新基建创新研究院观点:
网络空间不仅成为科技利益,也成为了数字主权争夺和再分配的主战场。诸多高新技术的采用,又让内生安全风险和应对赋能攻击成为了新的挑战。为此,CSO们需要明确随需应变,动静结合,以快打快的网络安全核心精神,善于运用安全体系的力量,动员一切力量参与安全保卫战。随着AI不断融入数字安全,还要及时应对AI给数字安全带来的新威胁,在网络安全边界被打破之后,重构安全的新体系。
随着国家间对抗升级,网络空间不仅成为科技利益、 数字主权争夺和再分配的主战场,还成为了国家安全和经济安全的基础和保障,网络空间对抗向体系化、军事化发展。这使得全球网络安全事件频发,网络攻击手段持续升级,网络攻击目标不断扩大。
从技术层面来看,随着企业数字化转型步伐的加快和5G、 物联网、 人工智能等新技术的广泛应用,内生安全的风险和应对赋能攻击成为了新的挑战。行业由此需要无数数字安全铁军,而这些铁军的领头人——CSO(首席安全官)们同样需要一个能力提升的过程。
2023年12月3日,由工业和信息化部人才交流中心指导,CIO时代与新基建创新研究院主办的“第四期CSO(首席安全官)高级研修班”落下帷幕。我们从密集的课程内容中总结出CSO们需要遵从的六条军规,从中映射出了CSO们的能力提升之路。
军规1:善用体系的力量
古代作战讲究发挥战阵的作用,其本质不过是集结个体的力量,通过合理的体系发挥出合力。而在当下的网络安全战里,同样需要讲求体系化作战,坚持综合保障,形成合力。
资深网络安全专家 郭老师
作为本次培训的讲师,资深网络安全专家郭老师在授课时强调,要加强网络安全综合防御体系建设,提升综合防御能力。
而谈及强化网络安全综合防御体系的步骤,郭老师认为需要在加强战略谋划和顶层设计、开展网络与数据摸底调查的基础之上,按如下步骤进行:建立领导体系和工作体系、开展顶层设计和规划、落实相关人员责任、落实网络安全等级保护制度、落实关键信息基础设施安全保护制度、落实数据安全保护制度、落实密码安全防护要求、开展安全检测和风险评估、制定网络安全建设整改方案并实施、落实“ 三化六防” 措施、落实事件处置机制、定期进行扫雷挖雷等。
当前,多种攻击手法组合形成多层次网络攻击杀伤链,国家级有组织的高级可持续威胁(APT)攻击日益猖獗,网络攻击因此而成为数字化建设面临的最大威胁,不断涌现的技术对抗,要求我们要提升整体保护能力,利用体系的力量,加强网络安全综合防御体系建设。
军规2:一切从实战出发
古时士兵上战场之前,都要经历严格的训练。然而,即使经历再严格的训练,士兵也很难完全施展所学,能够用出平时所学50%的士兵,已然是天下难敌的士兵。明朝一代名将戚继光在其军事著作《纪效新书》中,点明了戚家军获胜的根本原因:“明其出于法而非泥于法,合时措之宜也。”
北京赛博英杰科技有限公司创始人 谭晓生
作为本次培训的讲师,北京赛博英杰科技有限公司创始人谭晓生,此前在多家知名公司担任首席安全官。谭晓生开篇就点明了网络安全的核心精神:信息安全是对抗、是刺刀见红的肉搏,是在小黑屋里打群架,是没有硝烟的战争;静态的防御措施无法阻止蓄意的攻击者,需要随需应变,动静结合,以快打快;CSO们做什么不取决于政策、规划,预算和个人意志,应该取决于对手做过什么、还想做什么、能做什么;安全防御是尽力而为,是鞠躬尽瘁死而后已,是一场资源、时间和精神的消耗竞赛。
从中不难看出,在严峻的数字安全形势下,CSO们面临的将是一场场真实而严酷的战斗。因此他们需要学到的一条军规,正是“一切从实战出发”,从“战”的需求角度来完成学习。
军规3:跟上技术前进的脚步
在战争的天平之上,新型武器的出现往往会打破双方的实力对比,让其中一方凭实力碾压对手。而在今天,AI技术融入网络安全战的结果,就不仅使得攻击更精准、伪装更巧妙、实施时间更短,还最终会将人与黑客的战争演变成AI与AI的对抗。因此,跟不上AI的技术演进速度,其结果必然是挨打。
