互联网+ 电子商务 智能家居 地理信息 高端装备 信息安全 3D打印 工业4.0 人工智能 光伏 新能源汽车 消费品 集成电路 移动支付 汽车 数据中心
中国新能源汽车G20峰会(2017)
当前位置:首页 > 产业动态 > 实时动态 > 正文

启明星辰的副总裁潘柱廷在“2017中国网络信息安全高峰论坛”发表主题演讲

发布时间: 2017-04-21 14:46     来源: 满天星

   2017年3月16日,主题为“共享时代的网络信息安全”的“2017中国IT市场年会——网络信息安全高峰论坛”在北京香格里拉酒店隆重举行,携手业界大佬围炉网络盛宴,共议安全大势。启明星辰的副总裁潘柱廷发表题为:“探索网络安全未来”的主题演讲。
  以下为演讲实录:
  
启明星辰的副总裁潘柱廷
 
       非常高兴跟大家分享最近的一些思考,因为这里面谈供给侧,大家都知道现在非常热的一个话题,从我们国家今天的供给侧改革,通过供给侧改革改善了我们国家整个经济的品质,谋求更好的发展的效率。
  在这样的话题下,我这个点就是提到在所谓的网络安全产业,也许谈供给侧改革不是很妥当的点,也就是说如果想让网络安全产业得到比较好的良性的发展,可能并不是在抓供给侧,也可能是抓别的地方,这是今天主要想论述的点。
  从供给侧来说,在座的大家基本上都是供给侧,这是我的判断,我认为在座的来自于甲方机构的人不超过10个。我相信这个判断应该是准的,也就是说我们作为供给侧来说,作为产业这样的环境来说,网络安全产业是个非常热闹的产业,但是它的盈利能力其实又是一个非常弱的产业,我们每年有无数的大大小小的会,一百个人出现在五百个会场,我们是经常被别人调笑为自娱自乐的这么一个产业。如果我们只是着眼于我们所谓的供给侧,其实我们就是在自娱自乐,我们会觉得我们开发的新技术对产业有很大的贡献。是这样吗,不知道,比如说09年开始APT这个词成为产业界的热词,包括从国外的产品开发到国内很多安全厂商对这一类产品跟进的研究和开放进而到销售,这样的技术上是非常有价值,也非常高深的技术的进步,给产业带来了真正的利润的增加吗?没有,真的没有。
  用户如果要采购你的防APT产品的时候,他会砍掉其他的安全投入来买你这个产品,这就是我们供给侧的一个很尴尬的地方,我们供给侧不管是每个厂商、科研机构,包括相关的产业的参与方,我们在努力的改进技术,宣传技术,觉得要多多的宣传自己,在各种地方标榜自己得了各种第一,最后真正在产业上没有落实,这个实指的是货币的真实性,没有真正给产业带来我们预想到的那样的推动力。
  所以我们单看供给侧这个点就是有问题的,其实我们应该看二维,就是我们要看需求侧,感觉供给侧不是主要的问题,应该在需求侧。其实我们国家在讨论宏观经济的时候,其实也是在需求侧和供给侧两方探讨这个问题,从网络安全的产业来说,确实每次的供给侧所谓的新技术和新产品的变化,确实感觉到对需求侧的拉动是有限的,真正对产业发展的期望,确实是应该基于需求侧,但是需求侧想要增加投入,多买产品,我指的是采购总量来说,供给侧没有什么话语权。你还得操心最低价中标,还会有人用一份钱来投标。
  这个时候,你去改进技术的时候,当出现这样的一分钱投标、一块钱投标,你会感觉你的技术的进步是个很无助的投入。这里面我们看到供给侧和需求侧这样的局的时候,会发现解不开,因为可能这个方程式也许少了一个,所以使得这个局很难解开,像我们搞教育的人经常会喊老师和学生是一对难以解开的矛盾。老师不敢给学生挂科,因为学生还要给老师打分。
  那怎么解开这个局,就引入另一方,就是用人单位。当老师和学生一起看用人单位的时候就会发现老师和学生至今不是一对矛盾,而是一起去跟用人单位产生三方博弈关系。在供给侧和需求侧来说,其实我们大家都知道,真正推动网络安全产业的总量提升的,不是供给侧的技术改革,也不是需求侧的自我觉悟,而是来自于威胁侧的攻击效果。
