研发老兵：安全从业者必须从“社会化”角度去看问题

后互联网时代是数字化时代，各行各业都面临前所未有的机遇和复杂多变的挑战，对身处数字化转型的企业来说，安全终究是一个逃避不了、日益凸显、引领发展并驱动创益的命题。概括来说，世界上只有2种类型的网络，已经经历过网络攻击的，和将要遭受网络攻击的。

7月29日上午，在ISC 2021 第九届互联网安全大会数字化转型与安全数字化（CSO高峰论坛）上，山石网科研发副总经理李校俭发表了主题为《可持续安全运营的方法学》的演讲。在这场演讲中，李校俭提到了网络安全发展的现状和发展趋势，并表明只有可持续安全运营，才有可持续的安全：厂商需要做到持续监控、动态调整，做好“一个战略，五个维度”的工作，打造一支能够提供全方位专业化安全运营的团队。

以下是演讲实录：

网络空间和现实物理世界是深度融合的

大家好，我是来自山石网科的李校俭。

现在越来越多业内的看法是，厂商应该站在一个从业务的角度来看安全、看产品。接下来在我的演讲里，也会去承接这样一个话题。其实安全厂商都是提供工具，我们提供相应的方案、服务，还包括安全运营，最终的服务目标都是以业务为主体展开的，如果离开了业务，我们的安全其实没有一个落脚点。

首先套用一句网络用语——世界上只有2种类型的网络，已经经历过网络攻击的，和将要遭受网络攻击的，反映了网络空间跟现实的物理世界它有一个深度的融合。此前我们讲电子化、信息化，到现在经常提数字化。什么是数字化？它跟信息化的区别到底是什么？我认为，判断数字化和信息化的区别，可以从虚拟世界与物理世界之间的映射程度相关来看。之前在信息化时代，信息具备一定的流向性，所以我们看到通信也好，或者是一些信息化流程也好，它是逐步的从物理世界映射到虚拟世界里面。

而现在数字化，它是一个全面的映射，不仅包括流程、信息，还包括我们生活中的方方面面，全面的映射到了虚拟世界。并且，这种映射是一种实在的关系。比如说今天的数字货币，如果虚拟世界的数字货币被窃取之后，相应于你的物理世界，你同样面临一个非常实在的损失。

所以我对数字化的理解，是物理世界全面的向虚拟世界映射的一个过程。这就造成了我们现在所面临的网络攻击，它是一个泛在（广泛存在）的，它可以从任何一个点、任何一个方面对我们造成多种影响。

安全是一种顶层设计，是自上而下的，从安全法律法规的持续完善也可以看出来。从国内的体制来看，我国的安全市场是一个政策市场，它有着内在的国家意志般的驱动力，持续的让我们去完善安全领域的法律法规，从顶层设计的角度，来牵引整个社会注重安全。所以我们可以看到，加强关键信息基础设施安全保护逐渐成为社会共识，全社会数字化转型加快背景下，全体也将着力提升数据安全防护能力的趋势。

而对比西方一些国家，安全成本更多由个人或者个别实体自己承担，安全成本相对更高，这样促成一些安全领域的发展更加快速。整体来看，我国安全领域的特点更多的体现在一个是国家意志，一个是顶层设计。

安全态势全景，挑战持续变化

另一方面来看，安全态势的挑战，是在持续变化的。

首先是攻击团队在持续专业化。技术的发展，它一定是两面性的。所以辩证的看，攻击手段一定是持续的在更新，团队也会逐步的专业化。一方面是商业利益的驱使，网络攻击它所产生的经济损失，反面即经济的获取，会越来越高。这导致攻击方会不断加大投入，促使专业性技术能力去提高。

同时，网络攻击的影响面在逐步扩大，影响深度是越来越深，损失越来越大。刚才我们讲数字化时代的一个特征是什么？是全面的映射。这导致生活中的方方面面都会跟虚拟世界发生关系，网络攻击也会泛在化，影响面和影响深度，必然在深化和扩展。还有，数字化以后，数据安全，也会存在一个持续的风险。

这里引用一份2020年CNCERT发布的报告，不同的人有不同的解读，我提出一些我的视角，供大家参考。整体来看，数据是有升有降的。一方面反映了我们安全治理是有一定成效的。数据下降，表明现在的安全攻击技术，在不断的迭代，所以一些传统的安全攻击技术、防护手段，慢慢的变得不是那么适应新的时代，有些攻击呈现一个下降的趋势。

