(原标题:实战引领,数字化挑战下的网络安全新体系)
演讲人:谢忱
各位好,我今天分享的议题是关于叫合作创新公赢挑战,关于网络安全的议题,刚才政府领导也多次提到,在数字时代下网络安全重要性。
网络安全跟数字化的发展是息息相关的,是相伴而生的状态,比如说从1990年的时候,那个时候刚刚有网络,刚刚有PC时代,那个时候的网络安全的工具主要集中在以破坏为目的的手段上,当然这个破坏不是逐利的,比如说在你电脑上加密,篡改,让你的电脑重启,带有恶作剧的攻击。05年真正互联网来临的时候,出现了网上交易,出现数字支付,出现在线游戏,网络安全的攻击开始呈现出逐利,开始有组织有目的的网络安全威胁,近年开始,网络正式进入到数字化时代,我们生活都跟网络相连接,网络和生活的边界没有那么清晰,网络安全应运时代进入新的阶段,无论我们在身边刚才提的新基建、生活,网络安全、信息安全等等,内容安全,甚至生活的安全都跟这个主题密切相关。
网络安全产业进化的速度以及状态,跟多个因素都有关系,而且是几何型的关系,跟数字化的程度相伴相生,跟内外部环境都有关联性,比如说当外部威胁的形势严峻,法律政策明确,同时内部网络安全人才充沛,基础设施充足,网络安全的进化速度是几何型相乘的状态去发展,因为网络安全跟数字化变化是息息相关的,当这些因素共生存在的时候,网络安全防御的方法理念、模式、技术都会进行全面的革新,进入空间的爆炸状态,所有的以前方式方法手段全部推翻,进入一个新的时代。它是这样一个挺奇特的产业。
网络安全这个产业还有它非常有个性的,有差异化的复杂性,这个原因第一个是因为它的场景是高度细分的,有网络安全、主机安全、系统安全、物联网安全等等多个方面,而且从技术上来说,它是交叉学科,所以这个代表了从底层它的复杂程度是比较高的。第二个刚才讲到的,它受外部因素内部因素以及数字化程度多重影响,以及网络安全本质是攻防的对抗,举个例子来说,我们都知道验证码登录一个网站,或者我们的支付网银为什么需要验证码呢?以前是不需要的,输入账号密码就可以了,后来初夏自动化程序暴力破解了,开始有了验证码数字,识别的目的是识别是机器还是人,后来攻击手段更高以后,利用图灵技术,黑客识别验证码,这个时候又出现了新的防御方法,又出现了新的壁垒,比如说去使用动态的验证码,去将数字和字母进行关联,让机器难以识别,这个时候攻击方又想出了别的办法,找一些大爷大妈,在一些密闭的场景里专门每天的工作输入这些验证码,进行暴力的破解这个时候防御的手段又变了,不仅是人机识别了,识别你是不是你自己,会采集平常咱们鼠标键盘的行为,去识别浏览器的操作特征等等,识别是不是你,网络安全的本质是攻防对抗的过程,背后是人和人的对抗,它将长期依托于人,依托于专家的知识。
最后一个特点网络安全是小样本的世界,这个小样本的世界,攻击的行为,威胁是潜伏型的,不是那么明显,供应商信息没有很好的机制,数据孤岛是比较明显的,这是网络安全复杂性的特征。
还有客观条件,比如说网络安全的权责归属问题,到底在一个企业里面,哪个部门谁负责网络安全,很难界定,到底是网络部门,还是开发部门,这是权责归属问题。第二个网络安全工作的价值衡量度,比如说如果一个公司它没有网络安全事件,或者说没有网络安全漏洞,代表它的网络安全工作做的好还是坏,这个事情很难判断,所以它的价值衡量也是复杂性的原因。以及业务和安全,或者体验安全体验,我们的用户体验产品的用户体验和网络安全事情的平衡,如何达到又方便我们的用户,又能够让网络安全的壁垒加高,这是一个平衡。
再其次是网络安全习主席在411讲话种提到网络安全是国家安全。这个产业有特殊性的存在。
在当下数字转型的情况下,怎么做新的安全升级呢?我们认为说,首先需要通过实战去检验你的网络安全的防御状态,因为当数据融合,大数据技术,云计算技术开始出现以后,大量的架构转换和业务重构之后,进入新的技术跃迁和新的爆炸宇宙的状态,这个时候需要实战的检验,第二块是网络安全需要像组件一样伴随着产品全过程全链条,有个概念叫安全的原生,以及通过数据的基础设施积累充分数据以后可以进行决策,安全升级有三个重要的因素去组成。
我最后介绍一下我们公司,我们公司做网络安全的,我们已经经历了六年时间,是C轮的公司,我们公司起源是中国最大的网络安全的从业者社区,我们基于这个社区提供基于众包网络安全的检测服务,基于大量的服务于600多家的政府、金融、制造业等等客户,我们积累了非常多的攻防的知识,我们有核心技术引领的,无论是私有化,还是云方面的网络安全攻防实战相关的产品。我们每年投入数千万的研发投入,做好了相关的云原生,为下一次网络安全做好准备,我们进入新的时代,当人工智能5G时代到来的时候我们网络安全整体解决方案,为我们用户保驾护航,帮助业务增长。大概就是这样。谢谢大家!