ISC 2020 杜躍進(jìn):無安全,不信創(chuàng)

  • 人閱讀
  • 2020-08-15 19:28:56

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

進(jìn)入2020年,在復(fù)工復(fù)產(chǎn)、“新基建”全面啟動的背景下,各地信創(chuàng)項(xiàng)目開始大面積鋪開,信創(chuàng)產(chǎn)業(yè)也隨之出現(xiàn)了一個(gè)現(xiàn)象級的風(fēng)口,其必將迎來新的發(fā)展與挑戰(zhàn)。

恰逢其時(shí),全球首場網(wǎng)絡(luò)安全萬人云峰會 ISC 2020 正式啟幕,打破了線上線下的空間桎梏,匯聚全球豪杰,全球頂級安全智囊、專家、學(xué)者共同探討“數(shù)字孿生時(shí)代下的新安全”解決之道,迸發(fā)出網(wǎng)絡(luò)安全領(lǐng)域新對話、新探討與新碰撞,為全球萬千參會者打造永不閉幕的升級交流體驗(yàn)。

ISC 2020 杜躍進(jìn):無安全,不信創(chuàng)

在ISC 2020信創(chuàng)安全論壇上,360首席安全官杜躍進(jìn)從攻防角度,全局視角,縱觀信創(chuàng)產(chǎn)業(yè)發(fā)展全局,強(qiáng)調(diào)“無安全,不信創(chuàng)”,指出信創(chuàng)安全面臨的三大挑戰(zhàn)、五大問題的同時(shí),提出要以攻防視角、整體思維、統(tǒng)一調(diào)度、開放運(yùn)營、能力驅(qū)動的全新思路,構(gòu)建可信的、安全的、可控的、可對抗的、可存活的信創(chuàng)安全體系。

信創(chuàng)產(chǎn)業(yè)全面啟航

信創(chuàng)安全面臨嚴(yán)峻挑戰(zhàn)

眾多數(shù)據(jù)顯示,“信創(chuàng)”這個(gè)風(fēng)口,將是一個(gè)萬億級的市場,對于網(wǎng)絡(luò)安全產(chǎn)業(yè)來說,既是機(jī)遇,也是挑戰(zhàn)。

360首席安全官杜躍進(jìn)指出,信息技術(shù)應(yīng)用創(chuàng)新是必然之路,在軟件定義一切、萬物互聯(lián)、數(shù)據(jù)驅(qū)動業(yè)務(wù)的網(wǎng)絡(luò)世界里,信創(chuàng)的大規(guī)模應(yīng)用將迅速擴(kuò)大攻擊者可利用的攻擊面,信創(chuàng)安全面臨三方面嚴(yán)重挑戰(zhàn):

ISC 2020 杜躍進(jìn):無安全,不信創(chuàng)

自身弱。每一個(gè)軟件和系統(tǒng)都可能有漏洞,由于信創(chuàng)產(chǎn)業(yè)的廠商、產(chǎn)品和人員目前都沒有經(jīng)歷過全世界網(wǎng)絡(luò)安全人員的挑戰(zhàn),全面的信息技術(shù)應(yīng)用創(chuàng)新,將導(dǎo)致信創(chuàng)系統(tǒng)處于相對脆弱的階段。

對手強(qiáng)。“人間熙熙皆為利來,人之攘攘皆為利往”?;ヂ?lián)網(wǎng)剛剛出來的時(shí)候,網(wǎng)絡(luò)攻擊者的動機(jī)以技術(shù)挑戰(zhàn)為主,沒有太多的利益考慮。但是,隨著網(wǎng)絡(luò)上開展的業(yè)務(wù)越來越多,網(wǎng)絡(luò)攻擊帶來的利益日趨“誘人”,網(wǎng)絡(luò)空間里的對手越來越強(qiáng),單純的網(wǎng)絡(luò)攻擊逐漸演變成獲取非法利益的手段。隨著信創(chuàng)的發(fā)展,未來關(guān)鍵基礎(chǔ)實(shí)施、重要信息系統(tǒng),業(yè)務(wù)都依賴軟件、網(wǎng)絡(luò)、數(shù)據(jù)作為基礎(chǔ),攻擊者的攻擊能力越來越強(qiáng),信創(chuàng)安全將會面臨更多且更強(qiáng)的對手。

動機(jī)多。未來,網(wǎng)絡(luò)安全還會面臨越來越復(fù)雜的動機(jī)。不僅僅是利益驅(qū)動,直接對金融機(jī)構(gòu)進(jìn)行攻擊獲利等,還會吸引更高級的網(wǎng)絡(luò)攻擊團(tuán)伙、恐怖組織以及具有國家背景的攻擊團(tuán)伙,他們都有可能對網(wǎng)絡(luò)空間不同的攻擊目標(biāo),使用不同的攻擊手法,達(dá)到個(gè)人或國家級別的目的。