另外一方面，因为技术在迭代，所以一些新型的攻击会持续不断的去增长，同时结合一些社会热点或者是经济政治的因素，导致攻击的焦点、攻防焦点也在转移。360也在提安全能力的建设，包括360有这么长时间的数据积累，包含各种不同的维度。这些较全的安全事件的数据，可以用来做云脑的安全赋能，让安全防护变得更加可持续。但是依然存在难点，就是有了数据后，怎么样去从不同的视角去解读这些数据，这个是比较困难的一点。

下面几页PPT也是从报告里引用的，我主要提几个关键词。

第一个关键词是“社会化”，什么意思？安全从业者已经进入到我们社会生活的方方面面了，因为数字化的进程，它带来了一种泛在的互联，泛在的映射，这导致我们被推到这样一个社会化的层面，安全从业者必须从社会化的角度去看问题。无论是我们在做攻防对抗，还是说以业务为导向去做安全战略的设计，已经不能简简单单的从技术、产品的层面去思考问题，需要我们进入到一种社会治理的层面中去。包括很多时候，我们安全防护的思考可能得从舆情的角度、政治的角度、经济的角度出发，现在很多攻击都擅长利用社会热点问题，作为防守方，如果处理不好，也会引发相应的社会问题。

第二个关键词，是从经济的角度。这是去年勒索病毒传播的一个情况。我记得2017年的时候，虚拟货币-比特币曾经有一个上涨的过程，其中有一个助推因素就是勒索病毒。那时候勒索病毒早就存在，但是是在那个阶段被人们所认识，而在这个过程勒索病毒也推高虚拟货币的市值。从这两件事情我们可以看到勒索病毒的发生跟资本市场的相关性。所以说有时候我们也可以从经济的角度去研判下未来攻防的一些趋势。

第三个关键词，是政治性。我们看到在上图的攻击事件中，伊朗出现了两次，包括2010年的震网病毒，攻防跟政治也是有一定的关联性。国家和国家之间热战的可能性是比较低，但是网络空间的对抗并没有趋缓，而且在逐渐的恶化。所以说我们在做安全攻防分析，或者是当我们在负责国家层面的安全运营的时候，实际上是应该考虑一些政治因素的。

总结概括，我们的攻防，我们的安全防御，不仅仅要从技术的角度去考虑问题，更多要考虑业务的因素，甚至还要上升到政治、经济、社会性。主动的也好，被动的也好，我们被推到了这样一个视角来去看安全的问题，所以引出了山石网科提到的以可持续安全观为引领的一系列技术理念，其中比较核心的是可持续安全运营技术理念，只有可持续安全运营才有可持续安全。

这句话其实对安全做了一个具体化，因为安全是要有一个主体的，没有主体，安全落不到实处。安全运营其实隐含的深层意思是说，安全主体应该是安全所防护的业务，或者是一个正常运转的实体。这个是安全运营的一个主体、一个核心。

可持续安全运营的方法学

从病毒防控的联防联控机制，是可以得到一些启示的。2020年初，疫情刚刚爆发，正常运转的社会，就像一个正常运转的公司，突然一下被按了暂停键。今天好像早上回龙观也有确诊，马上就封锁了，疫情还没有结束，可能零星的在某些区域仍然会发生，但是现在我们整个社会的运转相对来说变得更加平稳了，原因就是我们建立了常态化的机制。它是在持续的运营，持续的防控。这就相当于我们这种战备状态拉长，可以迅速缩短战时。所以这种机制的运用最终导致持续的这种技术的应用，让我们在面临安全威胁的时候，能够迅速做出响应，保证业务安全的、稳定的、连续的运行。

结构化的看，我们可以建立一个“PPDR”模型，就是持续的监控。在这个基础上，我们要持续去动态的调整。不管有没有发生攻击，如果我们可以做到持续的监控，动态的调整，就可以做到如疫情防控般，自由的去流动，不会一下子暂停，所以这是我们从疫情防控里面得到的一个启示。

其中，重点提一下组织领导的加强。这不是一句空话，防控成本相对于攻击来说更高，是因为攻击是点对点的，一点突破，就可以突破所有环节。但防护则是相对被动的。所以你需要织一张很大的网，以体系化的运作，从方方面面做到联防联动。没有一个顶层设计，没有从上到下的统筹，安全可能就是一个网孔很大的网。加强组织领导就是顶层设计。

