齊向東：責任已無界限 安全必須經(jīng)營

DT（數(shù)據(jù)技術(shù)）時代，網(wǎng)絡安全價值觀應該是什么？

“經(jīng)營安全，安全經(jīng)營。”

在8月26日舉行的2021年北京網(wǎng)絡安全大會上，奇安信集團董事長齊向東給出了8個字的答案。這個思辨色彩很濃的回答似乎少了些許“技術(shù)含量”，但卻引起了國內(nèi)外網(wǎng)絡安全專家的強烈共鳴。

的確，當互聯(lián)網(wǎng)所產(chǎn)生的數(shù)據(jù)量呈現(xiàn)指數(shù)級增長，當數(shù)據(jù)與土地、勞動力、資本、技術(shù)并列成為五大生產(chǎn)要素之一，當數(shù)據(jù)驅(qū)動經(jīng)濟社會出現(xiàn)層出不窮的新形態(tài)，網(wǎng)絡安全已經(jīng)從“配套角色”變身為“底板工程”，成為數(shù)字化發(fā)展的前置條件。深刻變革之下，只有筑牢這個“新底板”，安全經(jīng)營才有可能實現(xiàn)。

DT時代，安全責任已無“時空邊界”

半個多世紀前，現(xiàn)代計算機之父馮·諾依曼說：“技術(shù)日新月異，人類生活方式正在快速轉(zhuǎn)變，這一切給人類歷史帶來了一系列不可思議的奇點。我們曾經(jīng)熟悉的一切，都開始變得陌生。”

較馮·諾依曼所處的時代，DT時代的“轉(zhuǎn)變”仍在繼續(xù)加快，而解讀這種轉(zhuǎn)變就必須從數(shù)據(jù)入手。數(shù)據(jù)本身是中性的，但是因為有不同的力量，站在不同的立場，以不同的方式來使用數(shù)據(jù)，數(shù)據(jù)就有了一體兩面性。“它既可以拿來做好事，也可以拿來做壞事。和人性一樣，數(shù)據(jù)是非常復雜的。”齊向東說。

齊向東認為，數(shù)據(jù)的復雜性決定了DT時代安全的復雜性，具體可總結(jié)為三個顯著特征：

其一，企業(yè)經(jīng)營者的安全責任變成無限責任。只要用戶的數(shù)據(jù)還存在，企業(yè)的責任就不會終結(jié)。保護每一個復雜交易的數(shù)據(jù)安全，成為貫穿企業(yè)經(jīng)營的生命線，成為企業(yè)經(jīng)營者的無限責任。

其二，企業(yè)經(jīng)營活動變成國家網(wǎng)絡安全的一部分。從《網(wǎng)絡安全審查辦法》到《關(guān)鍵信息基礎設施安全保護條例》再到《個人信息保護法》，今年密集出臺的一系列法律法規(guī)都在強調(diào)企業(yè)涉數(shù)據(jù)活動必須對國家、社會的承擔安全責任。

其三，網(wǎng)絡攻擊變成破壞企業(yè)經(jīng)營的高頻事件。

責任無界化、安全一體化、攻擊常態(tài)化，對于這種新特征給安全帶來的壓迫感，參會的國內(nèi)外專家也感同身受。

可以預見的是，在未來相當長一段時間，安全系統(tǒng)和經(jīng)營活動面臨的復雜挑戰(zhàn)還將不斷升級。“想要安全經(jīng)營，就要學會在經(jīng)營中與這種復雜性打交道。只有用心地經(jīng)營你的安全系統(tǒng)，才能保障你的經(jīng)營活動安全運轉(zhuǎn)。這是未來生存和發(fā)展的關(guān)鍵，也是我們提出‘經(jīng)營安全，安全經(jīng)營’的現(xiàn)實依據(jù)和邏輯起點。”齊向東說。

“經(jīng)營安全”，是對網(wǎng)絡安全的動態(tài)掌控

在齊向東提出“經(jīng)營安全”之前，很少有人把這兩個詞這樣排列在一起。即便有，“經(jīng)營”也只是作為定語或名詞去修飾“安全”，“經(jīng)營安全”和“交通安全”“教育安全”一樣，是諸多“安全”類別中的一種。

而DT語境下的“經(jīng)營安全”，“經(jīng)營”是謂語、是動詞，是對安全的籌劃和管理。“經(jīng)營安全”不再是靜態(tài)概念，而是一種動態(tài)思維，是對網(wǎng)絡安全的提前預判、主動介入、動態(tài)掌控，通過“經(jīng)營”讓安全能力“動”起來，在不斷循環(huán)升級的過程中破解復雜難題。

