疫情终将过去,回归正常后,在可以预想即将掀起的数字化建设热潮中,我们应该如何看待、应对、处理“安全”这一基础性的命题,这是值得大声疾呼的问题。在“新基建”的热议中,微盟事件恰当其时的为人们提了醒。
春节以来,在全球性的疫情演化与经济挑战之下,“新基建”方案成为备受瞩目的产业焦点。
其实,即使没有疫情,高质量发展、数字化转型也是摆在国家和企业面前的方向性题目。
在过去几年中,腾讯、阿里等数字科技企业连同金蝶等软件企业,和三一、徐工、永辉等各领域的代表性实体企业,已经在产业互联网的发展路上汇流,在零售、交通、教育等诸多领域取得了显著成绩。
AI质检、数字孪生辅助设计、预防性运维、建筑IoT操作系统等深度数字化的生产方式已经开始得到推广。如何在数字化主题下实现转型和保持竞争力,已经成为企业界讨论的重点话题。
疫情没有改变方向,但改变了节奏。为克服困难、开创新局,国家做出了进一步加快“新基建”的部署,在此前已提出的5G、AI、工业互联网、物联网等领域外,又增加了数据中心的内容。
本质上,无论是存储、通信、硬件还是算力,都是产业数字化的基础设施。“新基建”的提速,将在这个方向上降低企业的技术、成本、环境等门槛,为各个领域数字化转型创造更好的条件。
连接着眼于发展。5G通信与日臻成熟的云联网,将人与物、物与物、实体与虚拟孪生体之间的信息传递无限趋近于瞬时,效率提升无疑,共振也变得容易。
技术应用的背景下,产业主体之间的业务关联也变得前所未有的复杂,平台、共享、生态之中,你中有我,我中有你,“共同体”说法的背后是难解难分、“牵一发而动全身”的产业事实和所趋大势。
不过,利弊相随,连接也让风险震波的深度、广度、烈度前所未有。尽管火烧赤壁的故事属于杜撰,但其隐喻的连接风险却是事实。
在IT与互联网领域,人们喜欢用“天花板”这个词来形容网络安全保障能力的需求底线。随着数字经济的扩展,这个“天花板”亦水涨船高。“魔高”还是“道高”之虑日趋强烈,否则就不会凸显大型云厂商安全能力冗余的优势,更不会有庞大的数字安全产业。
马斯洛需求层次论讲的明白,生存与安全是所有需求的基础。当健康与公共安全遭受挑战时,经济不得不退而另寻方案,这一点,人们很快达成了共识。
安全是数字发展的基石,称之为“新基建”的“基建”亦不为过。基建先行,本是应有之义,矛盾之处在于,安全与健康一样,只有在它遇到挑战时,人们才能切肤感知到它的存在,而平素在追求看得见的效率、效益之际,又难免以“重要非紧急”的冗余视之。
疫情终将过去,回归正常后,在可以预想即将掀起的数字化建设热潮中,我们应该如何看待、应对、处理“安全”这一基础性的命题,这是值得大声疾呼的问题。在“新基建”的热议中,微盟事件恰当其时的为人们提了醒。
01、微盟事件的提醒
安全有狭义与广义之分,微盟事件涉及的主要是产业互联网语境中狭义的网络安全。广义的安全不仅涵盖具体领域,还包括社会与个体安全、权益安全与供应链、国家战略安全,强调安全对产业发展模式、发展方向的约束。
微盟事件过去已经有月余,安静之后,我们能看得更清楚。祸起于核心运维人员的恶意删库,SaaS体制之下给300万商户和微盟自身造成了巨大的经济损失。历时一周,在腾讯云的鼎立相助下,总算将环境、业务和数据逐一恢复,事后微盟提出了赔偿计划和整改方案,为事件画上了句号。
这是一起典型的安全事件。在安全领域,“事件”是一个专业术语,一般来说,网络安全分为事件、威胁和风险三层。
面对事件,需要的是应急、响应、处置等对抗性行动;面对威胁,主要是预防,例如漏洞扫描、风险加固、风险评估等;而风险是广泛存在的,为了发展,能做的是权衡得失、加以控制。
