ISC 2020 杜躍進：無安全，不信創(chuàng)

進入2020年，在復工復產、“新基建”全面啟動的背景下，各地信創(chuàng)項目開始大面積鋪開，信創(chuàng)產業(yè)也隨之出現了一個現象級的風口，其必將迎來新的發(fā)展與挑戰(zhàn)。

恰逢其時，全球首場網絡安全萬人云峰會 ISC 2020 正式啟幕，打破了線上線下的空間桎梏，匯聚全球豪杰，全球頂級安全智囊、專家、學者共同探討“數字孿生時代下的新安全”解決之道，迸發(fā)出網絡安全領域新對話、新探討與新碰撞，為全球萬千參會者打造永不閉幕的升級交流體驗。

在ISC 2020信創(chuàng)安全論壇上，360首席安全官杜躍進從攻防角度，全局視角，縱觀信創(chuàng)產業(yè)發(fā)展全局，強調“無安全，不信創(chuàng)”，指出信創(chuàng)安全面臨的三大挑戰(zhàn)、五大問題的同時，提出要以攻防視角、整體思維、統(tǒng)一調度、開放運營、能力驅動的全新思路，構建可信的、安全的、可控的、可對抗的、可存活的信創(chuàng)安全體系。

信創(chuàng)產業(yè)全面啟航

信創(chuàng)安全面臨嚴峻挑戰(zhàn)

眾多數據顯示，“信創(chuàng)”這個風口，將是一個萬億級的市場，對于網絡安全產業(yè)來說，既是機遇，也是挑戰(zhàn)。

360首席安全官杜躍進指出，信息技術應用創(chuàng)新是必然之路，在軟件定義一切、萬物互聯、數據驅動業(yè)務的網絡世界里，信創(chuàng)的大規(guī)模應用將迅速擴大攻擊者可利用的攻擊面，信創(chuàng)安全面臨三方面嚴重挑戰(zhàn)：

自身弱。每一個軟件和系統(tǒng)都可能有漏洞，由于信創(chuàng)產業(yè)的廠商、產品和人員目前都沒有經歷過全世界網絡安全人員的挑戰(zhàn)，全面的信息技術應用創(chuàng)新，將導致信創(chuàng)系統(tǒng)處于相對脆弱的階段。

對手強。“人間熙熙皆為利來，人之攘攘皆為利往”?；ヂ摼W剛剛出來的時候，網絡攻擊者的動機以技術挑戰(zhàn)為主，沒有太多的利益考慮。但是，隨著網絡上開展的業(yè)務越來越多，網絡攻擊帶來的利益日趨“誘人”，網絡空間里的對手越來越強，單純的網絡攻擊逐漸演變成獲取非法利益的手段。隨著信創(chuàng)的發(fā)展，未來關鍵基礎實施、重要信息系統(tǒng)，業(yè)務都依賴軟件、網絡、數據作為基礎，攻擊者的攻擊能力越來越強，信創(chuàng)安全將會面臨更多且更強的對手。

動機多。未來，網絡安全還會面臨越來越復雜的動機。不僅僅是利益驅動，直接對金融機構進行攻擊獲利等，還會吸引更高級的網絡攻擊團伙、恐怖組織以及具有國家背景的攻擊團伙，他們都有可能對網絡空間不同的攻擊目標，使用不同的攻擊手法，達到個人或國家級別的目的。

與此同時，信創(chuàng)安全本身還面臨著：認知偏差、能力不足、積累不足、實戰(zhàn)不足四大問題。

認知偏差。要清醒的認識到自己的并不等于安全的，安全產品不等于安全能力。

能力不足。安全本質上是能力之間的對抗，在信創(chuàng)的安全能力領域里仍有安全測試與驗證、安全開發(fā)與設計、漏洞發(fā)現與管理、威脅發(fā)現于應對、安全大數據應用等方面能力的不足。

積累不足。能力都不是一蹴而就的，需要長期積累。目前在信創(chuàng)安全領域，攻防經驗、威脅情報、安全知識庫、安全大數據和安全專家各方面目前的積累不足。

實戰(zhàn)不足。首先是產品、用戶和業(yè)務都未曾經受全球考驗，其次是安全管理方面長期存在“捂蓋子”的現象。只有揭開“捂蓋子”的現象，通過發(fā)現問題不斷總結、不斷改進，才是應對安全挑戰(zhàn)的正確道路，信創(chuàng)才能安全發(fā)展。

基于此，杜躍進提出“無安全，不信創(chuàng)“，一味照搬過去的安全思維和方法，無法解決當下信息技術應用創(chuàng)新所面臨的安全問題，信創(chuàng)安全需要全新的思路。

機遇與挑戰(zhàn)并存

信創(chuàng)安全體系設計需要新思路

網絡安全和信息化是“一體之兩翼，驅動之雙輪”，安全作為信創(chuàng)發(fā)展的“基石”，需要同步規(guī)劃、同步建設。

杜躍進提出信創(chuàng)安全體系設計的五大指導思想：

其一，需以攻防視角進行體系設計，網絡安全的本質是攻防對抗，因此需要抓住本質，從攻防的視角進行安全設計、運營和檢驗。

其二，需要整體思維，鑒于主要對手能力遠超于我們，而我方基礎薄弱、積累不足，任何單獨的產品或者用戶部門，都不可能有效應對這類威脅。由于攻防的不對稱性，要充分利用來自各方的資源與力量，使其相互響應與配合，以實現有效防御。

其三，需要統(tǒng)一調度，為了確保安全體系設計落實到位，特別是保障在運行階段的攻防對抗能力，需要以統(tǒng)一調度的方式來運轉整個安全體系。。

其四，需要開放運營，信創(chuàng)體系的運行環(huán)境是開放的，攻擊者通常會選擇最弱，最有價值的目標進行攻擊。對于防御方來說，通過開放運營才能讓更好的安全能力接入，才能集中所有力量有效抵御威脅。

最后，需要能力驅動，安全防護的最終效果，由實戰(zhàn)的能力決定。合規(guī)作為基本要求，還需要以能力的提升、能力的檢驗為核心，多測多練。只有具備了對抗抵御威脅的能力，才能確保信創(chuàng)安全。

“在這樣的指導思想下，整個信創(chuàng)安全的目標可以分為五個層面。”杜躍進表示，第一層基礎目標是“可信的”，可信的基礎之上是”安全的”。由于漏洞永遠無法消除，系統(tǒng)總是可能會被入侵，第三層的目標是增強被入侵之后對攻擊事件的”可控性”。第四層是增強安全威脅溯源、取證、懾阻等”可對抗的”能力?；谝陨纤膫€層次的目標，第五層目標是增強核心業(yè)務“可存活的“能力，守住網絡安全最后的“底線“。

落地信創(chuàng)安全體系建設更加勢在必行。截止目前，各信創(chuàng)安全廠商已逐步推進了終端安全、安全性測試、漏洞管理、安全開發(fā)、安全挑戰(zhàn)、數字證書等方面的工作。未來還有更多的工作需要安全行業(yè)共同參與，互相配合，才有可能解決信創(chuàng)安全面臨的問題。

杜躍進呼吁希望更多的安全企業(yè)參與到信創(chuàng)安全的工作之中，以確保國家信息化建設目標的實現。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）