7月9日,由国家工业信息安全发展研究中心联合信创安全技术委员会举办的“信创安全大讲堂”第一期活动圆满结束。信创安全技术委员会主任、360集团副总裁兼首席安全官杜跃进博士以“信创安全的问题、方案与计划”为题,从信创安全的背景、建设思路和工作进展三个方面阐述了当前信创安全工作的思路与进展。
从风险可控到体系创新,信创安全亟需多方协同
随着全球数字化大潮翻涌而至,信创产业作为科技创新的重要领域,是构建国产化信息技术全周期生态体系的主要抓手,更是新一轮科技革命和产业变革的关键力量。因此,信创产业的安全将为中国奠定坚实的数字基础,成为保障中国经济数字化转型平稳健康发展的底座。
“有人问信创怎么会有安全问题?”杜跃进博士以一个十分基础却又关键的问题开始了此次分享,“信创是减少了别人给你提供产品时在里面故意做手脚的概率,但是它并不能避免我们自己做的产品里有安全问题。”
谈及信创安全防御方法与传统安全的区别,杜跃进博士指出,当前的基本做法和原来并无本质不同,都面临严峻的能力建设和整体集成方面的挑战。但是,在面向未来的时候,信创安全的方法有可能做得更加完美和体系化,“因为我们有机会从最底层软硬件设计时就把安全考虑进去,从最底层到最高层,从产品到功能,到整个运营体系,设计出一套比过去更完美的运营体系,因为过去并没有机会这样做,导致整体衔接上的困难。”
信创安全想要从风险可控顺利过度到体系创新,这个过程需要信创用户、信创产品供应商、网络安全行业等多方深度绑定和协同联动。
杜跃进博士指出,信创用户需要扭转安全意识,不要认为只是买一点产品就可以了,还需从单枪匹马转为联合作战,以应对信创安全挑战;此外,现阶段很多信创安全工作需要和信创供应商一起开展,一定要在最开始的时候把产品做好;网络安全从业者则需要抓紧熟悉信创产品,必须和信创产品供应商深度绑定应对安全威胁,和信创用户深度绑定帮助他们应对信创安全事件。
360信创安全大脑赋能,信创安全能力体系建设
现阶段,信创安全本身不是在技术上有多大不同,而是在工作上极具特殊性,因此需要的是集成创新和机制创新。当前的信创安全大环境正呈现出基础薄弱、国际形势恶劣、时间紧迫、协调困难等诸多棘手问题,需要形成有针对性的思想逐一应对。
由此,杜跃进博士提出了攻防视角、整体思维、统一调度、开放运营、能力驱动五大核心设计思想。基于这五大思想,信创安全的整体工作主要涉及三个层面,分别为产品本身的安全,产品运行安全,以及最终用户的业务安全。
具体而言,产品安全涉及可信性和安全性。可信性是所有安全最基础的东西,解决的是软件、硬件、数据和人员等作假的问题,依赖的主要是数字证书等技术和运营体系。
值得一提的是,早在2018年,360就依托浏览器产品,极具战略前瞻性地推行“360根证书计划”,目前已覆盖全球98%HTTP流量,成功建立自有根证书库。而后,360联合统信软件、多家国内CA、网关厂商、Ukey厂商在2020年8月,再度共同发布“信创国密根证书计划”,进一步夯实了数字证书的安全根基。
软硬件产品本身有安全缺陷或者有安全漏洞导致被攻破,这个属于安全性问题。“漏洞无法避免,只能想办法减少容易利用的漏洞,同时增加攻击者利用的难度,”杜跃进博士强调。
产品运行安全涉及可控性、可对抗性。和安全漏洞无法避免一样,安全事件百分之百会发生。信创安全的可控性是指当别人攻进来时,能够及时发现并且做出快速、高效、有效的反应,让危害不再扩大,损失可控。然而,网络攻击存在严重的攻防不对称问题,防御者的资源远远经不住攻击方的消耗,因此必须要在“自己家”外形成一定的对抗能力,想办法增强溯源、取证、慑阻的能力,减少攻击方的破坏能力或者提高其成本,这是可对抗性。
对业务安全层面而言,可存活性则是关键。杜跃进博士将其生动地形容为“保命”,在前四个层面未达到满意时,就需要通过第五个层面的综合作用达到整体风险可控的水平,保证关键数据不受影响,核心业务不瘫痪。
在这个过程中,最大限度地整合防守方的安全资源,提升整体应对能力,进一步改变攻防不对称劣势,需要建设信创的安全大脑,实现大规模安全数据的分析,顶级安全人员大规模协同支援和高水平协同应对等。
作为数字经济的守护者,360政企安全集团基于15年实战攻防经验和230亿安全研发投入,打造了以安全大脑为核心的新一代安全能力框架。在这套能力框架的赋能下,安全大脑能够汇集信创领域的攻防经验,漏洞、产品、用户等信息,形成一整套知识体系,帮助用户高效分析安全事件。
其次,通过为用户建设应急响应中心、运营中心、靶场等基础设施,进一步打造分析、发现、协同应对体系,并实现各种能力的持续演进。最终通过安全专家持续运营,向用户提供多种安全服务,实现从产品安全、运行安全、业务安全全面赋能信创产业发展。
在这场百年未有的大变局中,一个国家的网络安全和信息化,在很大程度上决定了国家安全和科技产业水平。360政企安全集团将以打造国家网信安全护城河为己任,发挥大数据、技术、人才等优势,联合各方网络安全力量,助力信创产业在短期内快速建立起应急体系,在中期建立起能力体系,在远期形成独具特色的信创化安全体系和生态,为我国信创产业发展持续贡献力量!