新基建浪潮下網絡安全建設的思考

□ 文 /祝曉春 浙江網新恒天軟件

2020年3月，中共中央政治局常務委員會召開會議提出，加快5G網絡、數據中心等新型基礎設施建設進度，意味著新基建進入了發展快車道。根據Strategy Analytics發布的最新研究報告《全球聯網和物聯網設備預測更新》指出，截至2018年底，全球聯網設備數量達220億臺，預測2030年聯網設備數量將達到500億臺規模。

時代的浪潮一方面為中國的經濟發展和技術應用提供了更扎實的基礎平臺；另一方面，也帶來一些新挑戰，尤其是網絡安全方面的挑戰。

根據世界經濟論壇《2020年全球風險報告》，2019年網絡犯罪涉案金額約為1.28萬億美元，2020年有迅速上升趨勢，僅勒索病毒的上半年同比增長規模就為26%。一些巨頭企業也遭遇巨大安全事件，如2020年6月甲骨文公司數據管理平臺BlueKai數十億條網絡數據記錄外泄；本田在48小時內遭受了慘烈的勒索病毒攻擊；美國主要移動運行商均遭到大規模DDos攻擊等。中國也面臨嚴峻的網絡安全威脅，2019年病毒感染計算機量躍居全球榜首，成為全球網絡攻擊重災區。

萬物互聯浪潮下，網絡安全的新挑戰

新基建的核心是數據和算力，極大地依賴計算機、網絡等資源。由于計算機的脆弱性，新基建環境下，各政府和企業的生產和運營安全保障將會面臨更大的挑戰。

基礎設施維護挑戰。新基建需要依賴物理設備和其他基礎設施，這些基礎環境和基礎軟硬件存在不可避免的故障和老化問題，因此維持基礎設施的穩定和安全成為一個必須面對的課題。以數據中心為例，即使以阿里云、華為云等的運維服務能力和投入，依然難免會有因為服務器故障、光纜電力事故等問題導致的區域性服務失效。

人為因素風險。人為因素，哪怕是無意偶然的失誤，也會帶來很大的隱患。人工智能、物聯網應用等深度依賴于嵌入其中的各類計算程序，而程序員總會犯錯；同時，全自動化生產實現以前，所有的系統依然離不開人為操作，操作人員也會犯錯。而在信息化和智能化環境下，單一錯誤帶來的影響往往是聯動的，因此帶來的傷害程度也很難預測。

網絡傳播風險。萬物互聯為人類提供便利的同時，也打破了傳統的物理安全邊界，安全區域已不復存在，任何一個網絡聯系渠道也意味著一條黑客攻擊渠道。隨著連通的設備和服務量級提升，事故帶來的影響力和破環力也越來越大。

此外，整個網絡世界中，聯網設備快速增加，意味著對安全風險識別和防護的代價也相應增加。安全防護本身的計算規模將會指數級增長，對資源要求也是一大挑戰。

數字化時代，網絡安全防護理念的探討

網絡安全已經成為無法回避的課題，各國在網絡安全上的重視程度幾乎都上升至國家戰略級別。事實上，網絡安全防護并不是一個新的概念，世紀初的殺毒軟件大戰已經給當時的計算機用戶一個非常好的教育。而今，大眾對網絡安全的認知也更加立體，但是業界依然缺乏對于數字化時代網絡安全系統性的理論指導。

基于行業技術水平和實踐經驗，網新安服團隊對于新時代的網絡安全趨勢和建設理念進行了一些思考（見圖1）。

工具防御階段

圖1 網絡安全防護三階段理論圖

我們認為早年的防護理念主要為工具防護，其典型的例子為殺毒軟件——發現具體的問題，去尋找解決該單點問題的防御方案，比如針對性的防御工具。這個理念對于防護主體來說決策簡單，且對于熱點的大概率突出問題有很好的應對。但是，工具防護無法處理復雜特定問題驅動單點工具防御人工判斷決策構建安全防御體系制度和規則明確工具和人協同分工數據化診斷和決策自動化防御執行持續演進和優化的網絡體系，當面臨立體式的攻擊時，這種被動的防御策略會演化成機械式的工具堆積，在防御效率和性價比方面存在嚴重的不足。

體系防御階段

當前，行業更接受和推崇體系防護理念，無論是現在流行的零信任體系，還是國內各大廠商推出的一體機以及綜合解決方案，都力求構建一套體系來有效地應對立體的安全問題。因為安全問題從來不是單一問題，也不是一個簡單的技術和工具問題，而是涉及到制度、流程、文化等多方面，需要融入到各企業生產和運營中。因此，標準化的安全解決方案是難以勝任某個特定的企業和組織的，而有效的安全防護需要滲透到組織日常的活動中。

