新基建創(chuàng)新研究院觀點:
網(wǎng)絡(luò)空間不僅成為科技利益,也成為了數(shù)字主權(quán)爭奪和再分配的主戰(zhàn)場。諸多高新技術(shù)的采用,又讓內(nèi)生安全風險和應(yīng)對賦能攻擊成為了新的挑戰(zhàn)。為此,CSO們需要明確隨需應(yīng)變,動靜結(jié)合,以快打快的網(wǎng)絡(luò)安全核心精神,善于運用安全體系的力量,動員一切力量參與安全保衛(wèi)戰(zhàn)。隨著AI不斷融入數(shù)字安全,還要及時應(yīng)對AI給數(shù)字安全帶來的新威脅,在網(wǎng)絡(luò)安全邊界被打破之后,重構(gòu)安全的新體系。
隨著國家間對抗升級,網(wǎng)絡(luò)空間不僅成為科技利益、 數(shù)字主權(quán)爭奪和再分配的主戰(zhàn)場,還成為了國家安全和經(jīng)濟安全的基礎(chǔ)和保障,網(wǎng)絡(luò)空間對抗向體系化、軍事化發(fā)展。這使得全球網(wǎng)絡(luò)安全事件頻發(fā),網(wǎng)絡(luò)攻擊手段持續(xù)升級,網(wǎng)絡(luò)攻擊目標不斷擴大。
從技術(shù)層面來看,隨著企業(yè)數(shù)字化轉(zhuǎn)型步伐的加快和5G、 物聯(lián)網(wǎng)、 人工智能等新技術(shù)的廣泛應(yīng)用,內(nèi)生安全的風險和應(yīng)對賦能攻擊成為了新的挑戰(zhàn)。行業(yè)由此需要無數(shù)數(shù)字安全鐵軍,而這些鐵軍的領(lǐng)頭人——CSO(首席安全官)們同樣需要一個能力提升的過程。
2023年12月3日,由工業(yè)和信息化部人才交流中心指導,CIO時代與新基建創(chuàng)新研究院主辦的“第四期CSO(首席安全官)高級研修班”落下帷幕。我們從密集的課程內(nèi)容中總結(jié)出CSO們需要遵從的六條軍規(guī),從中映射出了CSO們的能力提升之路。
古代作戰(zhàn)講究發(fā)揮戰(zhàn)陣的作用,其本質(zhì)不過是集結(jié)個體的力量,通過合理的體系發(fā)揮出合力。而在當下的網(wǎng)絡(luò)安全戰(zhàn)里,同樣需要講求體系化作戰(zhàn),堅持綜合保障,形成合力。
作為本次培訓的講師,資深網(wǎng)絡(luò)安全專家郭老師在授課時強調(diào),要加強網(wǎng)絡(luò)安全綜合防御體系建設(shè),提升綜合防御能力。
而談及強化網(wǎng)絡(luò)安全綜合防御體系的步驟,郭老師認為需要在加強戰(zhàn)略謀劃和頂層設(shè)計、開展網(wǎng)絡(luò)與數(shù)據(jù)摸底調(diào)查的基礎(chǔ)之上,按如下步驟進行:建立領(lǐng)導體系和工作體系、開展頂層設(shè)計和規(guī)劃、落實相關(guān)人員責任、落實網(wǎng)絡(luò)安全等級保護制度、落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度、落實數(shù)據(jù)安全保護制度、落實密碼安全防護要求、開展安全檢測和風險評估、制定網(wǎng)絡(luò)安全建設(shè)整改方案并實施、落實“ 三化六防” 措施、落實事件處置機制、定期進行掃雷挖雷等。
當前,多種攻擊手法組合形成多層次網(wǎng)絡(luò)攻擊殺傷鏈,國家級有組織的高級可持續(xù)威脅(APT)攻擊日益猖獗,網(wǎng)絡(luò)攻擊因此而成為數(shù)字化建設(shè)面臨的最大威脅,不斷涌現(xiàn)的技術(shù)對抗,要求我們要提升整體保護能力,利用體系的力量,加強網(wǎng)絡(luò)安全綜合防御體系建設(shè)。
古時士兵上戰(zhàn)場之前,都要經(jīng)歷嚴格的訓練。然而,即使經(jīng)歷再嚴格的訓練,士兵也很難完全施展所學,能夠用出平時所學50%的士兵,已然是天下難敵的士兵。明朝一代名將戚繼光在其著名軍事著作《紀效新書》中,點明了戚家軍獲勝的根本原因:“明其出于法而非泥于法,合時措之宜也。”
