撰文 | 何玺 排版 | 叶媛
8月26日,凡事有利必有弊,主题为“经营安全、安全经营”的2021北京网络安全(下称BCS)以云峰会形式举行。来自全球的顶尖专家、行业学者、企业高管们齐聚一堂,在实践中,就当前网络安全的新形式、新趋势、新机遇等进行了畅谈和分享。
01
在BCS2021看网络安全新态势:网络安全形势复杂挑战
在BCS2021第一天的峰会上,攻击者利用VPN或 Tor 浏览器这些加密措施掩盖了攻击。出于多种原因,名誉、电子信息产业集团有限公司董事长芮晓武指出,网络可见性很重要,数字化、网络化、智能化融合发展,包括通过策略实施提高安全性、减少影子 IT 以及快速检测恶意或可疑活动,网络安全产业也迎来融合发展的新趋势。作为网络安全和信息化产业队,它可以增强企业的应用程序分析并帮助做出明智的决策。企业经常使用诸如 Palo Alto Networks Next-Generation Firewalls 等工具来获得对网络流量的巨可见性。企业可能会尝试获得深入到数据包、应用程序和用户级别的可见性。此时,电子将携手奇安信加快推动可信计算技术融入先进计算架构、加快推动网络安全防护融入信息系统、加快推动生态体系融入产业发展进程,我们评估个人 VPN 应用程序及其对企业内网络可见性的风险和威胁。我们将讨论这些应用程序和服务如何绕过防火墙以绕过安全和策略执行机制。Palo Alto Networks 客户可以通过使用下一代防火墙 App-ID 来保持完整的网络可见性,通过三个“融入”举措,这有助于识别和清理网络中的个人 VPN。在企业网络上使用个人 VPN的主要风险通过VPN,推动网络安全产业融合发展。
BCS联席、奇安信董事长齐则表示,用户可以访问一些无法访问的网络资源。VPN 的是为了允许不同地方的公司通过互联网加密通道连接其内网络。它们通常用于工作场所,当前我们已进入DT(Data Technology)时代,为没有物理连接到公司网络的用户(如远程工作者)提供对资产和设备的访问。但是,网络安全形势非常严峻复杂,网络攻击威慑上升。齐指出,DT时代的网络安全正呈现出“三个”明显变化:第一个明显变化是,数据问题让国际关系变得越来越复杂。第二个明显变化是,数据资产成为了勒索攻击的头号目标。第三个明显变化是,针对关键基础设施数字化系统的攻击愈演愈烈。
齐进一步指出,DT时代,数据是人的延伸、交易的延伸、服务的延伸;数据也带来了商业机会的延伸、生产力的延伸、想象力的延伸。数据本身是中性的,但是因为有不同的力量,站在不同的立场,以不同的方式来使用这些数据,数据就有了一体两面性。数据可以拿来做好事,数据也可以拿来做坏事。数据和人性一样,是非常复杂的。我们该如何与这种复杂性共生,是DT时代的一个重要命题。
十三届全国政协社会和法制副、公安原副长、友谊促进会理事长陈智敏指出,数据是网络安全的生命线,没有数据安全,就没有网络空间安全,没有网络信息安全,也没有网络信息基础设施的安全。切实保护好数据安全,不仅要加强政策、监管、法律的统筹协调,还需要从理论上法律上进一步解决数据权属问题。
俄罗斯前理谢尔盖·沙赫赖表示,网络安全已经成为和社会的主要安全问题,在世界范围内新冠疫情肆虐的背景下,每个都能够特别敏锐地感受到数字和信息通信的脆弱性。他希望建立中、美、俄高层的定期线上会晤机制,划出不得逾越的红线,构际网络安全体系。
与会专家、企业高管们分享的网络安全洞察虽然是总结性的洞察,但背后也都有着实实在在的对应事件,如欧盟颁布的GDPR和推进数字税计划,还有这几年肆虐全球的“勒索病毒”等。
通过CS2021峰会行业专家、企业高管等业界人士的分享可知,当前我们已进入DT时代。DT时代,无论是安全还是企业安全,都面临复杂且严峻的安全挑战。
02
DT时代,企业需要革新网络安全认知
虽然DT时代的网络安全问题日益复杂且愈加严峻已成为不争的事实,但不少企业对此却缺乏正确的认识。
这里说一下前段时间闹得沸沸扬扬的“滴滴数据事件”,2021年7月4日,互联网信息办公室发布了一则题为《关于下架“滴滴出行”APP 》的通报,内容如下:根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。互联网信息办公室依据《网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照有关标准,认真整改存在的问题,切实保障广用户个人信息安全。,7月9日,互联网信息办公室再次发布了一则与滴滴相关的通报:经过检测核实,“滴滴企业版”等25款APP存在严重违法违规收集使用个人信息问题。
为何滴滴IPO的第二天就被网络安全审查办公室根据《安全法》、《网络安全法》进行审查?因为它不仅存在违法违规收集、存储、使用个人信息,侵犯了用户隐私的问题,它的上市还可能存在危害安全的行为。
作为一家“”企业,滴滴难道不懂法吗?这里我们不去深讨这个问题,但我们知道,滴滴对DT时代的网络安全是缺乏足够认知的。
那么,面对DT时代日益复杂且愈加严峻的网络安全挑战,企业该如何提升自己的网络安全认知,找到应对之策?
