洞见｜吴云坤：“双轮”驱动下安全产业变革亟需的三大思维转变

对于一个在网络安全行业摸爬滚打了18年的老兵，ISC互联网安全大会是一个非常好的平台，有机会跟很多国外战略、学术和技术专家，国内行业内的同仁和各行业的一线实战专家有更多深入的交流和探讨，既可以从战略层面拓展产业观察视野，更可以在战术层面对产业探索和实践进行启迪和思考。

从2013年开始我已经连续6年参加ISC互联网大会，每一年都会有不同的感受和收获，借助2018ISC之际，结合多年的网络安全产业实践，分享一下个人对于产业发展的一些思考。
“双轮”驱动下的产业变革
在今天数字化转型的时代背景下，以云计算、大数据、物联网和人工智能为代表的新一代信息革命带来了新一轮的信息化建设浪潮，以大数据驱动的“智能”推动着经济社会和基础设施转型升级的同时，也改变了政府、行业、机构和企业的信息化和业务环境，带来了新的安全威胁和安全需求。

数据开放带来的数据安全威胁、云计算带来的业务集中后的业务安全风险，物联网扩大的攻击面，都将对机构和企业的正常运行甚至社会稳定、国家安全带来更加直接的影响和威胁，机构和企业数字化转型中对安全的“内生”需求将成为驱动安全产业变革的“一轮”。

而从另一方面看，今天攻击者的国家化、组织化、集团化的倾向越来越明显，攻击组织的严密和攻击手法的多样化、体系化，使得安全防御的难度越来越高，这种攻防双方在资源、能力和投入上的明显不对称成为驱动安全产业变革的“另一轮”。

无论是内生安全需求还是攻防对抗的不对称，都需要安全产业通过自我变革来满足新时代的安全需求。

图 吴云坤在ISC大会的演讲

产业变革亟需的三大思维转变
总书记在今年4月的全国网络安全和信息化工作会议上提出，要积极发展网络安全产业，做到关口前移，防患于未然。因此，安全产业应当在思维上推动变革，从安全思想、能力建设到生态体系的全面思维转变和革新。
一、关口前移，安全思想从“查缺补漏”到“系统规划”转变
如何做到关口前移？

首先应该是借助信息化和业务系统改造的契机，走向同步规划、同步建设安全系统的模式，从零开始加入到信息化的规划当中，将安全嵌入到信息化和业务系统中，从信息化角度做安全，真正让安全成为“内生”。

在信息化的早期，安全没有在其中做好自己的规划，安全规划跟信息化脱节，造成信息化的“房子”做好之后，安全不断地做查缺补漏的创可贴工作，很多重要的内生安全没有得到解决，因此在面对类似于“永恒之蓝”这样的威胁面前频频失手，造成大面积影响和巨大损失。

而新一轮的信息化大潮中，不仅是大数据为核心的应用和数据的变化，网络、云计算等基础设施都发生了变化，“创可贴”已经无法真正有效保护信息系统的安全，“安全嵌入”需求更加迫切，安全企业需要跟集成商、研究院、设计院在一起，在信息化和信息化改造的初期把安全规划做进去，基于动态综合防御体系进行规划，实现信息化和安全同步规划、同步建设和同步运营。

360企业安全集团最近两年承担了多个国家部委、重要行业和大型企业的信息化系统改造中的安全规划，从我们的经历看，只要是安全规划从信息化初始阶段就进入的，安全预算占比基本都会明显提高，有一些项目中的安全预算占比甚至达到了10%这样的欧美发达国家的水平。

图 吴云坤在ISC大会的演讲

二、关口前移，从被动威胁应对和标准合规导向，走向以能力导向构建安全防御体系
美国国防部2001年《四年防务评估报告》（U.S. Department of Defense 2001）中有这样一段话：“随着冷战结束，国际形势日益复杂化，已经很难清晰地识别出所有的敌对威胁行为体，因此需要从基于威胁的规划模式转为基于能力的规划模式，更聚焦于敌对方可能采用的进攻方式，识别出为了达到威慑和击败敌人所需要的军事能力，同时关注随着科技发展而出现的潜在能力领域，并据此通过分析过程形成指导性的军事需求。”

当时冷战结束以后美国面临着全新的国际形势和攻防形势，不知道对方有什么样的手段、方式，同时还存在着采取高科技的新领域构建的军事需求，恰如我们今天面临的网络安全形势，所以借鉴这种模式来推动我们今天的防控思想转变，非常恰当。