作為本次培訓的講師,北京賽博英杰科技有限公司創(chuàng)始人譚曉生,此前在多家知名公司擔任首席安全官。譚曉生開篇就點明了網(wǎng)絡(luò)安全的核心精神:信息安全是對抗、是刺刀見紅的肉搏,是在小黑屋里打群架,是沒有硝煙的戰(zhàn)爭;靜態(tài)的防御措施無法阻止蓄意的攻擊者,需要隨需應(yīng)變,動靜結(jié)合,以快打快;CSO們做什么不取決于政策、規(guī)劃,預(yù)算和個人意志,應(yīng)該取決于對手做過什么、還想做什么、能做什么;安全防御是盡力而為,是鞠躬盡瘁死而后已,是一場資源、時間和精神的消耗競賽。
從中不難看出,在嚴峻的數(shù)字安全形勢下,CSO們面臨的將是一場場真實而嚴酷的戰(zhàn)斗。因此他們需要學到的一條軍規(guī),正是“一切從實戰(zhàn)出發(fā)”,從“戰(zhàn)”的需求角度來完成學習。
在戰(zhàn)爭的天平之上,新型武器的出現(xiàn)往往會打破雙方的實力對比,讓其中一方憑實力碾壓對手。而在今天,AI技術(shù)融入網(wǎng)絡(luò)安全戰(zhàn)的結(jié)果,就不僅使得攻擊更精準、偽裝更巧妙、實施時間更短,還最終會將人與黑客的戰(zhàn)爭演變成AI與AI的對抗。因此,跟不上AI的技術(shù)演進速度,其結(jié)果必然是挨打。
北京航空航天大學計算機學院博導、中國人工智能學會語言智能專委會副主任委員李舟軍教授在授課時,就堅定地認為:在2020至2030年的這十年里,機器學習、人工智能、虛擬化、機器人會成為核心驅(qū)動技術(shù),人工智能、決策系統(tǒng)、預(yù)警認知、機器人員工會造就新的商業(yè)模式,相應(yīng)地,數(shù)字安全領(lǐng)域也需要迎接人工智能帶來的新挑戰(zhàn)。
然而,國內(nèi)企業(yè)在應(yīng)用大模型提升網(wǎng)絡(luò)安全能力時,卻會遇到一系列問題。首先是國企和央企多數(shù)與互聯(lián)網(wǎng)隔離,可能無法使用ChatGPT;其次是國企和央企包含大量敏感數(shù)據(jù)和商業(yè)機密,聯(lián)網(wǎng)使用ChatGPT會造成數(shù)據(jù)泄露;最后是使用ChatGPT等需要具備一定的技術(shù)能力和資源,國內(nèi)企業(yè)的計算資源可能不足。
基于以上痛點,李舟軍表示需要解決一系列問題。首先要將大模型與企業(yè)內(nèi)部數(shù)據(jù)進行對接,提升企業(yè)的人工智能應(yīng)用水平。其次是對于企業(yè)內(nèi)部的多源異構(gòu)數(shù)據(jù),均要有相應(yīng)的大模型接入方案。此外,還要實現(xiàn)企業(yè)內(nèi)部的私有化部署,與互聯(lián)網(wǎng)隔離,以避免數(shù)據(jù)泄露,全面保障數(shù)據(jù)安全。最后,還要提升算力水平,要能夠在單個顯卡(如V100、A800、A10等),甚至消費級顯卡上(如RTX 3090等)的大模型部署與使用。
有了這些作為基礎(chǔ),就可以過渡到“本地大模型+本地數(shù)據(jù)”的CVP模式,通過類ChatGPT模型(C)、向量數(shù)據(jù)庫(Vector)和Prompts(P)的聯(lián)動,解決大型語言模型(LLM)在實時信息和垂直私域數(shù)據(jù)處理上的挑戰(zhàn)。
而有了垂直領(lǐng)域數(shù)據(jù)與大模型融合做保障,就可以發(fā)揮大模型在數(shù)據(jù)標識方面的長項。大模型可以通過隨機采樣得到符合現(xiàn)實的高質(zhì)量文本,再依照任務(wù)生產(chǎn)數(shù)據(jù)。對于數(shù)據(jù)稀疏的領(lǐng)域,大模型可以作為數(shù)據(jù)生產(chǎn)的工具,生成大量高質(zhì)量訓練數(shù)據(jù),強化小模型能力。這樣更利于實現(xiàn)業(yè)務(wù)數(shù)據(jù)分級、敏感數(shù)據(jù)識別,也利于在日志審計、代碼審計中實現(xiàn)自動化。