北京航空航天大学计算机学院博导
中国人工智能学会语言智能专委会副主任委员 李舟军
北京航空航天大学计算机学院博导、中国人工智能学会语言智能专委会副主任委员李舟军教授在授课时,就坚定地认为:在2020至2030年的这十年里,机器学习、人工智能、虚拟化、机器人会成为核心驱动技术,人工智能、决策系统、预警认知、机器人员工会造就新的商业模式,相应地,数字安全领域也需要迎接人工智能带来的新挑战。
然而,国内企业在应用大模型提升网络安全能力时,却会遇到一系列问题。首先是国企和央企多数与互联网隔离,可能无法使用ChatGPT;其次是国企和央企包含大量敏感数据和商业机密,联网使用ChatGPT会造成数据泄露;最后是使用ChatGPT等需要具备一定的技术能力和资源,国内企业的计算资源可能不足。
基于以上痛点,李舟军表示需要解决一系列问题。首先要将大模型与企业内部数据进行对接,提升企业的人工智能应用水平。其次是对于企业内部的多源异构数据,均要有相应的大模型接入方案。此外,还要实现企业内部的私有化部署,与互联网隔离,以避免数据泄露,全面保障数据安全。最后,还要提升算力水平,要能够在单个显卡(如V100、A800、A10等),甚至消费级显卡上(如RTX 3090等)的大模型部署与使用。
有了这些作为基础,就可以过渡到“本地大模型+本地数据”的CVP模式,通过类ChatGPT模型(C)、向量数据库(Vector)和Prompts(P)的联动,解决大型语言模型(LLM)在实时信息和垂直私域数据处理上的挑战。
而有了垂直领域数据与大模型融合做保障,就可以发挥大模型在数据标识方面的长项。大模型可以通过随机采样得到符合现实的高质量文本,再依照任务生产数据。对于数据稀疏的领域,大模型可以作为数据生产的工具,生成大量高质量训练数据,强化小模型能力。这样更利于实现业务数据分级、敏感数据识别,也利于在日志审计、代码审计中实现自动化。
当前,人工智能(AI)技术的应用安全威胁已经开始显现。企业需要打赢一场“双线战争”,不仅需要能够阻止对抗性AI攻击对已部署的AI模型所构成的威胁,而且还要面对攻击者利用AI技术发起各种类型的新攻击。因此,对于CSO们来说,跟上AI安全的变化脚步,成了一件至关重要的事情。
军规4:动员一切力量参与安全保卫战
网络安全的一大禁忌,就是搞成铁路警察各管一段的模式,让网络安全战变成企业安全团队一个部门的战争。从这个视角来看,网络安全同样需要进行一场数字化转型,通过让网络安全成为数字化转型发展的重要组成部分,不断提升与优化效率,在保障数字转型快速发展的同时,也实现了简单、有效、省心、可靠安全目标的最短路径。
深信服首席安全架构师 林晓明
要发动一场网络安全的“全员抗战”,深信服首席安全架构师林晓明认为,就要合理安排好数字化转型下的安全分工,形成“1+N”数字化安全建设运营模式,其中“1”是网络和数据安全建设与运营的公共职能,“N”是多个数字化安全的专业职能,建立在以数字化分工基础上,覆盖云网端基础设施自身安全、应用开发测试安全、IT平台(身份与访问管理)安全、大数据安全管理、业务安全等。“1”安全公共职能作为企业安全能力基础,应持续发展、不断提升,牵引并服务于“N”个专业职能下的需求识别与能力构建,并最终形成公共与专业职能的协同推进、持续改善,全方位保障企业数字化转型。
此外企业在网络安全的数字化转型中,应平衡安全平台驱动的架构整合与安全能力异构开放的关系;加强以研判分析为目的有效数据采集;构建以提升运营效率为目标的AI能力;建立云端资源与本地技术混合、外部情报和本地数据协同、远程专家与本地人员融合的工作模式;引入新兴数字化技术赋能网络和数据安全工作。
