万里红张小亮:构建以人为本的全栈式数字安全新体系
日期:2022年05月24日 阅:11
访谈嘉宾:张小亮
研究员:沈 飙
分析师:林海静
记 者:张桂玲
从2016年的“数字制造”到2019年的“数字乡村”,再到2021年国家“十四五”规划中的“加快数字化发展”,数字经济已经成为重塑全球经济结构、改变全球竞争格局的关键力量。伴随数字化转型的深入推进,虚拟世界与现实世界的边界越来越模糊,安全已经从最初的计算机安全、网络安全,演化为数字安全。
数字安全将会带来哪些新挑战?企业该如何应对这些挑战?近日,安全牛邀请到万里红高级副总裁兼CTO张小亮博士,就数字安全相关话题展开深入讨论。张小亮认为,网络安全的本质是人与人的对抗。在数字安全时代,网络安全威胁的攻击面会不断扩大,新技术应用导致的风险也会不断出现。当我们面对更多不可控因素时,需要以人为本,通过管理手段和安全技术结合的方式,建立全栈式的安全框架,提供多维度的安全防护能力体系。
安全牛
随着企业组织数字化建设的深入,一个全面数字化的时代已经来临。从网络安全的角度,您认为企业在数字时代所面临的机遇和挑战是什么?
张小亮
从利好和机遇来看,国家制定了《“十四五”数字经济发展规划》,发展数字经济已上升至国家战略,产业数字化、数字产业化、数据价值化以及数字化治理产业规模快速扩大。数字经济作为一种新兴经济形态,涉及行业非常广泛,包括新型数字化基础设施、数字化新应用与新业态,以及与数字化相关的数字安全。数字安全是促进数字经济发展的关键要素,涵盖网络安全和数据安全等多个安全方向,贯穿数字经济发展的各个方面。
从挑战来看,随着数字化浪潮渗透加速,网络空间安全与物理实体安全之间的连接日益密切,安全威胁从虚拟网络空间向现实物理世界蔓延扩散,渗透到生活各个方面,甚至严重危害到个人安全、企业安全乃至国家安全,数字世界面临着前所未有的安全挑战。主要包含以下几方面:
第一,数字基础设施面临的安全挑战。数字基础设施作为数字经济发展的底座和基石,是推进数字经济发展行稳致远的基础。随着云计算、大数据、物联网、人工智能等新一代信息技术飞速发展,我国数字基础设施建设不断完善,极大促进了国家数字化转型、网络化重构、与“AI+”产业升级,但同时也面临更加复杂的安全挑战。随着数字基础设施建设的深入推进,新型网络架构导致网络边界日趋开放和复杂,传统安全防护手段面临功效降低甚至失效;同时,海量多样化设备接入网络也会导致网络安全威胁的攻击面逐渐扩大。
第二,应用数字技术引入的安全风险。随着数字经济的发展,云计算、大数据、人工智能等数字技术全面融入各个领域,导致数据泄露和数据滥用风险大幅增加,这些都对数字安全提出严峻挑战。除了数字技术本身可能存在的安全风险以外,数字技术广泛赋能的过程中也可能带来一些安全风险。例如,智能算法推荐造成的“信息茧房”效应,人工智能技术带来伦理安全风险等问题。
第三,数据安全与隐私保护风险。数据是数字经济最关键的生产要素,数据的价值在于流动,只有融合、流动、共享、加工处理、开发利用才能创造更大价值。在海量数据流通同时,会带来数据安全和隐私保护方面的风险,甚至危害到社会安全和国家安全。我国已经出台《网络安全法》、《数据安全法》、《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》、《关键信息基础设施安全保护条例》等法律法规,为降低数据安全与隐私保护风险提供法治保障。
安全牛
数字基础设施越来越多,新技术不断涌现,必然会带来新的安全挑战。面对这些挑战,企业该如何去应对呢?
张小亮
首先,从管理角度来说,数字安全管理在数字安全方面发挥重要作用,在引进先进技术的同时,也要建立高效的安全运营管理策略,构建并完善组织机构和流程,提高相关人员技术、管理和运营能力,从数字安全技术、数字安全管理、数字安全运营支撑、数字安全监管等四个层次构建设备、数据和人员等多要素协同的数字安全保障体系。有句话说得好,叫“三分技术、七分管理”,管住人才是更重要的,因为人是不可控的,需要通过建立规范制度加强管理。
具体的安全管理,企业可以从以下方面去应对:一是整体信息化和安全保密业务应该同步规划、同步建设;二是要建立高效的运营管理体系,建立相应的组织和流程。国家等保、分保安全体系对管理制度、人员职责、技术防护都有非常详细的规定,运营一个高等级网络都必须有完善的组织,流程和制度的支持。三是提升人员的技术、管理和运维能力。我们需要从数字安全技术、管理、运营和监管等多层次构建一个综合防护保障体系。
安全牛
在数字化时代,随着新兴技术不断被攻击者所利用,安全管理的价值会不会没有以前那么高?例如,当攻方的技术水平超出防护方,管理再好,技术不如人,照样防不住。您如何看待这一现象?
