新基建創(chuàng)新研究院觀點:
網絡空間不僅成為科技利益���,也成為了數字主權爭奪和再分配的主戰(zhàn)場���。諸多高新技術的采用,又讓內生安全風險和應對賦能攻擊成為了新的挑戰(zhàn)����。為此��,CSO們需要明確隨需應變����,動靜結合,以快打快的網絡安全核心精神����,善于運用安全體系的力量���,動員一切力量參與安全保衛(wèi)戰(zhàn)。隨著AI不斷融入數字安全����,還要及時應對AI給數字安全帶來的新威脅,在網絡安全邊界被打破之后����,重構安全的新體系。
隨著國家間對抗升級��,網絡空間不僅成為科技利益�����、 數字主權爭奪和再分配的主戰(zhàn)場����,還成為了國家安全和經濟安全的基礎和保障,網絡空間對抗向體系化�����、軍事化發(fā)展����。這使得全球網絡安全事件頻發(fā)�����,網絡攻擊手段持續(xù)升級��,網絡攻擊目標不斷擴大����。
從技術層面來看��,隨著企業(yè)數字化轉型步伐的加快和5G���、 物聯網�、 人工智能等新技術的廣泛應用����,內生安全的風險和應對賦能攻擊成為了新的挑戰(zhàn)��。行業(yè)由此需要無數數字安全鐵軍��,而這些鐵軍的領頭人——CSO(首席安全官)們同樣需要一個能力提升的過程���。
2023年12月3日�,由工業(yè)和信息化部人才交流中心指導,CIO時代與新基建創(chuàng)新研究院主辦的“第四期CSO(首席安全官)高級研修班”落下帷幕���。我們從密集的課程內容中總結出CSO們需要遵從的六條軍規(guī)��,從中映射出了CSO們的能力提升之路�。
軍規(guī)1:善用體系的力量
古代作戰(zhàn)講究發(fā)揮戰(zhàn)陣的作用��,其本質不過是集結個體的力量��,通過合理的體系發(fā)揮出合力����。而在當下的網絡安全戰(zhàn)里,同樣需要講求體系化作戰(zhàn)��,堅持綜合保障��,形成合力�����。
資深網絡安全專家 郭老師
作為本次培訓的講師����,資深網絡安全專家郭老師在授課時強調��,要加強網絡安全綜合防御體系建設����,提升綜合防御能力����。
而談及強化網絡安全綜合防御體系的步驟,郭老師認為需要在加強戰(zhàn)略謀劃和頂層設計��、開展網絡與數據摸底調查的基礎之上��,按如下步驟進行:建立領導體系和工作體系����、開展頂層設計和規(guī)劃、落實相關人員責任�、落實網絡安全等級保護制度、落實關鍵信息基礎設施安全保護制度�、落實數據安全保護制度、落實密碼安全防護要求�、開展安全檢測和風險評估�、制定網絡安全建設整改方案并實施���、落實“ 三化六防” 措施、落實事件處置機制�����、定期進行掃雷挖雷等�����。
當前�����,多種攻擊手法組合形成多層次網絡攻擊殺傷鏈�����,國家級有組織的高級可持續(xù)威脅(APT)攻擊日益猖獗�����,網絡攻擊因此而成為數字化建設面臨的最大威脅���,不斷涌現的技術對抗�����,要求我們要提升整體保護能力�����,利用體系的力量��,加強網絡安全綜合防御體系建設���。
軍規(guī)2:一切從實戰(zhàn)出發(fā)
古時士兵上戰(zhàn)場之前�,都要經歷嚴格的訓練�。然而,即使經歷再嚴格的訓練�����,士兵也很難完全施展所學���,能夠用出平時所學50%的士兵�,已然是天下難敵的士兵����。明朝一代名將戚繼光在其著名軍事著作《紀效新書》中����,點明了戚家軍獲勝的根本原因:“明其出于法而非泥于法�,合時措之宜也�。”
北京賽博英杰科技有限公司創(chuàng)始人 譚曉生