“經(jīng)營”的“定”“謂”之變、“靜”“動”之變，折射出齊向東等網(wǎng)絡安全界人士對DT時代網(wǎng)安規(guī)律的反思。在IT時代，人們認為網(wǎng)絡安全建設是一個簡單活兒，IT系統(tǒng)的部署場景是固定的，解決安全問題的方法是隔離；在DT時代，網(wǎng)絡安全解決的是生產(chǎn)力問題，是數(shù)據(jù)的生產(chǎn)、使用和交易問題?？堪惭b簡單的安全產(chǎn)品或者某種“銀彈”，防住一切網(wǎng)絡攻擊是不可能的，安全變成了一個復雜過程。

當然，“經(jīng)營安全”并不像字面順序調(diào)整這般簡單，像所有新理念付諸實踐一樣，它也需要前提條件。齊向東認為第一個條件應該是要有與時俱進的目標。“在未來相當長一個歷史時期，新技術(shù)、新應用、新場景不斷涌現(xiàn)。因為新且復雜，注定安全系統(tǒng)要不斷完善，所以需要為安全能力設定一個能夠因勢而動、因時而變、與日俱增的目標。”

實現(xiàn)目標必須有相對應的付出，這成為“經(jīng)營安全”的第二個條件，即持續(xù)全面的投入。“DT時代，網(wǎng)絡安全成了‘一失萬無’的事，這意味著必須對安全有足夠的資源投入才能確保‘萬無一失’。”實際上，在這方面國家已經(jīng)有了明確要求，工信部在《網(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃（征求意見稿）》中提出，到2023年重點行業(yè)網(wǎng)絡安全投入占信息化投入的比例要達到10%。

“經(jīng)營安全”的第三個前提條件是專業(yè)高效的安全運營服務。DT時代安全邊界消失，連接網(wǎng)絡的終端泛化，使攻防對抗變得異常復雜，單靠政企機構(gòu)自己單一的力量無法抵御這種復雜攻擊，這就需要借助專業(yè)的安全公司來運營。

動態(tài)掌控網(wǎng)絡安全，需要提升三種能力

今年3月，“十四五”規(guī)劃和2035年遠景目標綱要正式發(fā)布，“全面加強網(wǎng)絡安全保障體系和能力建設”被寫入文件，網(wǎng)絡安全進入到戰(zhàn)略總體布局、各方協(xié)同聯(lián)動、全方位實質(zhì)性落地推進的新時期。

齊向東認為，做好新時期的網(wǎng)絡安全工作，需要改變發(fā)展思維和發(fā)展模式，“經(jīng)營安全”應成為政企機構(gòu)的自覺行動。只有“經(jīng)營安全”，才能實現(xiàn)對網(wǎng)絡安全的動態(tài)掌控，而要實現(xiàn)動態(tài)掌控，必須進一步提升三種能力。

一是全面提升認知能力。態(tài)勢感知是建立認知能力的核心。目前，態(tài)勢感知主要分為三種：監(jiān)管機構(gòu)的監(jiān)管類態(tài)勢感知、企業(yè)內(nèi)網(wǎng)的運營類態(tài)勢感知、用于實戰(zhàn)演練的攻防類態(tài)勢感知。這三類感知各有所長，也各有不足。齊向東認為，只有將這三類態(tài)勢感知有機協(xié)同在一起，形成實戰(zhàn)化態(tài)勢感知，才能全面提升認知能力。為此，需要構(gòu)建統(tǒng)一的計算平臺、標準和運營系統(tǒng)，為提升認知能力提供有力支撐。

二是全面提升安全能力。以前，人們把安全市場分為產(chǎn)品市場和服務市場，產(chǎn)品和服務是兩回事。而在DT時代，產(chǎn)品和服務必須融合，要把產(chǎn)品變成一種能力，把能力變成一種資源，并用服務的方式使用資源。換句話說，就是要通過安全硬件產(chǎn)品的軟件化實現(xiàn)安全產(chǎn)品的能力化，通過數(shù)據(jù)采集、治理、存儲、分析、使用、API服務的標準化實現(xiàn)安全產(chǎn)品的資源化，在此基礎上，把安全能力以資源服務形式嵌入到需要的每個角落。

三是全面提升授信能力。在傳統(tǒng)認證體系里，授信相對粗放的，一個主體可以訪問多個客體，一個客體也可以允許多個主體訪問。這種方法有很多漏洞，被黑客廣泛利用進行攻擊。DT時代不再絕對信任任何一個主體，而是要給每個主體、每個客體附加很多屬性，以“權(quán)限最小化”原則進行授信，并且對授信持續(xù)進行動態(tài)評估。

“總結(jié)起來，DT時代的網(wǎng)絡安全是一件復雜的事，只有經(jīng)營安全，才能實現(xiàn)對網(wǎng)絡安全的動態(tài)掌控，而動態(tài)掌控力的提升有賴于三種能力：認知能力、安全能力和授信能力。只要我們攜起手來，共同經(jīng)營好網(wǎng)絡安全防線，就一定能迎來一個更富競爭力、萬物生長的數(shù)字中國。”齊向東說。