  每一次的安全的大事件,都会对整个安全的需求有个真实性的提升,比如说本世纪初的几次中美黑客大战,基本上就是让政府的网站的安全需求变成了真正的需求。比如说2009年的震网病毒,真正这种攻击的压力,并不是ATP技术带来的变化,而是攻击的压力使得关键基础设施,特别是公共的安全重新被提上了需求的范畴。斯诺登爆出来的这些东西,成为我们开始关注以国家为主体的攻击方的客观性的威胁的现实存在。徐玉玉这样的一个非常悲剧性的事件,使得或者是说促使相关的法律法规迅速的推出,也促使了整个社会对个人信息和隐私的保护性需求的提升,迫使很多机构开始在这方面不得不进行投资,其实这些坏事儿,好像才是网络安全产业总量提升的动力。也就是说我经常讲的安全三要素,业务自身的发展、攻击和保障措施三方的错综关系不得不把它拧在一起来看整个对产业的作用。
  其实我们并不希望真正遭受惨重的代价再去做应该做的那些安全防护,也就是说对于产业良性的推动,还是应该有另外一个力量推动,当我现在零维的点变成了一维的线再变成了二维的面,你再加一个点,这个点就是监管层,把一个三个点组成的二维的关系变成一个四个点组成的立体的三维的关系的时候,我们通过四点三维关系去看整个产业的力量的格局,感觉好像对我们现在的产业的解释可能会更准确一点。
  其实,这个时候我们会发现,推动产业总量的提升的时候,还有一些力量是客观的。有一些时间点是具有标志性的,比如说2003年的27号文,明确提出了等级保护、风险评估、测评等等相关的要求,把它上升到了一个国策的角度去推动,等级保护制度的推行是一个对整个安全产业来说是关键性的,真正提升了整个安全需求的总量,也提升了需求方也就是甲方的安全水准。
  关键信息基础设施这样的概念的提出,当然最早提出的概念是美国提出的概念,这个概念被我们所接受,然后去强调加强关键基础设施的防护,这次的《网络安全法》里面也进一步的明确了安全基础设施这样保护的责任。
  其实最近经常会跟记者谈论去年的419讲话和《网络安全法》,因为在记者采访的时候希望从我嘴里面听到419讲话和《网络安全法》对安全产业的一个超大力的推动,好像把网络安全产业推上了这样的一个快车道的感觉,我想在座的乙方们,你们感受到了吗,其实我相信没有。2016年网络安全的业务有爆增吗?没有,甲方的安全需求投入大规模增加吗?没有。为什么没有?也就是说我们现在的419讲话这样的政策性的引导,《网络安全法》这样法规推出还没有落地的转化为一种强制性的合规性要求。所谓的网络安全法的落地,包括419讲话相应的精神的落地,不是说大家开开会,谈谈体会就真正有用的,要把它落地成合规性要求,这是我的建议,也就是说整个安全产业想要走入一个新一轮的快速的良性发展道路,关键点绝对不是供给侧,关键点在需求侧,就是需求的真实增加和需求结构的良性调整,而要触动这种需求增加和良性调整,靠自觉是不行的,是需要从监管侧产生强大的压力,才能够完成这件事情。
  所以我们现在在与合规性要求、等保的方面,因为我也听到过很多这方面的声音,我认为合规不能减轻,等保不能放松,绝对是要加强,但是怎么加强,加强在哪个点上,也就是说在监管侧的监管,更应把监管的压力要从监管乙方供给侧将其精力大大的投入对甲方也就是需求方的压力上。
  这个供给侧改革不是重点不是唱反调吗?这个不是,解释一下为什么,因为现在我们经常所说的国家整个经济的供给侧改革,说的是宏观经济,也就是我们国家的范畴相对来说有一个自完备的经济循环,这个里面谈的经济问题现在当前的重点问题,我非常同意是供给侧改革问题,如果作为一个微观经济、企业法人和个人,作为财务经营发展的话,是个微观的经营问题,它的现在主要问题我认为至少从企业来说,我们作为一个企业的自身的经营也是个供给侧的问题。
  但是如果看网络安全产业不是个宏观经济是个中观经济,不是个可完备的有相对比较封闭的经济循环的经济体,不得不跟IT产业和其他很多产业产生很多的边界交叉,所以是个边界极度开放的产业环境和经济现象,而这个经济现象,很显然,网络安全产业不是一个低效能的产业,不应该在供给侧改革被裁撤的产业,这时候谈论中观经济的关键点和谈论宏观经济的关键点是可以不一样的。
  所以,网络安全产业所谓的供给侧和整个宏观经济的供给侧不是一个,这要区分一下。再回到模型,我管它叫三棱锥和四面体的产业模型的解释,用这种模型来解释这个现象,我认为现在的关键点用1234来阐述我的关键和建议。