體系防御的建設方法不一而足，一般來說有以下幾個步驟（見圖2）。

首先要明確防護對象：硬件設備、軟件系統、網絡訪問和行為、數據、虛擬人員都將成為潛在的防護對象，對防護對象進行確認和分類，是搭建體系的基礎。

其次要進行感知分析：評估對象的風險屬性、對于對象的組合進行情景評估、進而對于安全態勢進行預測，這一步是安全防護的前提。

而后再進行決策和執行：基于防護目標對象和狀態感知信息，根據企業和組織的防護目標，定義相應的決策和執行，包括事后安全審計、威脅預警、入侵行為的阻止和干預、入侵軌跡的跟蹤等。

安全團隊需要解決上述三方面的基本問題后，再面向目標開展支持組織的建立、基本制度的構建、防御技術的引入、工具平臺的搭建等一系列安全體系建設行動。

智能防御階段

智能防護的理念是基于體系和平臺獲取信息和數據源，通過大數據和人工智能技術，進行數據化診斷和決策、自動化防護執行，并且植入持續演進和優化的機制（見圖3）。

圖2 網絡安全防護體系搭建方法論示意圖

圖3 可信防御智能分析平臺

目前，各大廠商已經嘗試把智能手段引入到各個安全產品和解決方案中，例如用AI算法應對DDos攻擊、利用深度學習訓練的模型去判斷入侵行為、用高速執行引擎去驅動海量規則庫以識別可疑行為等。但以上仍屬于針對特定的單點場景或者現有產品的智能化提升，還遠達不到體系級別的智能化水平。

智能防護的成型是一個逐步的過程，大致會分成兩個階段：

一是數據化安全管理。即基于搭建的體系，打通和組織支撐的信息系統，對相關的數據進行匯集、清洗、分析，從而通過平臺數據進行數據化安全運營管理，大部分決策有數據支撐，但這個階段依然以人的決策為主，工具和算法為輔。

二是智能化安全防護。在數據化運營的基礎上，利用大數據和人工智能技術主導分析和決策，尤其是基于持續反饋的演進式決策機制，從而實現安全防護以工具和算法為主要手段，人為監管為輔。

智能防護的前提是體系搭建完善、支持系統完備、各單點的技術到位、綜合的算法能力和運算資源達到一定能力。

新基建趨勢下，網絡安全行業的機遇

新基建數字化時代，網絡安全市場迎來了顛覆性的變革機遇。網絡安全將成為各企業的“剛需”，也將成為企業最重要的競爭力之一。網絡安全行業將會是一個巨大的市場，即使是目前頭部的安全廠商也需要進行變革以適應日益發展的新形勢。

由于網絡安全行業專業化強、具備技術門檻、同時也是一個領域跨度很廣的行業，因此無法由少數幾個企業支撐所有的工作，必然需要構建一個生態，各個組織根據自身使命和特征各司其職。

首先，政府部門可以積極規劃網絡安全的生態布局，開展網絡安全意識和知識普及、倡導人人有責的網絡安全文化、引導網絡安全企業進行差異化和互補型發展。

其次，非安全行業的企業和組織，應認真思考本企業的網絡安全的目標，尋找符合自身特色的防護方案，切忌好高騖遠帶來不必要的浪費、也要避免輕敵思維不做任何規劃，利用各方力量構建起自身的安全防護能力，從而保障自身主營業務的可持續發展。

最后，作為主角的網絡安全行業中的企業和組織，需要根據自身的定位進行差異化發展，減少同質競爭的消耗，最終形成一個良性的生態，包括以下幾個方面：

一是關鍵基礎設施類企業和組織，即那些承載5G、人工智能、工業互聯網、物聯網等基礎設施搭建的大型組織和核心機構，應該致力于定義行業標準和安全規范，從而可以指導網絡安全行業的有序化發展；

二是高校和科研機構，致力于對于重點難點技術和理論的突破，從而為產業和行業發展提供理論基礎；

三是安全設備和產品型企業和組織，專注于對特定領域的安全產品和解決方案的研發，并構建自身的技術特色，成為體系化網絡安全體系中的可靠一環；

四是安全服務型企業和組織，專注于支持企業針對自身特征構建安全防護體系，在搭建中力求用好現有的理論和設備產品，并且提供持續可靠的安全運維服務。

尾聲

數字化時代已經到來，習近平總書記曾指出，網絡安全是共同的而不是孤立的，需要政府、企業、社會組織、廣大網民共同參與，建立政府和企業網絡安全信息共享機制。新基建給數字化建設帶來更好的基礎平臺，而網絡安全行業的志士同仁們有義務為新時代提供安全的發展環境。時代給我們提供了的巨大機遇，我們也需要在變革浪潮中發出強有力的聲音。