张小亮
这就是所谓的“道高一尺,魔高一丈”。从安全本身来讲,管理和技术都应该跟上,不可否认技术的作用。从技术角度来说,需要升级安全体系,构建全栈式数字安全框架,提供多维度的安全防护。
针对多维度防护,可能大家的理解也不一样,我们认为应该有五个维度:
一维是数字基础设施的物理安全,包括供电、消防、电磁防护、异地备份等一系列安全保障措施。
二维是传统的网络安全,包括终端安全和边界安全。
三维是数据安全,以“数据”为中心的全生命周期安全,在数字基础设施安全防护基础之上,实现从数据采集、传输、存储、使用、共享、销毁等数据全生命周期安全。
四维是安全态势感知能力和统一安全运营保障体系,在数据大量汇集的情况下,基于大数据分析技术,通过收集多元、异构的海量日志,综合利用威胁情报、关联分析、机器学习等技术,可视化展示整体安全态势,对于监控到的异常或安全事件进行自动化处置。
五维是数据溯源,也就是在安全态势感知和统一运营的基础上,辅助网络攻击追溯和数据溯源技术,进一步提升安全事件的溯源处置能力。
安全牛
您刚才提到说管理和技术都要考虑。那么据您了解,现在安全厂商提供的解决方案中,管理和技术是一体化的,还是分开的?
张小亮
目前看到这两种形式都存在,主要与网络安全公司的战略布局和产品定位有关。对于万里红公司而言,我们瞄准的就是数字安全和保密领域,定位是技术赋能者和综合服务商。因此我们不是单纯的产品提供商,应该说是综合解决方案的提供商,具备为用户提供技术赋能和综合服务的能力。
在项目交付过程中,我们会跟用户一起梳理物理资产体系、数据资产体系、权限管理体系和配套的管理制度,同时给用户做相应的辅导和培训。后期根据不同用户的需求,还会匹配专业的运维人员为用户提供完善的本地化技术支持,做到7*24H的运维保障。
因此万里红不仅为用户提供信息安全保密、大数据与智慧政务、信创工程、生物特征识别等领域的创新技术产品,更是为各个行业用户提供整体的应用解决方案及“1+N”的全流程定制化服务。
安全牛
从数字安全这个角度来看,这是否意味着安全厂商不能只给用户卖产品,还应该有完善的服务能力来配套支撑?
张小亮
对,安全服务化是行业发展趋势。对于用户来讲,需要同时提升人员的技术能力和管理能力。安全是一个对技术要求非常专业的行业,在整个信息化技术范畴,安全也是一个相对复杂、知识要求门槛很高的领域。针对应用系统,用户只要会操作就可以,针对安全领域,用户需要对整个的安全风险、安全事件、安全攻击、安全溯源与处置有一个深入的理解,实际上既需要构建专家系统,又要有专业运营人员。
在数字化时代,企业用户的信息化建设水平正不断提高,并逐渐通过购买产品附带购买综合服务,让专业的人去做专业的事情。但在这个过程中,大量的安全厂商虽可以为用户提供各种安全服务,也可能因管控不当出现各种泄密事件。在这种情况下,管理反倒更加重要,对服务商的访问权限控制、访问数据脱敏及操作行为审计等方面提出更高的管控要求。
安全牛
实现成功的数字化转型对很多企业来说都是有挑战的,因为既要保障业务更高效,又要保证数字化后的数据资产安全,这其实还挺难实现的。在您看来,应该如何平衡数据安全管控与业务高效开展的关系?
张小亮
数据安全实施的关键因素是对数据资产的梳理。摸清数据家底,按照数据重要程度进行分类分级,按照数据分类分级选定匹配的保护措施。绝对的数据安全是不现实的,需要兼顾数据安全与业务应用之间的平衡。现实中安全技术发展往往滞后于信息技术的总体发展步伐。安全与应用之间应该是相互促进的关系,安全保障应用,应用促进安全技术革新。针对两者的关系,其实《数据安全法》给出了答案,就是“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。
安全牛评
近年来,随着大数据、云计算、物联网、人工智能、5G通信等技术的飞速发展,诞生了“数字经济”这一新型的经济形态,数字经济的本质在于信息化。而想要保证数字经济的良好运转,则离不开“数字安全”。
对于攻击者来说,永远在技术的更新中,而对于防护者来说,木桶的每一块木板都不能忽略,以往“修修补补”,哪里出问题堵哪里的方式已经跟不上实际的安全防护需求,需要从管理、技术、安全运营等多个维度建立以人为本的全栈式数字安全新体系,在工作中不断改进,持续建立健全综合的数字安全能力。