另外，这里面还隐含着一个时态的问题。原来的时态是分为事前、事中、事后。刚才我们提到防控过程需要有一个持续评估、动态调整的过程，来加强战备状态。但是这个战备状态不可能无限的加强，理想状态是，不管事前、事中、事后，随时都是备战状态。不过需要我们平衡的问题是成本的考量，就是发展与成本的关系，效率与公平的关系。万事都是这种平衡，所以在这个时代当中，我们也需要去重视持续的监控，持续的评估和动态调整环节。

我们再来看一下安全战略，我们是以业务为导向来设计我们的安全战略，一定是服务于你安全运营的主体、业务。我们提的安全战略、安全目标，它跟一个公司运营一样，包含战略制定、战略分解，逐层递进。安全战略是组织起所有维度的一个核心。

从工具层面看，山石网科提出了可持续安全运营的一些关键技术因素，即“全息、量化、智能、协同”四个方面。全息和量化，它解决认知的问题，我们做什么事情如果认知有误的话，那么方向肯定也是错误的。智能和协同，虽然说有组织和人的参与，但最终应该是一个人机结合、逐步优化的过程。

单纯基于技术，这些理念是没有内在逻辑的，所以我们要将安全服务于我们的业务，服务于我们的制度，将工具和管理结合，将制度和流程结合来看。最终这个制度和流程，一方面是安全制度、安全流程，根本上是业务制度、业务流程。这两个东西结合起来，就赋予了工具一个内在的逻辑，最终保证业务安全运营是一个有内在逻辑关系的组织。

还有团队维度，在搭建安全运营团队上，组织结构要清晰，明确各岗位的角色和权限，人才和能力培养要建立常态化，能够及时响应突发安全问题。

这么来看工具、流程、制度在团队中看起来好像比较完整，但是如果不加一个时间维度的度量，这三者的组织可能是松散的。所以说我们从反应速度，从它的持续有效性，还有它对未来的预测能力，这三个时间维度去衡量前面讲的三个维度，会形成更加的紧的耦合，所以说这几个维度是缺一不可。

最后资源的维度，其实是追求一个平衡。业务连续运转，正常运营是需要资源保障的。安全有成本，如果发展离开了安全，也会带来损失。

组织部门，我们稍微延展下。安全运营是分层次的，包括客户内部也是如此。比如我们去卖产品，一般是和网络IT部门交流，但很多时候对客户的业务实际上是不理解的。一般客户会提很多运维的要求，比如时延要低、稳定性要强。很多时候部署过去的安全产品和方案和上面服务的业务是脱节的，如果要真正实现可持续安全运营，还是需要在往上走。

我们要结合像金融行业里面这种业务的要求，还有风控的要求，然后去设计制度流程，最后把我们没有逻辑关系的工具单元组织起来，加上外围的安全服务，把技术、运营整个盘活起来，再加上顶层设计，安全领导机构。

“全息、量化、智能、协同”，是一个跨栈的，会涉猎到数据的空间、云的空间、网络的空间，甚至包括终端、边界。“全息、量化、智能、协同”不是某一个点，需要跨到所有不同的空间维度来实现。

另外借用DevOps的流程也可以说明一二。现在网安企业要跟用户深度结合，要做到可持续的安全运营的话，不能仅仅停留在提供一个零件的层面上。我们既然要面向业务的去设计安全战略，就必须是一个持续优化的过程，持续保障。它体现了一个运营主体的连续性、安全性、独立性。

下面举了一个实例，时间关系我不详细展开了。它大致的意思是说基于“PPDR”的模型，可以把没有逻辑关系的单元，通过制度流程设计，还有防控体系的设计，从顶到下，构建联防联控的机制，有了逻辑关系，最终可以应对持续的高级威胁，高级威胁在整个攻击链的每个阶段会对你造成影响，所以以上是我们建立的一个护城河。

最后是我们的可持续安全观，山石网科作为一家安全企业，我们去年也提出这样的技术理念，那么最终它是追求一种平衡发展和安全目标，一切的事物也都是这样。

最后总结一下，网安治理虽然说成效显著，但是还是任重道远的。云网数全栈全融合，我们追求的是一体协同。可持续安全的运营最重要的是需要平衡并举。

我的演讲到这里就结束了，谢谢大家。