数字经济将引领新一轮经济周期,成为经济发展的新引擎,但与此同时,急剧膨胀的数据存储量、海量的数据流动以及新技术的发展带来一些伴生安全问题,都对传统网络安全体系提出了很多挑战。
9月11号,中国工程院院士方滨兴、腾讯副总裁丁珂共同出席了2020腾讯数字生态大会CSS峰会“对话院士|产业安全”环节,这场对话由苇草智酷创始合伙人、信息社会50人论坛执行主席段永朝主持。方滨兴分享了他对于数字经济时代新安全体系的看法,他认为新基建带来的安全问题可以归纳为“移物云大智”的伴生问题,应对的关键策略是要充分了解其宿主技术的特性,从而实现防御或免疫。方滨兴也认为,建设安全体系是一个超越技术层面的问题,需要有“三制一案”,即从法制、体制、机制和预案方面做好工作。
丁珂则结合腾讯安全在产业安全实践,分享了企业客户在应用新技术的过程中遭遇的安全问题以及应对策略,同时他也提出一个新安全观:对于处于数字化进程中的企业而言,上云是帮助企业兼顾成本、效率、安全的“最优解” 。
技术以日新月异的速度在发展,促进经济发展的同时,也由于技术本身不成熟或者技术应用不当等原因,带来一些新的安全问题。方滨兴认为,新基建可以概括为以大数据、智能化、物联网、移动互联网、云计算等为代表的“移物云大智”技术,“移物云大智”上的伴生安全问题就是我们在新基建下面临的安全问题。他认为,面对各种不同的新技术并不存在一种通用的防御方法。“安全问题是一个伴生问题,所以我们现在很多问题需要找到宿主技术,它天然的脆弱点是什么,找到了这些,我们才能够有一个很好的解决办法。所以主动防御也好,想免疫也好,前提都是你要了解你的宿主技术,了解它,你才能主动防御它,对它免疫。”
丁珂认为,通讯技术前几代的更新换代主要的受益者在消费端,而5G时代到来最大的受益方是生产方,物联网、自动化、AI在生产领域已经开始扮演很重要的角色,而这个时候面向的安全形势也发生了改变,以往的安全边界、交付周期已经变得很模糊,安全变成了一个动态的问题。
“我们的企业客户在接触这些新技术的时候会特别困惑两点,第一是以前非常清晰的数字化的安全边界没有了,第二是以前很多数字的交互是固定的,安全产品每一次升级节奏是非常清晰的,但是现在因为数字已经影响到生产的方方面面,研发系统、供应链系统,还有生产过程中新出来的数据等等,全都是要去面临安全的问题,安全变成了一个非常动态的一个环节。”
长久以来,网络安全从业者一直在尝试去寻找一种能够解决网络安全挑战的安全技术“银弹”,但这种努力很可能不会有结果,很多安全问题的发生并不是技术层面的原因,例如今年的RSA会议,主题就是“人类永远是网络安全的关键和核心”。方滨兴在这次的论坛上提出,试图用一种通用技术去解决所有的安全问题,这种方式本身就是不科学的。
安全能力的构建不是单纯的技术攻防问题,方滨兴认为建立新安全体系是需要从管理、技术、人三个方面去设计。从管理的视角有“三制一案”,即从法制、体制、机制和预案方面要做好工作。“从管理的视角我们有‘三制一案’这么一种概念。要制定相关的法律,像《网络安全法》现在也有了;要有各种安全应对条例;要有体制,要有队伍、要有机构、要有测试部门——出了问题、谁报给谁、谁指挥谁、谁向谁提供信息、谁出来应对等等,它要有一套机制。这个机制走通了还要有一个预案,也就是出了事情,我们要启动什么样的应对方法、什么样的应对手段、哪些部门应该配合。”
方滨兴还提出,企业要解决安全问题,核心理念“万变不离其宗”,也需要从管理的视角、从人才的视角、从技术的视角来多管齐下。在这个看法上,丁珂和方滨兴形成了高度共识,丁珂认为企业需要企业经营的战略视角构建自己的安全免疫系统,需要从全景视角规划安全,在系统开发的早期就介入。“安全其实不是绝对安全,是伴生安全,在合理的成本范围内要做到什么程度,需要跟着代码、跟着生产系统‘内生’。” 丁珂也提出,对于处于数字化进程中的企业而言,上云是帮助企业兼顾成本、效率、安全的“最优解” 。
在人才培养方面丁珂也分享了腾讯安全的经验,包括和高校合作、通过安全竞赛“以赛代练”培养人才等模式。丁珂还特别提到在刚刚结束不久的DEFCON CTF上,腾讯安全科恩实验室斩获了总冠军,这是中国战队在这个堪称“网安世界杯”赛事上取得的最好成绩。
用数字化为企业经营提供助力是很多企业共同的目的,与此同时,安全也会成为一个常伴的问题。对此,论坛主持人段永朝总结了本次对话的共识:在安全建设上的未雨绸缪才能让一个企业在更加复杂多变的环境中占得一席之地。“企业需要持续更新安全理念、运用最先进的安全技术或者实践中的一些成功和失败的经验,从而确保在数字化转型的过程中心里更有底气,走得更远。”