对企业来说,灾难备份是最基本的方法。事件暴露了微盟在管理上的漏洞,业务连续性、灾难备份准备不足,在事件、威胁、风险三个方面同时犯了大错。
吃一堑,长一智,从产业健康发展的角度,不完全是坏事。但对微盟事件的反思不该辄止于此,至少以下四点就值得业内思考。
第一,产业互联网环境下,海量的中小企业将业务、数据、安全托付于第三方SaaS服务商,这本身是一种集中式、放射状的产业生态结构,处于节点位置的SaaS厂商责任巨大,“超额”“超前”的安全投入是必要的。节点一旦出现安全事件,应对不及的话,其破坏力远远大于以往彼此独立、自营的状态。
例如,2015年携程因误操作导致官网和APP崩溃,2018年顺丰因误删数据库导致部分功能失效,都仅限于自身。显然,微盟事件的波及范围远超过前两者。
第二,中国的云计算时代开启不过十年,应对业务与IT一体化的云原生安全问题,需要匹配新的安全保障能力。
在云时代之前,企业的IT设施不仅是本地部署,而且通常是由独立的技术后台进行建设和维护,与业务前台彼此脱节。
互联网时代开启后,大量的业务开始与IT架构融合(如电商、OTA)。
到产业互联网时代,前台本身已经与云架构深度融合,应用、业务、用户、数据都在云上。IT系统故障就意味着企业业务的中止,IT数据的破坏就意味着企业资产的损失。因此,这种“云原生”的安全问题,与传统的IT环境复杂、破坏程度不在一个量级,需要匹配新的安全体系。
第三,腾讯云在事件抢救中发挥了至关重要的作用,显示了大型云厂商在产业互联网中的砥柱价值。生态中枢型企业能力越大、责任越大,做负责的盟主,对维护生态健康和秩序、增强生态互信、促进分工合作关系的优化,具有积极意义。
腾讯云实现了传统架构和云架构灾备的统一,备份、容灾和仿真演练的统一。基于云架构的一体化的整机备份,保护的不仅仅是数据,还有数据库、应用和系统环境,当业务系统遭遇灾难,数据云灾备平台可以将业务恢复到发生故障前的任意时间点,再去定位、修复故障,从而最大限度控制了灾难影响(数腾软件徐礼长)。这种能力,是一个能抗风险、有生命力的健康生态所需要的。
第四,安全是业务系统的基石,本质上是一个技术、资产、制度与人四方结合的复杂服务环节,对人的重视,需要知行合一。
风险不能消除,只能管控,这意味着再完备的技术和设施投入,也不存在“充分”和“足够”,何况没有生命的设施还需要在流程、制度中运行才能真正发挥作用。
安全是攻防的过程,没有包治百病的产品,设施、制度、流程之外,最重要的还是人的持续投入。
无论怎样问责微盟的制度漏洞,也不能掩盖问题出在人的事实。更多优秀的人才、更妥善的安全教育、更负责任的安全管理、更高的企业与社会认可,是持续改善产业安全环境的必要条件。
02、安全产业与产业安全
近年来,与快速发展的互联网产业和产业互联网趋势相随,中国网络安全产业规模增长也在提速。
2018年,中国网络安全产业从业企业近3000余家,涵盖网络安全各个细分领域(注:安全领域是一个“石榴状”的市场,涉及非常精细、繁杂的细分环节,市场“碎片化”现象比较突出)。
根据中国信息通信研究院的数据,产业营收总规模达到510.92亿元,较2017年增长了19.2%,预计2019年将增长超过20%,达到631.29亿元。另据15家网络安全领域上市公司的年报数据,总体销售额的增长率从2015年的26.5%到2018年的36%以上,逐年增高,显示了产业体系日趋健全,技术创新、技术应用和产业活动的朝气蓬勃。
资料来源:清华大学全球产业研究院 根据http://all.aqniu.com安全产业全景图整理
但总体来说,考虑到中国互联网应用领域产业规模庞大、消费端高度发达、创新活跃,而相关法律、法规和治理体系相对滞后,跟美国等互联网技术和应用领先发达国家相比,中国在网络安全上的投入是严重不足的。