作為本次培訓的講師,北京賽博英杰科技有限公司創(chuàng)始人譚曉生�,此前在多家知名公司擔任首席安全官。譚曉生開篇就點明了網絡安全的核心精神:信息安全是對抗�����、是刺刀見紅的肉搏�,是在小黑屋里打群架,是沒有硝煙的戰(zhàn)爭;靜態(tài)的防御措施無法阻止蓄意的攻擊者,需要隨需應變�����,動靜結合�,以快打快���;CSO們做什么不取決于政策����、規(guī)劃,預算和個人意志�,應該取決于對手做過什么、還想做什么��、能做什么�;安全防御是盡力而為,是鞠躬盡瘁死而后已��,是一場資源��、時間和精神的消耗競賽���。
從中不難看出��,在嚴峻的數字安全形勢下��,CSO們面臨的將是一場場真實而嚴酷的戰(zhàn)斗���。因此他們需要學到的一條軍規(guī),正是“一切從實戰(zhàn)出發(fā)”�,從“戰(zhàn)”的需求角度來完成學習。
軍規(guī)3:跟上技術前進的腳步
在戰(zhàn)爭的天平之上�,新型武器的出現往往會打破雙方的實力對比�,讓其中一方憑實力碾壓對手���。而在今天�����,AI技術融入網絡安全戰(zhàn)的結果,就不僅使得攻擊更精準��、偽裝更巧妙�、實施時間更短,還最終會將人與黑客的戰(zhàn)爭演變成AI與AI的對抗���。因此�����,跟不上AI的技術演進速度����,其結果必然是挨打�。
北京航空航天大學計算機學院博導
中國人工智能學會語言智能專委會副主任委員 李舟軍
北京航空航天大學計算機學院博導、中國人工智能學會語言智能專委會副主任委員李舟軍教授在授課時�����,就堅定地認為:在2020至2030年的這十年里,機器學習��、人工智能�����、虛擬化�����、機器人會成為核心驅動技術���,人工智能����、決策系統(tǒng)�����、預警認知��、機器人員工會造就新的商業(yè)模式���,相應地����,數字安全領域也需要迎接人工智能帶來的新挑戰(zhàn)。
然而���,國內企業(yè)在應用大模型提升網絡安全能力時�����,卻會遇到一系列問題。首先是國企和央企多數與互聯網隔離�����,可能無法使用ChatGPT�;其次是國企和央企包含大量敏感數據和商業(yè)機密,聯網使用ChatGPT會造成數據泄露�;最后是使用ChatGPT等需要具備一定的技術能力和資源,國內企業(yè)的計算資源可能不足����。
基于以上痛點,李舟軍表示需要解決一系列問題�。首先要將大模型與企業(yè)內部數據進行對接�,提升企業(yè)的人工智能應用水平�。其次是對于企業(yè)內部的多源異構數據,均要有相應的大模型接入方案��。此外���,還要實現企業(yè)內部的私有化部署�,與互聯網隔離�,以避免數據泄露,全面保障數據安全����。最后,還要提升算力水平���,要能夠在單個顯卡(如V100���、A800、A10等)���,甚至消費級顯卡上(如RTX 3090等)的大模型部署與使用�����。
有了這些作為基礎��,就可以過渡到“本地大模型+本地數據”的CVP模式�����,通過類ChatGPT模型(C)�����、向量數據庫(Vector)和Prompts(P)的聯動�,解決大型語言模型(LLM)在實時信息和垂直私域數據處理上的挑戰(zhàn)。
而有了垂直領域數據與大模型融合做保障�����,就可以發(fā)揮大模型在數據標識方面的長項��。大模型可以通過隨機采樣得到符合現實的高質量文本�,再依照任務生產數據��。對于數據稀疏的領域�����,大模型可以作為數據生產的工具,生成大量高質量訓練數據�����,強化小模型能力���。這樣更利于實現業(yè)務數據分級���、敏感數據識別,也利于在日志審計�����、代碼審計中實現自動化����。
