飞象网讯(易欢)勒索病毒攻击、新型网络诈骗、信息泄露、违法犯罪活动、高级别攻击力量入场、针对关键信息基础设施的攻击和破坏……在数字经济强劲崛起的过程中,网络安全的威胁也在日益增加。“这就要求必须营造开放、健康、安全的数字生态,构建起新的自上而下一体化的网络安全保障框架。”中国科学技术协会名誉主席,中国科学院院士韩启德在ISC 2021会上如是讲到。
ISC名誉主席,中国工程院院士,中国互联网协会咨询委员会主任邬贺铨在大会也表示,随着新一代信息基础设施更广泛和深入服务于社会经济,网络安全是涉及业务、管理、流程、团队等各方面的系统工程,带来的安全问题更为严峻,因此亟需采用新的战略思路来全面增强网络安全的防护能力。
数字化催生网络安全面临拐点
“不能再把网络安全当作信息化的附庸,依靠堆砌碎片化产品试图解决不断变化的安全问题,而是应该直面安全挑战,以‘作战、对抗、攻防思维’为指导,体系化建设安全能力。”周鸿祎在ISC 2021开幕式中提到。
去年到今年上半年,全球范围内网络安全重大事件频发,供应链攻击、勒索攻击、工控设备攻击、APT攻击、数据窃取等各种攻击手段层出不穷,网络攻击也成为大国间对抗的热点话题。“未来,国家背景的网军、APT组织、有组织网络犯罪将成为网络安全最大的威胁,网络攻击的目标、手法,产生的破坏都突破常规,威胁不断升级走向高端化。”
这是由于网络安全威胁将超越传统的安全威胁,成为数字化时代的最大威胁。周鸿祎表示,数字化有三个特征:一切皆可编程、万物均要互联、大数据驱动业务,本质是软件定义世界,城市、汽车、网络都将由软件定义。这也意味着数字化让整个网络安全环境更加脆弱。
“未来整个城市所有的运转,所有数字化的场景里边,大数据是核心,这种情况下数据安全变得非常重要,数据本身被损毁、数据被污染、数据被丢失和被盗窃、数据的泄露都会带来比网络攻击更严重的问题。因此,网络安全需要一套新战法和新框架。”周鸿祎表示。
与此同时,周鸿祎指出:“有产品和有能力不能划等号,如何能够帮助用户建立起能力体系,建立起体系化作战,这是今天网络安全面临的行业拐点。”
全网联防联动突破网络安全困境
针对目前的网络安全环境,邬贺铨指出,依靠单个企业的防御能力已不足以应对,需要在关联企业间形成威胁网络安全的情报共享,制定威胁情报共享的标准。也就是说,当下,单打独斗已经难保一方净土了,需要通过互通消息、共享信息,形成像防新冠病毒一样联防联控的协同联动战法。
周鸿祎非常赞同这一观点,并表示,全网的大数据情报分析,将实现纵深防御、协同联防。据他介绍,360历时16年,累积投入超过200亿,形成了一套新的战法和新一代安全能力框架。360将自身能力基础设施化,形成云端基础设施体系,同时把安全大数据和各种安全能力云化,将运营能力XaaS化输出,像提供水电气一样面向党政军企用户提供安全基础服务,实现360云端安全大脑和云端基础设施高效对外赋能。
具体而言,新一代安全能力框架包括四个部分:一是区域/行业/企业总部的安全大脑,二是安全基础设施体系,三是安全专家运营应急体系,四是安全基础服务赋能体系。这套框架能帮助客户建立一套能力完备、可运营、可成长、可输出的安全体系。
在周鸿祎看来,安全能力框架能够整合各种生态产品,扩展支撑各行各业的各种数字化场景,例如工业互联网、车联网、能源互联网、智慧城市等等,形成面向场景的安全解决方案。目前这套新框架已经在很多地方、很多企业落地。
在网络安全行业形成联防联控的核心之外,各行业产业数据的规范使用和安全保护是安全生态的基础。邬贺铨呼吁,“触网”企业在发展中一定要加强国家数据安全、网民利益隐私保护的意识;同时坚持产业创新和治理,提高网络安全新创产品的质量,推动其从可用到好用;以创新形成“技术栅栏”,以政策法规保驾护航,以新创网络安全产品带动关键领域和各行业产业参与到网络安全的新战法、新框架中去。
对于网络安全,中国互联网协会理事长尚冰也提到了四点建议,一是要服务网络安全国家战略,构建网络安全良性生态;二是要加强产业协作与跨行业融合,推动新技术架构落地;三是要科学构建标准化体系,增强标准体系建设能力;四是要强化网络安全人才战略,加快网络安全学科建设。
要完成守护数字经济的新使命,保护国家、行业、城市、企事业网络安全,离不开整个网络安全行业的共同努力。“从数字化转型项目实践来看,保卫数字化转型是一个复杂的系统工程。因此,360愿意开放自身全网安全能力、实战方法论、新一代安全能力框架给众多合作伙伴的同时,也期望和所有行业伙伴携手,凝聚广泛的力量和资源打造全新生态,共同完成守护数字经济的新使命。”360集团首席运营官、360政企安全集团首席执行官叶健讲到。