过去查漏补缺式的安全建设，在遇到网络中严重问题之前，我们不知道用什么手法去做，只能是在问题暴露之后被动地加以应对。360和安天等能力型安全厂商基于多年实践认知，对SANS（美国网络安全研究所）的滑动标尺模型形成了共识，按照这个面向规划与建设的模型来组织安全能力，进而从能力的角度构建防御体系。

第一阶段的基础架构安全中把内设安全放进去，利用信息化系统自身的能力，缩小攻击面，在信息化的早期就可以做到；

在第二阶段的被动防御，是在信息化的基础设施之上附着，通过设备、软件、配置策略等进一步缩小攻击面，消耗进攻者的资源，这两阶段偏静态的防御能力体系，有大量的噪声攻击可能会被过掉，为之后的积极防御做更多可以辨识的工作，降低积极防御的工作量。这两个阶段能够共同实现偏静态的综合防御能力。

第三阶段是积极防御，更多采用监测、识别、溯源、猎杀，还有可能通过指挥调度来做应急处置；第四阶段的情报体系，对于积极防御有非常大的作用，这两个阶段是偏动态的防御能力体系；而第五阶段的进攻反制更多是国家安全防御体系的一部分。这三个阶段能够形成协同的动态防御能力。

辩证地看待阶段之间相辅相成的叠加演进关系，静态防御体系可以更好地帮助动态防御体系缩小攻击面，甚至缩小需要识别的流量、行为等，而动态防御体系可以帮助整个静态防御体系来发现更多的静态防御中的漏洞、隐患，攻击面暴露等情况。如此构建的能力体系，将不再是针对一种或几种具体威胁，而是通过不断完整的体系来对抗过去、现在乃至未来的多样化威胁。

当然，这样的能力体系建成后自然能满足合规要求，而且我们认为合规体系有助于强化和验证能力建设，但是我们也认为仅仅面向检查的“合规点建设”既达不到关口前移要求也无法面对当前复杂威胁形势。

实践中我们发现，在基于滑动标尺模型建立的能力体系中，人的作用特别重要，其中进攻反制的人才很重要，但这类人员需求量相对较少，培养成本高；需求量更大的是安全运维和处置人员，这部分人才培养成本低，但缺口很大，大约在70万~100万之间，目前学校培养体系无法满足需求，需要建立一条从学校、到实训基地、到安全厂商和客户的人才培养链条，360企业安全的绵阳人才基地正在做这方面的探索。

总结来说，关口前移很重要的是从被动的威胁应对和标准合规，走向更加主动的同步规划与同步建设模式，把握主动权，构建能力导向的综合体系，通过基础架构安全与纵深防御形成防御者优势主场，以威胁情报驱动的大数据态势感知来及时、精确地指挥积极防御响应行动，通过组建动态协同防线以及多专业的人才队伍对抗多样化的安全威胁。
三、关口前移的能力体系建设，需要一个生态体系协同多家厂商的多样化能力
马卡洛夫曾经是黑海造船厂总工程师，在其任期内完成了“库兹涅佐夫”号航母的建造，他关于航母建造有一段经典对话：完成瓦良格航母“需要一个伟大国家”，需要苏联、党中央、国家计划委员会、军事工业委员会和九个国防工业部、600个相关专业、8000家配套厂家的一个完整体系。苏联解体后，乌克兰因没有这样一个庞大体系的支撑，丧失了航母建造能力。

这个案例对于今天的网络安全有很好的借鉴意义，要构建一个完整的安全能力体系，比如数据安全，从服务管理平台、防护工具和平台安全角度，涉及的能力非常多，这么多能力协同起来才能形成一个基于大数据生命周期的防护体系，这需要多家厂商的各种多样化能力，绝对不是靠一个爆款产品，甚至一家独立的优秀厂商就能完成的。

所以从安全产业发展角度，迫切需要大量能力环环相扣的企业组成的生态系统，需要大量具有实战化能力的大中小型企业，而绝不能仅仅指望一两家局限或者专精于片面领域的优秀企业解决网络空间安全防御问题。

作为一个安全产业从业者，我呼吁产业中的骨干企业应当肩负起历史责任，积极培育面向综合能力的生态圈，促进大量专精某种能力的中小企业快速发展，同时根据科学合理的顶层设计来加强能力整合，通过规划与总集成等方式向企业输出实战化的解决方案，这将是网络安全产业生态建设之路，也是网络安全发展之道。

来源  360企业安全