举例来说,一般来说,企业安全投入预算会与IT建设运维总投入成相对稳定的比例关系,对于这个比例, IDC给出的建议是13.7%(2015),IBM建议是10%,Gartner给出的数字是4%到7%(苹果资本许俊)。
尽管中国互联网和IT领域发展迅速,但对安全的投入却非常有限。根据中国网络安全产业联盟发布的《中国网络安全产业报告》,美国网络安全领域投入占IT投入的4.78%,全球平均水平是3.74%,中国只有1.84%。
资料来源:中国网络安全产业联盟《中国网络安全产业报告》,2019
另据2015年PWC进行的一项对网络安全领域的统计和分析,从人均网络安全支出金额看,中国只有2美元,与美、以、英、日等互联网应用和技术发达国家形成了强烈反差。
资料来源:Unlocking the cybersecurity growth potential-Singapore’s cybersecurity Industry outlook》,PwC
投入不足的另一个表现是产业规模。相对于中国500亿-600亿人民币的安全市场,以美国、加拿大为主的北美地区2018年网络安全市场规模超过了500亿美元,是中国的6-7倍,而中国在电商、社交等诸多领域的网络应用规模早已经是世界第一,做个可能极端化的类比,犹如“带着刹车隐患的狂飙”。
2017年以来,国家加快了网络安全相关治理和立法工作。中央成立了网络安全和信息化领导小组、设立了国家互联网信息办公室,《网络安全法》(2017)、《密码法》(2020)相继投入实施,备受瞩目《电信法》、《数据安全法》列入了立法日程,《国家关键信息基础设施安全保护条例》也即将出台。
在《网络安全法》基础上,2018年,公安部发布《网络安全等级保护条例(征求意见稿)》;2019年5月,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等一系列“等保2.0”相关国家标准颁布,为政府、企业的安全建设提供了一个可以依靠的规尺,安全的合规性特征将有助于切实提高网络安全的建设水平。
作为国家强制标准,“等保2.0”涉及政府机关的网络与办公信息系统,涉及电信广播通信网络、互联网信息服务、接入服务、数据中心等现在列入“新基建”范畴设施的信息系统,涉及金融、交通、能源、教育等各个行业信息系统,对不同场景提出了不同的规范要求。
在五级保护等级体系中,受损害的对象考虑国家安全,社会和公共利益、公民、法人和其他组织的权益,根据损害程度确定不同的级别。“等保2.0”将公民、法人和其他组织的合法权益严重受损从第二级升到第三级,正是因为一些事件的推动。
“等保2.0”新标准中,每一级在技术设施和管理运营方面都提出了基本要求;除通用要求外,均还新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全等扩展要求,以应对新技术的发展。
在防御思路上,跟信息安全保护(“等保1.0”,2004-2008)时代相比,网络安全保护(“等保2.0”,2017-至今)的思想发生了重要变化。第一,从被动防御变成了主动防御,整体防御也分区隔离,不仅在边界上防御,在内部也进行多层多种防御,相当于在边界上防不住时,在内部控制影响范围,尽量更早地发现问题;第二,提出了事前、事中、事后的防御,超越了过去在受攻击时进行防御的逻辑,对事后审计、溯源也提出了要求;第三,由被动保障向感知预警、动态的防护、安全检测、应急响应做转变。
应该说,顶层的重视、一系列法规的出台和等级保护体系的更新,为产业互联网的发展提供了制度保障。
