奇安信总裁吴云坤：“三同步”保障政企机构信息化环境内生安全实现

10月20日~23日，首届INSEC WORLD成都·世界信息安全大会在成都举行，大会以多元化视角跟踪信息安全行业热点问题与趋势，奇安信集团总裁吴云坤在22日主论坛的主题演讲中提出，信息化环境的复杂性带来了不可预知的安全风险，仅靠围墙式的、外挂式的安全已不可持续，信息化环境的保障需要“内生安全”，将信息化建设与运维工作同网络安全的防护与响应过程结合，达到工作任务事项级别的深度绑定，实现二者的同步规划、同步建设、同步运营。

首届INSEC WORLD成都·世界信息安全大会吸引了包括2015年图灵奖获得者、美国国家工程学院院士、斯坦福大学名誉教授Martin Hellman等50多位全球信息安全领域的顶级专家、近50家信息安全领域的领导企业，以及超过2000位各行业CISO等网络安全专业人士参会，探讨大数据、人工智能、物联网等新技术应用环境下信息安全的趋势。

信息化环境的保障需要内生安全

随着全球范围内的数字化转型，物联网、人工智能、大数据、云计算等新技术加速发展和应用，推动了信息化的发展。与此同时，不同行业的核心业务也已高度依赖信息化，但是信息化环境的复杂性却带来了不可预知的安全风险。

今年以来，美国第七大商业银行“第一资本金融公司1.6亿客户信息泄露、Facebook数亿用户密码泄露等频繁发生的数据泄露事件，以及美国60多个城市遭遇勒索攻击导致市政服务停滞等事件，印证了不可预知的信息安全风险给政府机构和企业带来的巨大影响。

世界经济论坛发布的“2019年全球风险报告”，将网络攻击、数据欺诈与盗窃和极端天气事件、气候变化调整措施失败、自然灾害共同列为当今世界的前五大威胁。而在不断呈现多样化和的网络威胁中，商业利益诉求和恐怖破坏目的交织，以APT为代表的组织化的定向攻击形成常态化，其中外部攻击和内部威胁混杂。

“从信息化环境和业务的安全保障角度，希望网络永远都不被攻破，一定万无一失，但事实是没有攻不破的网络，一失万无。”吴云坤认为，信息化环境的复杂性带来了不可预知的安全风险，仅靠围墙式的、外挂式的安全已不可持续。当前，信息化环境的保障需要“内生安全”。

所谓内生安全，就是在信息化环境内不断生长出安全能力，在网络被打穿的时候也能保证数据和业务安全。实现业务安全保护有三大构想，安全体系具备“免疫功能”、安全体系做到“内外兼修”、安全体系能够“自我进化”。奇安信提出的内生安全就是实现这三种构想的最佳实践。

吴云坤说，内生安全的防护思路可以总结为“一个中心五张滤网”，“一个中心”指的是安全运营中心，“五张滤网”指的是网络、身份、应用、数据和行为五张滤网。由于网络总会被突破，所以除了网络边界保护，还需要增加几张过滤网，包括身份、应用、数据和行为这四张过滤网，静态过滤的思路之上，更重要的是增加一个安全运营中心，把行为记录下来，进行感知和监控，甚至溯源。

“三同步”保障信息化环境的内生安全实现

“内生安全”来自于奇安信与众多政企客户的共同实践，在过去的一段时间里奇安信帮助多个部委、大型央企、地方政府和金融机构制定信息化与安全融合规划，参与了多个国家级、省级和央企安全建设项目，在这些实践过程中对“内生安全”有了深刻理解，也积累了大量的实践经验。

“网络安全和信息化是一体之两翼、驱动之双轮”，安全和信息化像绞合在一起的DNA一样，紧密结合、相互影响。吴云坤表示，内生安全首先是机制保障，就是将信息化建设与运维工作，同网络安全的防护与响应过程结合，达到工作任务事项级别的深度绑定，实现安全与信息化的同步规划、同步建设、同步运营。

同步规划，是内生安全的关键与起点，强调关口前移与预算保障。具体指在信息化系统的设计规划中，充分考虑网络安全，确保网络安全成为信息化系统的有机组成。首先通过与信息化同步规划安全体系，落实“关口前移”，实现安全与信息化的深度结合和全面覆盖。其次通过规划规划解决各层级、各业务口对网络安全的理解不一致。

同步建设，是内生安全的落地和保障，强调在信息化建设的方方面面，充分考虑引入并融合安全能力，既要积极建设网络安全基础设施，又要开展信息系统内建安全机制的建设。安全能力建设需要基于“叠加演进”原则，不是淘汰演进，既要积极建设网络安全基础设施，又要建设信息系统内建安全机制。

比如偏静态的综合防御能力中的零信任是一个新的访问模型，它解决的是大量终端、应用和人群在访问集中数据时能否动态、能否可信的授权，不仅防外部黑客攻击，也能防御内部威胁。零信任的实现需要结合业务流程，结合业务数据，还要叠加威胁情报、大数据分析等能力。

偏动态的综合防御能力中的态势感知与安全运营平台，更多地是把安全能力和信息化进行结合，基于来自前两个阶段的安全数据采集，还要结合核心应用系统和业务系统的数据，进行综合研判进行分析，从而掌握态势、发现威胁，并做出处置和响应。

运行是内生安全的生命，通过规划、建设形成的安全能力需要有运行、技术、人和管理规范，才能形成一个完整系统和体系，将能力有效输出。而且IT运行中所有与网络安全相关的环节都要与网络安全工作充分对接，而不仅仅是扫描、检查、渗透等零散工作。

吴云坤称，人是安全的尺度，也是安全运行的关键。如果没有相应的人员体系，技术平台无法有效运行，能力就输出不出来。安全运行需要具备不同技能的人员参与，把安全运行放到人的层面，可以分为安全运营人员、分析响应人员和攻防渗透人员三类，不同人员需要不同的培养体系和培养方式。

据吴云坤介绍，奇安信在人才培养方面做了大量实践探索，在绵阳建立了安全运营人才培养基地，为奇安信、政企客户和合作伙伴培养安全运营人员，2019年输出安全运营工程师1100多人；通过举办DataCon大数据安全分析比赛选拔和培养安全分析人才；利用安全训练营和补天漏洞响应平台培养、聚集攻防渗透人才，通过这些方式建立起了完整的安全人员体系，得以在护网等实网攻防演习行动中，可以规模化、体系化地投入到攻防中。