保障信创软件程序的漏洞尽量少,减少漏洞被利用的可能性。第三层目标是“可控”,因为没有绝对的安全,无论前面的“可信”还是“安全”,都不能确保一定不出现安全攻击事件,因此需要增强攻击事件预防、发现和响应能力。第四层目标是“可对抗”,增强安全威胁溯源、取证与慑阻的能力,能够更加主动地减少或消除安全风险。第五层目标是“可存活”,增强核心业务、数据的存活能力,在各种最坏的情况下确保核心业务和应用不中断。
数据安全是全新领域
随着人类进入软件定义、万物互联和数据驱动数字经济时代,数据作为新的生产资料被认定为生产要素和新黄金,其重要性不言而喻,流动和共享成为数据的新特征。数字经济时代关注的是DT(数据技术)和数字化之后的OT(业务运行技术)的安全。数据的存在形态、流动方式和频率、使用和交换方式、不同利益相关方关注的问题都和过去完全不同。同时,数字经济时代还在快速发展变化中,新技术、新业务会不断出现,新的威胁手段也会层出不穷。数据安全从以“系统”为中心的思路逐渐转变为以“数据”为中心的方法,全球的法律政策也转变为以个人信息及隐私保护为重点,同时向全面的数据安全治理扩张。
大数据时代下的数据安全治理,无法使用传统的管理模式达到目标,必须走协同治理的道路。政府、企业、安全机构、第三方机构和客户需要发挥各自优势形成有效的配合,才能建立适应当今数字时代的协同治理模式,共同提升全社会的数据安全水平。从政府的角度来说,一是需要完善数据安全相关的法律法规,并制订相应的技术标准和实施细则以支撑法律法规的落地与实施。二是构建以数据安全能力成熟度模型(DSMM)为抓手的正向驱动的数据安全治理体系,从组织建设、制度流程、人员能力和技术工具四个方面对企业或组织进行数据安全能力成熟度等级划分,从而在数据和数据处理者之间建立正相关关系来整体推进业界的数据安全能力。从客户的角度来说,需要依据相关法律法规、标准规范要求,采用相应的技术手段和产品保护安全,同时强化内部数据保护宣传以提高安全意识。
如何培养国家所需的安全人才
网络安全成为涉及各领域的问题,涉及国际关系、国家战略、政策法律标准等,需要的不仅仅是技术人才。在可预见的未来,网络安全将以人机结合为主要形式。也就是说,解决网络安全问题离不开人的参与。以中国上千万家企业数量衡量,网络安全的人才缺口远不止此前有些机构公布的140万人。
目前,我国网络安全人才培养主要依托于高校,全国约有160多所院校开设了相关专业,每年培养的人才数量约两万人。由于网络安全技术处于快速变化中,每年毕业的网络安全专业学生走向社会时,很难快速适应工作和达到业务要求。这是因为网络安全专业是一门极其强调动手与实践能力的学科,学生缺少良好的实验环境和实战机会,使得他们无从了解真实的网络安全现状和需求,最新的攻防对抗技术和技巧,各种相互关联的现实系统所使用的技术、配置策略以及面临的实际风险等内容。
为了走上网络安全人才培养的可持续发展道路,一方面高校需要和产业界建立合作关系,最终形成有效的联合培养方式。例如企业把需求、场景和实践情况输入给高校,甚至联合高校建立实习实训的环境,这样高校在授课的时候可以结合实际有的放矢。另一方面,要把高校和企业以一种合理的、成系统的方式组织起来,实现人才点对点的对接。