综合来看,数字化转型打破了独立的业务烟囱,通过大数据融合利用、应用一体化开发运行、公共服务平台化、基础设施云化实现业务的创新、敏捷和融合发展,而安全工作也将延续这一转变,从分散无序的建设运行,转变为有序分工和统筹运营相互结合;从单纯的松耦合外挂模式,转变为紧耦合和松耦合相互互补;从无目的数据驱动,转变为有效数据挖掘和AI驱动相互叠加的发展模式,并持续助力企业数字化转型的不断深化。
军规5:实现网络安全边界打破后的重构
当前越来越多的企业因为要借助数字化转型实现创新,造成系统的复杂度不断上升,传统的安全边界已经被打破。安全威胁就不仅仅来自于系统内部,还可能来自于边缘层异构终端,同时由于调控对象增多,接入边界也面临着新挑战,数据广泛交互共享也可能制造出新的安全问题。在这样的条件下,重构全环节网络安全防护就变得极其重要。
电力行业因为同时面临数字化和“双碳”的目标,新型电力系统建设必然要求数字技术与能源技术深度融合,新型电力系统对数字化技术的依赖程度更高,其源网荷储互动方式发生的变化,深刻影响了发电侧、负荷侧、交易侧等不同主体和电网企业间的信息网络交互方式,网络安全引入的风险隐患更大,可导致的后果也更加严重。
国家电网有限公司副总信息师 王继业
应对多重压力,国家电网有限公司副总信息师王继业表示,当网络边界被打破之后,国网公司的应对之策,正是将网络安全总体防护策略从“可管可控、精准防护、可视可信、智能防御”演进到“依法合规、开放可信、实战对抗、联动防护”,逐步形成覆盖事前、事中、事后全环节的全环节网络安全防护体系。
全环节网络安全防护在网络安全“三道防线”基础上,以网络安全等级保护制度和关键信息基础设施保护制度为指引,以防范发生大面积停电事故和重大网络安全事件为安全底线,秉承“安全支撑发展,运行保障业务”的理念,构建责任清晰、制度健全、技术先进的网络安全防护能力。通过态势感知、密码平台、攻防靶场,夯实网络安全基础支撑;通过风险评估、风险处置、实战对抗、应急演练保障了常态网络安全运营,最终全面保障了通信网络安全、主机安全、数据安全。
军规6:保持战术纵深
现代战争讲究战术纵深,讲求在包括地空一体、全方位、全纵深的战斗空间完成攻防战。防御时,能将兵力兵器作纵深梯次配置,保障部队有持续的战斗能力,便于抗击敌方大纵深的进攻和突贯;进攻时,能组成多梯队的攻击部署,保障实施重点突破和纵深的连续攻击,粉碎敌方的防御。
北京燃气集团教育技能中心副主任 王广清
在本次培训的讲师,北京燃气集团教育技能中心副主任王广清看来,“三化六防”正是战术纵深的最好体现。通过纵深防御体系,落实包括实战化、体系化、常态化的三化,以及包括动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控在内的六防,建立以核心业务系统和重保系统为保护对象的纵深防御体系,形成层层有防控、层层有感知、层层有预警的主动防御体系,并持续推进零信任体系的建设,才是网络安全致胜的关键所在。
整个体系包含了人员、技术和流程三个部分,因此要以“三化六防”为指导,以网络安全运营为抓手,通过顶层设计和综合治理,推动人员、技术和流程的整合,构建分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置等能力,以实现风险闭环和安全合规。
随着数字技术进入系统创新和智能引领的重大变革期,信息基础设施加速向高速率、全覆盖、智能化方向发展,相伴而生的非传统安全问题愈发凸显,网络空间安全风险正加速从虚拟空间向现实世界渗透扩散。在这样的背景之下,CSO们也就愈发需要遵从这些军规,以提升自己团队的实力,满足未来的网络安全战争所需。