360数字安全集团-数字安全的领导者

ISC 2020 杜跃进：无安全，不信创

2020-08-15

进入2020年，在复工复产、“新基建”全面启动的背景下，各地信创项目开始大面积铺开，信创产业也随之出现了一个现象级的风口，其必将迎来新的发展与挑战。

恰逢其时，全球首场网络安全万人云峰会 ISC 2020 正式启幕，打破了线上线下的空间桎梏，汇聚全球豪杰，全球顶级安全智囊、专家、学者共同探讨“数字孪生时代下的新安全”解决之道，迸发出网络安全领域新对话、新探讨与新碰撞，为全球万千参会者打造永不闭幕的升级交流体验。

undefined

在ISC 2020信创安全论坛上，360首席安全官杜跃进从攻防角度，全局视角，纵观信创产业发展全局，强调“无安全，不信创”，指出信创安全面临的三大挑战、五大问题的同时，提出要以攻防视角、整体思维、统一调度、开放运营、能力驱动的全新思路，构建可信的、安全的、可控的、可对抗的、可存活的信创安全体系。

信创产业全面启航

信创安全面临严峻挑战

众多数据显示，“信创”这个风口，将是一个万亿级的市场，对于网络安全产业来说，既是机遇，也是挑战。

360首席安全官杜跃进指出，信息技术应用创新是必然之路，在软件定义一切、万物互联、数据驱动业务的网络世界里，信创的大规模应用将迅速扩大攻击者可利用的攻击面，信创安全面临三方面严重挑战：

自身弱。每一个软件和系统都可能有漏洞，由于信创产业的厂商、产品和人员目前都没有经历过全世界网络安全人员的挑战，全面的信息技术应用创新，将导致信创系统处于相对脆弱的阶段。
对手强。“人间熙熙皆为利来，人之攘攘皆为利往”。互联网刚刚出来的时候，网络攻击者的动机以技术挑战为主，没有太多的利益考虑。但是，随着网络上开展的业务越来越多，网络攻击带来的利益日趋“诱人”，网络空间里的对手越来越强，单纯的网络攻击逐渐演变成获取非法利益的手段。随着信创的发展，未来关键基础设施、重要信息系统，业务都依赖软件、网络、数据作为基础，攻击者的攻击能力越来越强，信创安全将会面临更多且更强的对手。
动机多。未来，网络安全还会面临越来越复杂的动机。不仅仅是利益驱动，直接对金融机构进行攻击获利等，还会吸引更高级的网络攻击团伙、恐怖组织以及具有国家背景的攻击团伙，他们都有可能对网络空间不同的攻击目标，使用不同的攻击手法，达到个人或国家级别的目的。

与此同时，信创安全本身还面临着：认知偏差、能力不足、积累不足、实战不足四大问题。

认知偏差。要清醒的认识到创新的并不等于安全的，安全产品不等于安全能力。
能力不足。安全本质上是能力之间的对抗，在信创的安全能力领域里仍有安全测试与验证、安全开发与设计、漏洞发现与管理、威胁发现于应对、安全大数据应用等方面能力的不足。
积累不足。能力都不是一蹴而就的，需要长期积累。目前在信创安全领域，攻防经验、威胁情报、安全知识库、安全大数据和安全专家各方面目前的积累不足。
实战不足。首先是产品、用户和业务都未曾经受全球考验，其次是安全管理方面长期存在“捂盖子”的现象。只有揭开“捂盖子”的现象，通过发现问题不断总结、不断改进，才是应对安全挑战的正确道路，信创才能安全发展。

基于此，杜跃进提出“无安全，不信创“，一味照搬过去的安全思维和方法，无法解决当下信息技术应用创新所面临的安全问题，信创安全需要全新的思路。

机遇与挑战并存

信创安全体系设计需要新思路

网络安全和信息化是“一体之两翼，驱动之双轮”，安全作为信创发展的“基石”，需要同步规划、同步建设。

杜跃进提出信创安全体系设计的五大指导思想：

其一，需以攻防视角进行体系设计，网络安全的本质是攻防对抗，因此需要抓住本质，从攻防的视角进行安全设计、运营和检验。
其二，需要整体思维，鉴于主要对手能力远超于我们，而我方基础薄弱、积累不足，任何单独的产品或者用户部门，都不可能有效应对这类威胁。由于攻防的不对称性，要充分利用来自各方的资源与力量，使其相互响应与配合，以实现有效防御。
其三，需要统一调度，为了确保安全体系设计落实到位，特别是保障在运行阶段的攻防对抗能力，需要以统一调度的方式来运转整个安全体系。。
其四，需要开放运营，信创体系的运行环境是开放的，攻击者通常会选择最弱，最有价值的目标进行攻击。对于防御方来说，通过开放运营才能让更好的安全能力接入，才能集中所有力量有效抵御威胁。
最后，需要能力驱动，安全防护的最终效果，由实战的能力决定。合规作为基本要求，还需要以能力的提升、能力的检验为核心，多测多练。只有具备了对抗抵御威胁的能力，才能确保信创安全。

“在这样的指导思想下，整个信创安全的目标可以分为五个层面。”杜跃进表示，第一层基础目标是“可信的”，可信的基础之上是”安全的”。由于漏洞永远无法消除，系统总是可能会被入侵，第三层的目标是增强被入侵之后对攻击事件的”可控性”。第四层是增强安全威胁溯源、取证、慑阻等”可对抗的”能力。基于以上四个层次的目标，第五层目标是增强核心业务“可存活的“能力，守住网络安全最后的“底线“。

undefined

落地信创安全体系建设更加势在必行。截止目前，各信创安全厂商已逐步推进了终端安全、安全性测试、漏洞管理、安全开发、安全挑战、数字证书等方面的工作。未来还有更多的工作需要安全行业共同参与，互相配合，才有可能解决信创安全面临的问题。

杜跃进呼吁希望更多的安全企业参与到信创安全的工作之中，以确保国家信息化建设目标的实现。