當前,人工智能(AI)技術(shù)的應(yīng)用安全威脅已經(jīng)開始顯現(xiàn)。企業(yè)需要打贏一場“雙線戰(zhàn)爭”,不僅需要能夠阻止對抗性AI攻擊對已部署的AI模型所構(gòu)成的威脅,而且還要面對攻擊者利用AI技術(shù)發(fā)起各種類型的新攻擊。因此,對于CSO們來說,跟上AI安全的變化腳步,成了一件至關(guān)重要的事情。
網(wǎng)絡(luò)安全的一大禁忌,就是搞成鐵路警察各管一段的模式,讓網(wǎng)絡(luò)安全戰(zhàn)變成企業(yè)安全團隊一個部門的戰(zhàn)爭。從這個視角來看,網(wǎng)絡(luò)安全同樣需要進行一場數(shù)字化轉(zhuǎn)型,通過讓網(wǎng)絡(luò)安全成為數(shù)字化轉(zhuǎn)型發(fā)展的重要組成部分,不斷提升與優(yōu)化效率,在保障數(shù)字轉(zhuǎn)型快速發(fā)展的同時,也實現(xiàn)了簡單、有效、省心、可靠安全目標的最短路徑。
要發(fā)動一場網(wǎng)絡(luò)安全的“全員抗戰(zhàn)”,深信服首席安全架構(gòu)師林曉明認為,就要合理安排好數(shù)字化轉(zhuǎn)型下的安全分工,形成“1+N”數(shù)字化安全建設(shè)運營模式,其中“1”是網(wǎng)絡(luò)和數(shù)據(jù)安全建設(shè)與運營的公共職能,“N”是多個數(shù)字化安全的專業(yè)職能,建立在以數(shù)字化分工基礎(chǔ)上,覆蓋云網(wǎng)端基礎(chǔ)設(shè)施自身安全、應(yīng)用開發(fā)測試安全、IT平臺(身份與訪問管理)安全、大數(shù)據(jù)安全管理、業(yè)務(wù)安全等。“1”安全公共職能作為企業(yè)安全能力基礎(chǔ),應(yīng)持續(xù)發(fā)展、不斷提升,牽引并服務(wù)于“N”個專業(yè)職能下的需求識別與能力構(gòu)建,并最終形成公共與專業(yè)職能的協(xié)同推進、持續(xù)改善,全方位保障企業(yè)數(shù)字化轉(zhuǎn)型。
此外企業(yè)在網(wǎng)絡(luò)安全的數(shù)字化轉(zhuǎn)型中,應(yīng)平衡安全平臺驅(qū)動的架構(gòu)整合與安全能力異構(gòu)開放的關(guān)系;加強以研判分析為目的有效數(shù)據(jù)采集;構(gòu)建以提升運營效率為目標的AI能力;建立云端資源與本地技術(shù)混合、外部情報和本地數(shù)據(jù)協(xié)同、遠程專家與本地人員融合的工作模式;引入新興數(shù)字化技術(shù)賦能網(wǎng)絡(luò)和數(shù)據(jù)安全工作。
綜合來看,數(shù)字化轉(zhuǎn)型打破了獨立的業(yè)務(wù)煙囪,通過大數(shù)據(jù)融合利用、應(yīng)用一體化開發(fā)運行、公共服務(wù)平臺化、基礎(chǔ)設(shè)施云化實現(xiàn)業(yè)務(wù)的創(chuàng)新、敏捷和融合發(fā)展,而安全工作也將延續(xù)這一轉(zhuǎn)變,從分散無序的建設(shè)運行,轉(zhuǎn)變?yōu)橛行蚍止ず徒y(tǒng)籌運營相互結(jié)合;從單純的松耦合外掛模式,轉(zhuǎn)變?yōu)榫o耦合和松耦合相互互補;從無目的數(shù)據(jù)驅(qū)動,轉(zhuǎn)變?yōu)橛行?shù)據(jù)挖掘和AI驅(qū)動相互疊加的發(fā)展模式,并持續(xù)助力企業(yè)數(shù)字化轉(zhuǎn)型的不斷深化。
當前越來越多的企業(yè)因為要借助數(shù)字化轉(zhuǎn)型實現(xiàn)創(chuàng)新,造成系統(tǒng)的復(fù)雜度不斷上升,傳統(tǒng)的安全邊界已經(jīng)被打破。安全威脅就不僅僅來自于系統(tǒng)內(nèi)部,還可能來自于邊緣層異構(gòu)終端,同時由于調(diào)控對象增多,接入邊界也面臨著新挑戰(zhàn),數(shù)據(jù)廣泛交互共享也可能制造出新的安全問題。在這樣的條件下,重構(gòu)全環(huán)節(jié)網(wǎng)絡(luò)安全防護就變得極其重要。