與此同時(shí),信創(chuàng)安全本身還面臨著:認(rèn)知偏差、能力不足、積累不足、實(shí)戰(zhàn)不足四大問題。

認(rèn)知偏差。要清醒的認(rèn)識到自己的并不等于安全的,安全產(chǎn)品不等于安全能力。

能力不足。安全本質(zhì)上是能力之間的對抗,在信創(chuàng)的安全能力領(lǐng)域里仍有安全測試與驗(yàn)證、安全開發(fā)與設(shè)計(jì)、漏洞發(fā)現(xiàn)與管理、威脅發(fā)現(xiàn)于應(yīng)對、安全大數(shù)據(jù)應(yīng)用等方面能力的不足。

積累不足。能力都不是一蹴而就的,需要長期積累。目前在信創(chuàng)安全領(lǐng)域,攻防經(jīng)驗(yàn)、威脅情報(bào)、安全知識庫、安全大數(shù)據(jù)和安全專家各方面目前的積累不足。

實(shí)戰(zhàn)不足。首先是產(chǎn)品、用戶和業(yè)務(wù)都未曾經(jīng)受全球考驗(yàn),其次是安全管理方面長期存在“捂蓋子”的現(xiàn)象。只有揭開“捂蓋子”的現(xiàn)象,通過發(fā)現(xiàn)問題不斷總結(jié)、不斷改進(jìn),才是應(yīng)對安全挑戰(zhàn)的正確道路,信創(chuàng)才能安全發(fā)展。

ISC 2020 杜躍進(jìn):無安全,不信創(chuàng)

基于此,杜躍進(jìn)提出“無安全,不信創(chuàng)“,一味照搬過去的安全思維和方法,無法解決當(dāng)下信息技術(shù)應(yīng)用創(chuàng)新所面臨的安全問題,信創(chuàng)安全需要全新的思路。

機(jī)遇與挑戰(zhàn)并存

信創(chuàng)安全體系設(shè)計(jì)需要新思路

網(wǎng)絡(luò)安全和信息化是“一體之兩翼,驅(qū)動之雙輪”,安全作為信創(chuàng)發(fā)展的“基石”,需要同步規(guī)劃、同步建設(shè)。

杜躍進(jìn)提出信創(chuàng)安全體系設(shè)計(jì)的五大指導(dǎo)思想:

其一,需以攻防視角進(jìn)行體系設(shè)計(jì),網(wǎng)絡(luò)安全的本質(zhì)是攻防對抗,因此需要抓住本質(zhì),從攻防的視角進(jìn)行安全設(shè)計(jì)、運(yùn)營和檢驗(yàn)。

其二,需要整體思維,鑒于主要對手能力遠(yuǎn)超于我們,而我方基礎(chǔ)薄弱、積累不足,任何單獨(dú)的產(chǎn)品或者用戶部門,都不可能有效應(yīng)對這類威脅。由于攻防的不對稱性,要充分利用來自各方的資源與力量,使其相互響應(yīng)與配合,以實(shí)現(xiàn)有效防御。

其三,需要統(tǒng)一調(diào)度,為了確保安全體系設(shè)計(jì)落實(shí)到位,特別是保障在運(yùn)行階段的攻防對抗能力,需要以統(tǒng)一調(diào)度的方式來運(yùn)轉(zhuǎn)整個(gè)安全體系。。

其四,需要開放運(yùn)營,信創(chuàng)體系的運(yùn)行環(huán)境是開放的,攻擊者通常會選擇最弱,最有價(jià)值的目標(biāo)進(jìn)行攻擊。對于防御方來說,通過開放運(yùn)營才能讓更好的安全能力接入,才能集中所有力量有效抵御威脅。

最后,需要能力驅(qū)動,安全防護(hù)的最終效果,由實(shí)戰(zhàn)的能力決定。合規(guī)作為基本要求,還需要以能力的提升、能力的檢驗(yàn)為核心,多測多練。只有具備了對抗抵御威脅的能力,才能確保信創(chuàng)安全。

“在這樣的指導(dǎo)思想下,整個(gè)信創(chuàng)安全的目標(biāo)可以分為五個(gè)層面。”杜躍進(jìn)表示,第一層基礎(chǔ)目標(biāo)是“可信的”,可信的基礎(chǔ)之上是”安全的”。由于漏洞永遠(yuǎn)無法消除,系統(tǒng)總是可能會被入侵,第三層的目標(biāo)是增強(qiáng)被入侵之后對攻擊事件的”可控性”。第四層是增強(qiáng)安全威脅溯源、取證、懾阻等”可對抗的”能力?;谝陨纤膫€(gè)層次的目標(biāo),第五層目標(biāo)是增強(qiáng)核心業(yè)務(wù)“可存活的“能力,守住網(wǎng)絡(luò)安全最后的“底線“。

ISC 2020 杜躍進(jìn):無安全,不信創(chuàng)

落地信創(chuàng)安全體系建設(shè)更加勢在必行。截止目前,各信創(chuàng)安全廠商已逐步推進(jìn)了終端安全、安全性測試、漏洞管理、安全開發(fā)、安全挑戰(zhàn)、數(shù)字證書等方面的工作。未來還有更多的工作需要安全行業(yè)共同參與,互相配合,才有可能解決信創(chuàng)安全面臨的問題。

杜躍進(jìn)呼吁希望更多的安全企業(yè)參與到信創(chuàng)安全的工作之中,以確保國家信息化建設(shè)目標(biāo)的實(shí)現(xiàn)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )