都说网络安全很重要 究竟怎么做才是“平安”之道
- 来源:亿欧 作者:唐钰婷
- 2019/8/2 8:45:5437204
【安防展览网 企业关注】网络安全的重要性不言而喻,但要如何落实好网络安全保障,却没有一个标准答案,也没有一个衡量的标准。
“网络安全现在普遍的囧境是说起来重要,做起来次要,忙起来不要,一旦问起责来就逃之夭夭。”李洋打趣地说道。
李洋,硕士毕业于国防科大、博士毕业于中科院,从2001年就开始研究安全相关课题。现任平安集团信息安全运营官,平安金融安全研究院执行院长。他是业界的网络安全与信息化专家,专家头衔包括大数据协同安全技术国家工程实验室-金融行业安全研究中心执行主任、行业*专家、中国网络空间安全人才教育联盟常务理事……
在2017年来到平安以前,李洋先后在运营商、金融、制造业、互联网等行业工作出任CIO和CSO等高管要职,负责企业信息化以及安全的相关工作。
在近20年的网络安全与信息化工作中,李洋总结出了保障网络安全的两个关键词——“业务”“科技”。
△李洋
安全就像下棋,是一场博弈
“安全应该是面向业务的安全。”李洋说。网络安全是一项“伴生技术”,无法独立存在,必须要有具体业务诉求,才能有用武之地。
但具体要如何才能满足行业业务的需求呢?李洋给出的答案是:“重运营。”
以金融行业为例,普遍的保障安全的方法,就是做到合法合规,另外企业还会购买相关安全设备。这样的方式确实能在一定程度上保障安全,起到“打预防针”的作用,但却十分机械,而且更多地只能在事后的响应处理上发挥作用。
“安全,强调的应该是对抗性,就像下棋一样,它是一个博弈,要根据对手的落子,来制定战术。”李洋说,虽然“打预防针”能解决一部分的问题,但更重要的,是需要把安全的事前预防、事中对抗和事后相响应处理有机结合、联动,要实现这一目标,就需要做好安全运营。
实际上,“安全运营”的概念并非李洋*,李洋告诉亿欧,这个概念由CNCERT提出,“我是在慢慢将国家安全的概念,在企业里面深化。”
李洋来到平安后,成立了三个部门:集团信息安全运营部、专家服务部和平安金融安全研究院。其中,信息安全运营部就是承担运营的工作。安全运营部将平安集团所有业务单元都接入到了应急响应体系中,未来还将通过可视化大屏,实时反应各业务单元的安全状况,其作用就像军队的作战指挥中心一样。
安全要强调与业务之间的联动,安全运营部解决了“联动”的问题,但却无法解决不同业务“个性化”的需求。平安集团旗下业务众多,不仅有金融保险,还有汽车、房产、智慧城市等,不同的业务对安全的要求不同,解决方式也有差异,李洋牵头创立的第二个部门——专家服务部就发挥了作用。
“运营部提供的是共享服务,有点像网络服务器,专家服务部是做量体裁衣的工作。”李洋说,安全运营和专家服务相结合,才称得上是一套完整的服务。
如果说安全运营和专家服务是为平安集团的安全“赋能”,而“要’赋能’,首先还得’蓄能’”,平安金融安全研究院就是一个“蓄能池”。
李洋说,平安再大也只是一个企业节点,只是在整个社会生态产业链条上的其中一环,如果要更好地把保障安全的能力聚集起来,就需要多方参与,“所以我们适时提出了’政产学研金介用’结合的概念。”
“政产学研”并不难理解,但什么是“金、介、用”?李洋介绍道,“金”是指金融行业,也是平安的主业;“介”是中介、协会,通过这些第三方机构,不仅能够进一步拓宽交流圈子,也能更好地吸纳人才;“用”是指用户,用户分集团内的用户和集团外的用户,内部的用户就是各个子公司,外部用户是C端用户,比如手机银行的用户,“安全要让大家有感知,才能增加用户的信任感,以及对我们的粘合度。”李洋说。
科技、安全、生态,驱动业务发展
2017年,卡巴斯基实验室和B2B International调查报告指出,有40%的企业存在员工隐藏IT安全事故的情况,每年有46%的IT安全事故是由企业员工造成的。既然是不少安全事故都是人为造成的,那是否意味着,网络安全的保障,关键还是在制定规则,更好地约束人的行为?
李洋认为,规范人的行为的确很重要,但无论规则如何完备,但人总有粗心大意的时候。此外,现在人工智能等技术正在渗透各行各业,而AI基础框架和算法本身也存在漏洞和缺陷,这也为安全带来新的挑战。
技术带来的问题,还需要用技术来解决,因此安全的保障,也离不开科技的手段。“从我这么多年从事信息化和网络安全的从业经验来说,其实就是突出六个字——科技、安全、生态。”李洋说。真正的科技和安全应该是通过生态更好地驱动业务发展,让企业、社会、老百姓切实感受和体验到科技、安全、生态带来的益处。
李洋认为,科技和网络安全发展到现阶段,要做到“系统防入侵、数据防泄漏、业务防风险”,就需要搭建一个完善的、能够面向业务的安全保障系统。这个系统不仅能让安全变得可视化、可评估,还能通过分析数据,给出相应的预测和方案。
据了解,平安现在正在打造的“智能安全运营中心”就具备这样的态势感知功能。今年,平安金融安全研究院联合大数据协同安全技术国家工程实验室、中国信通院,发布《网络安全态势感知技术及应用发展蓝皮书》(下称蓝皮书),通过收集、整理范围内的网络空间态势感知发展情况,展示了态势感知技术及发展的全貌。
根据蓝皮书,网络安全态势感知是综合分析网络安全要素,评估网络安全状况,预测其发展趋势,并以可视化的方式展现给用户,并给出相应的报表和应对措施。具体而言,态势感知平台对风险预测的结果,可以为传统安全设备提供防御指导,为其提供风险预警,提前规划和制订安全措施应对即将到来的攻击威胁;并且能够与威胁情报平台进行融合,从而提升风险研判的准确性;此外还打造了一个统一支撑安全运营的平台,改变以往多套平台、多套系统林立的局面,提升运营效率。
网络安全,企业究竟该如何做?
虽然科技对安全建设很重要,但李洋承认,现在安全平台的建设还不能跟上技术发展的脚步。
一方面,现在的不少攻防工具还是基于“黑客”或“白帽”的经验打造的,难以标准化,不能标准化就难以大规模复制,批量化生产。
另一方面,安全有很强的时效性,对技术的要求也很高。李洋举例说道,就好比一场足球赛,守门员就是守卫安全的角色,球员在90分钟内能不断发起进攻,但守门员是否能挡住球,就在一瞬间,如果无法马上响应,就会出现安全事故。
“数据中心可以慢慢建,但攻击来了不可能慢慢去处理,这种不确定性和对应对时效的高要求,是目前科技不能在安全很好地落地的一大原因。”李洋说。
但不可否认的是,未来安全一定需要科技的手段去守护,而且在万物互联的时代,任意一个小节点出了问题,都会对整个系统造成影响,只有用科技的手段,才能更有效地保障安全。
而“保障网络安全”常常是说起来容易,企业要做起来却常常不知如何是好,李洋的建议是,要重视基础建设。一方面,在开发系统和应用的一开始,就要开始考虑安全因素,“要把安全做全流程植入,不能后再来’补课’,这样不仅需要付出更高的代价,而且效果也不好。”另一方面,要考虑各环节的安全需要,以物联网为例,既要考虑到感知层硬件设备的安全性,也要考虑到边缘计算平台、云端的安全。
科技虽然重要,但李洋告诉亿欧,在他过去近20年从事网信工作的经历中,很多问题的答案不是在技术里面找到的,李洋日常不仅会看网络安全相关的书籍,还会看云计算、金融,甚至人文方面的书。
“安全需要综合学科的人才,不仅要懂IT,要懂具体的业务,还要有网络安全的攻防意识。”李洋说,只有具备了这样综合的能力,才能对“安全”有更深层的理解。