電力行業(yè)因為同時面臨數(shù)字化和“雙碳”的目標,新型電力系統(tǒng)建設(shè)必然要求數(shù)字技術(shù)與能源技術(shù)深度融合,新型電力系統(tǒng)對數(shù)字化技術(shù)的依賴程度更高,其源網(wǎng)荷儲互動方式發(fā)生的變化,深刻影響了發(fā)電側(cè)、負荷側(cè)、交易側(cè)等不同主體和電網(wǎng)企業(yè)間的信息網(wǎng)絡(luò)交互方式,網(wǎng)絡(luò)安全引入的風險隱患更大,可導致的后果也更加嚴重。
應(yīng)對多重壓力,國家電網(wǎng)有限公司副總信息師王繼業(yè)表示,當網(wǎng)絡(luò)邊界被打破之后,國網(wǎng)公司的應(yīng)對之策,正是將網(wǎng)絡(luò)安全總體防護策略從“可管可控、精準防護、可視可信、智能防御”演進到“依法合規(guī)、開放可信、實戰(zhàn)對抗、聯(lián)動防護”,逐步形成覆蓋事前、事中、事后全環(huán)節(jié)的全環(huán)節(jié)網(wǎng)絡(luò)安全防護體系。
全環(huán)節(jié)網(wǎng)絡(luò)安全防護在網(wǎng)絡(luò)安全“三道防線”基礎(chǔ)上,以網(wǎng)絡(luò)安全等級保護制度和關(guān)鍵信息基礎(chǔ)設(shè)施保護制度為指引,以防范發(fā)生大面積停電事故和重大網(wǎng)絡(luò)安全事件為安全底線,秉承“安全支撐發(fā)展,運行保障業(yè)務(wù)”的理念,構(gòu)建責任清晰、制度健全、技術(shù)先進的網(wǎng)絡(luò)安全防護能力。通過態(tài)勢感知、密碼平臺、攻防靶場,夯實網(wǎng)絡(luò)安全基礎(chǔ)支撐;通過風險評估、風險處置、實戰(zhàn)對抗、應(yīng)急演練保障了常態(tài)網(wǎng)絡(luò)安全運營,最終全面保障了通信網(wǎng)絡(luò)安全、主機安全、數(shù)據(jù)安全。
現(xiàn)代戰(zhàn)爭講究戰(zhàn)術(shù)縱深,講求在包括地空一體、全方位、全縱深的戰(zhàn)斗空間完成攻防戰(zhàn)。防御時,能將兵力兵器作縱深梯次配置,保障部隊有持續(xù)的戰(zhàn)斗能力,便于抗擊敵方大縱深的進攻和突貫;進攻時,能組成多梯隊的攻擊部署,保障實施重點突破和縱深的連續(xù)攻擊,粉碎敵方的防御。
在本次培訓的講師,北京燃氣集團教育技能中心副主任王廣清看來,“三化六防”正是戰(zhàn)術(shù)縱深的最好體現(xiàn)。通過縱深防御體系,落實包括實戰(zhàn)化、體系化、常態(tài)化的三化,以及包括動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控在內(nèi)的六防,建立以核心業(yè)務(wù)系統(tǒng)和重保系統(tǒng)為保護對象的縱深防御體系,形成層層有防控、層層有感知、層層有預(yù)警的主動防御體系,并持續(xù)推進零信任體系的建設(shè),才是網(wǎng)絡(luò)安全致勝的關(guān)鍵所在。
整個體系包含了人員、技術(shù)和流程三個部分,因此要以“三化六防”為指導,以網(wǎng)絡(luò)安全運營為抓手,通過頂層設(shè)計和綜合治理,推動人員、技術(shù)和流程的整合,構(gòu)建分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、技術(shù)對抗、事件處置等能力,以實現(xiàn)風險閉環(huán)和安全合規(guī)。
隨著數(shù)字技術(shù)進入系統(tǒng)創(chuàng)新和智能引領(lǐng)的重大變革期,信息基礎(chǔ)設(shè)施加速向高速率、全覆蓋、智能化方向發(fā)展,相伴而生的非傳統(tǒng)安全問題愈發(fā)凸顯,網(wǎng)絡(luò)空間安全風險正加速從虛擬空間向現(xiàn)實世界滲透擴散。在這樣的背景之下,CSO們也就愈發(fā)需要遵從這些軍規(guī),以提升自己團隊的實力,滿足未來的網(wǎng)絡(luò)安全戰(zhàn)爭所需。