玺哥认为,DT时代,企业想要做好网络安全,首先要熟知DT时代网络安全的特征,其次要要在网络安全上进行理念革新,第三要将新的网络安全理念贯彻执行。以上三点,其实都能在今年的峰会上找到答案。
关于DT时代的网络安全特征,BCS联席齐已经在上进行了总结:第一个,企业经营者的安全责任,从以前的有限责任变成了无限责任。第二个,企业的经营活动,成为了网络安全的一分。第三个,网络攻击破坏企业经营,变成了高频事件。
关于DT时代的网络安全新理念,今年的峰会的主题就是——“经营安全、安全经营”。在“经营安全、安全经营”提出之前,我们听得更多的是安全运营,运营安全,经营和运营虽然仅一字之差,但境界却完全不同,经营着眼全,看的是未来,运营着眼整体,关注的是当下。一字之差,体现的却是齐的思辨,一次理念的蜕变。IT时代,企业更多关注的是效率问题,所以企业安全要从运营上要“效率”。DT时代,网络安全发生了颠覆性变化,变成了一个复杂活,成了企业生存和发展的关键。
第三,也是最为关键的一点,就是要将“经营安全、安全经营”理念落到实处,只有这样,企业才能真正搞好企业安全。
DT时代,企业唯有革新自己的网络安全认知,方能更好的应对日益复杂且严峻的安全挑战。
03
“经营安全、安全经营”不仅是新思维,更是企业DT时代必备的安全方
新的网络安全理念有利于企业更好的应对日益复杂且严峻的安全挑战,但是,企业光有新的安全理念并不能保证企业的能做好网络安全。
如上文所言,将“经营安全、安全经营”理念落地是企业做好DT时代的网络安全的关键。然而,企业要将“经营安全、安全经营”理念落地并不是一件简单的事情。因为他不仅涉及到企业网络安全“新”目标的设定,还涉及到企业资源的投入和人员调配等多方面问题。
齐将经营安全总结为“是对网络安全的“动态掌控”,只有让安全能力动起来,不断循环升级,才能破解复杂难题”。
但是,企业经营安全想要实现“动态掌控”并不容易,它需要三个前提。齐认为,第一个前提是设定一个能够因势而动、因时而变、与日俱增的目标。“在未来相当长一个历史时期,新技术、新应用、新场景不断涌现,因为新而且复杂,注定安全系统要不断完善,需要为安全能力设定一个能够因势而动、因时而变、与日俱增的目标,也可以理解为用内生安全框架实现安全的弹性或扩展性。”;第二个前提是对安全有足够的资源投入。“安全是没有性价比的,是以结果为导向的。DT时代,网络安全成了“一失万无”的事,按照投入产出的因果关系,有投入才会有产出。这意味着,我们必须对安全有足够的资源投入。这个资源既包括钱,也包括人”。事实上,在安全投入方面,工信在《网络安全产业高质量发展三年行动计划(征求意见稿)》中提出,到2023年重点行业网络安全投入占信息化投入的比例要达到10%;第三个前提是要用专业高效的安全运营服务,来抵御复杂的网络攻击。“网络安全是高度复杂的攻防对抗,尤其是在DT时代,边界消失,连接网络的终端泛化,给网络攻击者提供了充当伪装者的条件,攻击伪装者混在业务之中,很难一眼看穿。再加上有些网络攻击者有背景支持,单靠政企机构自己单一的力量无法抵御这种复杂攻击”。
有了以上三个前提还不行,企业还需要三个重要能力来提升对安全的掌控力。这三个能力分别是专业的安全认知能力,如对监管、运营、攻防三类态势感知的认知,二是全面提升安全能力,如把把安全的硬件产品软件化、安全产品资源化、安全产品服务化等,三是全面提升授信能力,如每个主体、每个客体进行的“权限最小化”授信能力以及对授信持续动态评估的能力等。
说“经营安全、安全经营”是更适合DT时代企业网络安全的方,是因为它不仅深刻洞察和论述了DT时代网络安全的三个变化和三个特征,以及这种变化在企业安全中的责任、与安全的关系,对企业发展的影响等问题,还在于它提出一种更加适应DT时代企业网络安全的“动态掌控”方。
在“经营安全、安全经营”方法的指导下,DT时代的企业安全将成为有据可依,有理可循的“新工程”。
标签:网络安全 齐向东 国家互联网信息办公室 滴滴