當前,人工智能(AI)技術的應用安全威脅已經開始顯現�。企業(yè)需要打贏一場“雙線戰(zhàn)爭”,不僅需要能夠阻止對抗性AI攻擊對已部署的AI模型所構成的威脅����,而且還要面對攻擊者利用AI技術發(fā)起各種類型的新攻擊。因此,對于CSO們來說�����,跟上AI安全的變化腳步�,成了一件至關重要的事情。
軍規(guī)4:動員一切力量參與安全保衛(wèi)戰(zhàn)
網絡安全的一大禁忌���,就是搞成鐵路警察各管一段的模式���,讓網絡安全戰(zhàn)變成企業(yè)安全團隊一個部門的戰(zhàn)爭。從這個視角來看���,網絡安全同樣需要進行一場數字化轉型�����,通過讓網絡安全成為數字化轉型發(fā)展的重要組成部分����,不斷提升與優(yōu)化效率��,在保障數字轉型快速發(fā)展的同時���,也實現了簡單��、有效�、省心�����、可靠安全目標的最短路徑�。
深信服首席安全架構師 林曉明
要發(fā)動一場網絡安全的“全員抗戰(zhàn)”,深信服首席安全架構師林曉明認為����,就要合理安排好數字化轉型下的安全分工,形成“1+N”數字化安全建設運營模式���,其中“1”是網絡和數據安全建設與運營的公共職能���,“N”是多個數字化安全的專業(yè)職能,建立在以數字化分工基礎上�,覆蓋云網端基礎設施自身安全、應用開發(fā)測試安全��、IT平臺(身份與訪問管理)安全����、大數據安全管理����、業(yè)務安全等�。“1”安全公共職能作為企業(yè)安全能力基礎,應持續(xù)發(fā)展���、不斷提升�,牽引并服務于“N”個專業(yè)職能下的需求識別與能力構建����,并最終形成公共與專業(yè)職能的協(xié)同推進、持續(xù)改善����,全方位保障企業(yè)數字化轉型。
此外企業(yè)在網絡安全的數字化轉型中�,應平衡安全平臺驅動的架構整合與安全能力異構開放的關系;加強以研判分析為目的有效數據采集����;構建以提升運營效率為目標的AI能力;建立云端資源與本地技術混合�、外部情報和本地數據協(xié)同、遠程專家與本地人員融合的工作模式����;引入新興數字化技術賦能網絡和數據安全工作。
綜合來看��,數字化轉型打破了獨立的業(yè)務煙囪����,通過大數據融合利用、應用一體化開發(fā)運行���、公共服務平臺化�����、基礎設施云化實現業(yè)務的創(chuàng)新���、敏捷和融合發(fā)展,而安全工作也將延續(xù)這一轉變��,從分散無序的建設運行�,轉變?yōu)橛行蚍止ず徒y(tǒng)籌運營相互結合;從單純的松耦合外掛模式��,轉變?yōu)榫o耦合和松耦合相互互補;從無目的數據驅動����,轉變?yōu)橛行祿诰蚝虯I驅動相互疊加的發(fā)展模式,并持續(xù)助力企業(yè)數字化轉型的不斷深化�����。
軍規(guī)5:實現網絡安全邊界打破后的重構
當前越來越多的企業(yè)因為要借助數字化轉型實現創(chuàng)新�,造成系統(tǒng)的復雜度不斷上升,傳統(tǒng)的安全邊界已經被打破����。安全威脅就不僅僅來自于系統(tǒng)內部,還可能來自于邊緣層異構終端��,同時由于調控對象增多�����,接入邊界也面臨著新挑戰(zhàn)�,數據廣泛交互共享也可能制造出新的安全問題。在這樣的條件下�,重構全環(huán)節(jié)網絡安全防護就變得極其重要。