“等保2.0”有助于产业安全标准的统一和安全意识提升,另一方面,合规性需求驱动下,网络安全产业和网络安全强化建设将有望应来一个新的发展机遇期。
03、安全生产
在数字化转型升级的大潮中,具体到产业的生产实际,存在三个与安全相关、至关重要的新问题值得严肃思考,分别涉及数据、工业环境生产安全和芯片底层。
(一)数据、安全价值与全生命周期
数据是新的生产资料和可流动的无形资产。安全工作的第一步往往是从资产定义和发现开始的,资产定义和发现之后,做漏洞检测与加固。资产数据安全(包括数据的防泄密、磁盘加密、文档安全……)和数据连续性保护(包括容灾备份、数据库安全、大数据保护……)等。
从数据意义上说,网络安全的价值用IT投资比例来衡量(长期以来的思维习惯)是不妥当的,或许应该基于IT系统所承载的数据价值和以数据为基础的业务价值来评估。然而,数据资产的价值恰恰是具有模糊、不确定性的。
数据的价值不来自于二进制的数字代码本身,而取决于数据的流动和使用。换句话说,不同的使用者、使用场景、使用时机,数据能发挥的价值将千差万别。也正因为此,无论是数百亿人民币还是美元,都无法准确反映安全工作的价值。
也正因为数据流动性与价值不确定性,对数据资产的全生命周期管理显得格外重要。从资产保护的角度,数据的产生、流动、存储、使用及销毁等过程都需要纳入到安全管理的范围中,对数据泄露风险,也需要进行必要的防控。应该说,从数据全生命周期管理的角度,云平台模式具有鲜明的技术优势。
例如,在微盟事件中发挥了重要作用的腾讯云就嵌含着“云数据安全中台”,以数据加密软硬件系统、密钥管理系统以及凭据管理系统能力为核心,将密码运算、密码技术及密码产品以服务化、组件化、产品化的方式输出给企业使用者,确实能够有利于企业实现从数据获取、事务处理及检索、数据分析与服务、数据访问与消费过程中的全生命周期的安全防护。
(二)信息技术(IT)的安全与工业控制(ICS与OT)的安全
无论是从消费、服务端出发的“产业互联网”,还是初心就是从生产、制造环节出发的“工业互联网”,将信息技术应用于生产过程,都是追求的目标。但是,来自IT意义上安全产品和服务,并不能完全满足工业生产信息化实际需求,IT与OT(运营技术)是不同的技术、不同的物种,不能将IT与OT混淆,认识这一点,在即将到来的“新基建”热潮中,尤为重要。
在技术环境上,IT是动态的(例如IT系统需要经常修复、升级、替换),关注数据机密性、完整性和可用性(即CIA)。但是,OT的环境追求稳定性、安全性和可靠性,涉及维护复杂敏感环境的稳定(工厂运维常说的话是“只要能用就别动”)。IT追求使用包括安全技术在内的最新的硬件和软件,而OT则不可能对设备进行高频的更新,需要与遗留技术、甚至前互联网时代技术为伍。
在工业使用场景中,在需求方面,工业需要保障生产的连续性和可靠性,IT网络时延等技术在OT网络中未必适用;在复杂度方面,IT资产管理模式也未必能适应OT网络中混合的生产协议、未知资产、遗留系统和设备,IT安全方法也未必适配于工业领域垂直性强的特性。
现代运营往往横跨复杂IT和OT基础设施,涵盖成千上万的设备,且这些设备越来越多地通过工业物联网互联,给工业环境安全带来了新的挑战。
根据Gartner 统计,2018年,10%以资产为中心的企业采用将传统安全与专业OT安全技术混合部署模式,来保护OT环境,这一比例将在2022年达到30%。支持更多的工业控制协议的细粒度解析,正确标识与管理运营资产、充分挖掘和使用垂直威胁情报将成为工业互联网安全发展的重要方向(中国信息通信研究院,2019)。
至少在安全技术层面,工业互联网仍有许多瓶颈需要突破,有很多基础路程要走。