電力行業(yè)因為同時面臨數字化和“雙碳”的目標����,新型電力系統(tǒng)建設必然要求數字技術與能源技術深度融合�����,新型電力系統(tǒng)對數字化技術的依賴程度更高,其源網荷儲互動方式發(fā)生的變化�,深刻影響了發(fā)電側、負荷側���、交易側等不同主體和電網企業(yè)間的信息網絡交互方式�����,網絡安全引入的風險隱患更大�����,可導致的后果也更加嚴重��。
國家電網有限公司副總信息師 王繼業(yè)
應對多重壓力���,國家電網有限公司副總信息師王繼業(yè)表示,當網絡邊界被打破之后����,國網公司的應對之策����,正是將網絡安全總體防護策略從“可管可控��、精準防護����、可視可信、智能防御”演進到“依法合規(guī)�、開放可信、實戰(zhàn)對抗�、聯動防護”,逐步形成覆蓋事前����、事中、事后全環(huán)節(jié)的全環(huán)節(jié)網絡安全防護體系��。
全環(huán)節(jié)網絡安全防護在網絡安全“三道防線”基礎上�,以網絡安全等級保護制度和關鍵信息基礎設施保護制度為指引,以防范發(fā)生大面積停電事故和重大網絡安全事件為安全底線����,秉承“安全支撐發(fā)展����,運行保障業(yè)務”的理念��,構建責任清晰�����、制度健全�、技術先進的網絡安全防護能力����。通過態(tài)勢感知、密碼平臺�����、攻防靶場���,夯實網絡安全基礎支撐����;通過風險評估���、風險處置�、實戰(zhàn)對抗、應急演練保障了常態(tài)網絡安全運營�����,最終全面保障了通信網絡安全��、主機安全����、數據安全。
軍規(guī)6:保持戰(zhàn)術縱深
現代戰(zhàn)爭講究戰(zhàn)術縱深�����,講求在包括地空一體����、全方位、全縱深的戰(zhàn)斗空間完成攻防戰(zhàn)��。防御時�����,能將兵力兵器作縱深梯次配置,保障部隊有持續(xù)的戰(zhàn)斗能力�,便于抗擊敵方大縱深的進攻和突貫;進攻時����,能組成多梯隊的攻擊部署,保障實施重點突破和縱深的連續(xù)攻擊����,粉碎敵方的防御。
北京燃氣集團教育技能中心副主任 王廣清
在本次培訓的講師����,北京燃氣集團教育技能中心副主任王廣清看來�,“三化六防”正是戰(zhàn)術縱深的最好體現。通過縱深防御體系�����,落實包括實戰(zhàn)化�、體系化、常態(tài)化的三化���,以及包括動態(tài)防御�����、主動防御���、縱深防御�、精準防護����、整體防控、聯防聯控在內的六防���,建立以核心業(yè)務系統(tǒng)和重保系統(tǒng)為保護對象的縱深防御體系���,形成層層有防控、層層有感知���、層層有預警的主動防御體系���,并持續(xù)推進零信任體系的建設,才是網絡安全致勝的關鍵所在�。
整個體系包含了人員�����、技術和流程三個部分����,因此要以“三化六防”為指導��,以網絡安全運營為抓手���,通過頂層設計和綜合治理��,推動人員����、技術和流程的整合����,構建分析識別��、安全防護�����、檢測評估、監(jiān)測預警���、技術對抗�、事件處置等能力�,以實現風險閉環(huán)和安全合規(guī)。
隨著數字技術進入系統(tǒng)創(chuàng)新和智能引領的重大變革期��,信息基礎設施加速向高速率�����、全覆蓋�、智能化方向發(fā)展,相伴而生的非傳統(tǒng)安全問題愈發(fā)凸顯�����,網絡空間安全風險正加速從虛擬空間向現實世界滲透擴散���。在這樣的背景之下��,CSO們也就愈發(fā)需要遵從這些軍規(guī)��,以提升自己團隊的實力����,滿足未來的網絡安全戰(zhàn)爭所需。