(三)芯片底层安全
与消费互联网时代个人信息与数据安全、数据权益相关安全话题不同,产业互联网时代,数据、信息相关的安全影响价值要大得多,特别是涉及电力、交通、政府、关键工业设施等,更是攸关网络安全范畴之外的广义安全的重要问题。
彻底的保密有赖于核心电子器件、高端通用芯片、基础软件产品(即“核高基”)等核心技术能力联合发挥作用。
举例来说,在加密领域,安全加密基于根密钥,而所有基于软件产生的根密钥都是尾随技术,是根据计算机的当前时间或者ID计算的结果,在技术上可以反推、破解。
但如果基于硬件安全,如芯片中的电子运行轨迹,由于电子云的不可测性,密钥生产过程即完全不可测、不可反推。此外,基于量子计算的随机技术,由于量子不可测,也是一种“真随机数”(紫光云 王勇)。
从芯片上说,由于芯片内含有逻辑算法,能够进行一定的数据传输和后台计算,如果使用者在未掌握芯片逻辑的情况下使用,就面临者潜在的风险。国际上曾经有过相关的安全事件,对化工、电力、电网等领域而言,故障和重启的损失是难以估量的。
安全是产业互联网的基石,而“核高基”、特别是芯片是安全的基石,此言不虚。
考虑到近年来的国际环境和供应链变局,“自主可控”的重要性已经无需赘言。任何技术产品都需要在应用中发展和完善,从这个意义上说,为“自主可控”的芯片提供应用空间,有利于更广大意义上的安全保障。
04、管理开放生态与产业安全的节奏
开放是互联网的天然属性,新型基础设施的大规模建设,将为产业互联网生态的进一步扩展、完善提供更充裕的基础条件。
不过,在憧憬未来同时也需要清醒的认识到,恰如完好的制动系统是车辆在高速路上飞驰的必要条件一样,安全和健康的互联网才能创造一个理想的产业互联世界。
在一个典型的产业互联网生态架构中,无论三次产业中的应用多么繁荣,无论工具箱里面有多少武器可以用来摧城拔寨,都建立在技术与安全的底座上(如图3)。
现代战略管理学的旗帜迈克尔·波特教授在《什么是战略》一文中强调,战略是定位、是适配、是取舍。从适配意义上说,有多少用于“赚钱”“攻略”的技术和业务开发,就应该有多少用于“防身”“看家”的安全设施与之匹配,这是基本的战略管理要求。
朱恒源教授在《战略节奏》中也描绘了产品市场与资源市场之间的动态关系,产品市场跑得太快,在企业的资源和能力建设上就容易形成“结构洞”,及时填这个洞非常重要,也许也非常紧急。
在蓬勃发展的产业互联网大势下,在微盟事件的提醒下,认真做做亡羊补“洞”的检查,是明智之举。
其实,近年来,在产业互联网开放生态扩展同时,“零信任”(即“所有网络流量都不可信”)已经提上了互联网安全管理的议程。
2018年,Gartner提出,零信任是实践持续自适应的风险和信任评估的第一步。零信任以默认拒绝的方式开始,认为需要认证一切,按需对不同身份(设备、用户和网络流量)授予区别化和最小化的访问权限,并通过持续认证否定“通过认证即被信任”的防护模式。
随着云计算、大数据、微服务、移动网络等技术的发展,移动成为设备、业务和人员的基本属性,网络“内部”和“外部”边界区别也逐渐模糊,传统基于网络边界的防护模型在新网络态势中不再适用,基于零信任模式的需求将逐步增加,对零信任理念的理解也将在实践中逐渐深化。
国外的谷歌、思科,国内的奇安信、腾讯等安全领域的众多企业,都已经开始了相关技术探索。构建创造信任产业平台与趋向“零信任”的安全逻辑,字面的矛盾,恰恰反映了底层的真谛:信任来自安全。
《孙子兵法》说,“昔之善战者,先为不可胜,以待敌之可胜”。以“不可胜”为目标的安全,与以“可胜”目标新基建,攻守之道,也许正在乎节奏之中。
暂无评论,点击讲两句