  第一,在这个三棱柱的四个点、六条线、四个面,在这个关系里面,最关键的一条线是需求侧和危险侧的之间的关系,这条线是整个其他六条线的推理的基础,也就是攻击对攻击对象的攻击手法、攻击方法、攻击水平到底在什么地方,需求侧对攻击侧的诱惑到底有多大,其实这里面要对这根线,当前和未来的全局性和前瞻性的认识,尤其是监管侧,由于对于监管实施对整个四面体有完备的责任,需求侧只对自己的单点有局部的责任,供给侧只对自己和需求的契约有契约责任。所以监管侧对整个的四面体有个完整的责任的情况下,所以对需求侧和威胁侧的当前和未来的认识,全局性和前瞻性的认识,各方可以都有,但是需要监管侧把它搞清楚,搞清楚以后怎么办,就要处理第二根线,就是监管侧对需求侧产生的一个新的结构性的压力。通过强制的合规力量驱动需求侧认识到威胁,增加投入,而且调整需求结构。
  三是当需求侧真实感到压力之后,监管侧的压力和威胁侧的压力开始产生需求,这个需求通过市场化的方式,去调动供给侧给出有效的供给,去满足需求侧的防御要求。这个过程可以用市场机制做,调动需求要用强制力量,而满足需求要通过市场和技术的方式让最好的东西去满足需求侧。
  四是这个过程中监管侧也可以给供给侧顶的指导和监管,这个监管是要监管供给侧提供合规和合质量的好产品,淘汰很明显不符合条件的劣质的供应商,这个时候监管侧要有划底线的能力,不能让极度劣质的供应商参与到这个市场里面来,这是安全市场和普通的一般性市场区别。监管侧对供给侧会有这样的管理和监管。
  最后,就是需求侧在面对威胁侧和监管侧的双重压力下形成真实的需求,调动供给侧给自己补充能力,形成有效的对抗和防御能力以后,去完成对威胁侧的实力对比的相应的增强。
  这是我认为现在我们整个产业这样一个良性循环所应该转的步骤,这里面最核心的应该就是第一、第二,这个东西哪些是可以看到的最关键的需求,就是各方形成所谓的共识,一个确实是需求侧的IT形态日益复杂,现在还抱着以前的等保不赶紧出新的等保的话,打不上,太迫切了,比如说关于云计算、大数据,关于物联网,对等保和合规的新的要求,这确实是要赶紧赶上,哪怕不完美,能够迅速的做起来。
  再一个充分的认识到威胁侧的攻击手法的多样性,对他的认识,对ATP攻击的认识,对黑产攻击的认识,同时认识到自己需求侧防御体系的不足到底在哪,现在很多产业界一开会,一说需求侧防御的变化,经常就说原来的产品要丢掉要换新的,这个方式是不对的,原来的安全防御体系是不够的,但是并不是需要丢掉,是需要补充和做结构性调整。
  另外,这里面要强调的,真正做对抗和防御的不是供给侧和攻击侧的对抗,供给侧是通过需求侧完成对抗,对抗是发生在需求侧和威胁侧之间,不要觉得安全厂商和黑产去对抗,不是,是甲方在和攻击方对抗,这个逻辑关系要搞清。
  第一,要真正形成这样的共识,最终的目的是触动需求侧产生真实的需求。这里面建议监管侧应该给需求侧什么压力?因为压力有很多,我这里面先简单谈到这四个压力,我认为是比较突出的,首先要进一步明确甲方的安全责任人,今年我们公司严总是两会代表,今年调研班子在帮助严总做提案起草的时候,也听了严所的建议,再提首席信息安全官的重要性,我们经常会说,一把手负责,你还会经常听到全员负责,还会听到这个说法,安全这个事情要业务部门负责。
  当我们真正操作安全工作的人,有操作经验教训的时候,你会知道一把手负责就意味着其实是没人负责,因为一把手管所有的事情,所以你网络安全这个事情一把手负责,这句话跟没说一样。
  第二,全员负责,当然是没人负责。业务部门负责其实也是没人负责,但是业务部门同时负责业务和安全的时候,在选择的时候一定抛弃安全而选择业务,把有限的资源投入到业务上。
  所以其实一把手负责、全员服务、业务负责都不是真正的负责,什么才是真正的负责?找一个副总,真正管这件事情,他可以是兼职的,但是这个角色是明确的,一把手负责会通过一把手把这个责任交给首席信息安全官来落地这个责任。他既然有了这样明确的副总级别的责任人,往下所延伸的预算、人员编制、工作制度等等就会围绕他所展开,没有这样的制度保障,所谓的负责、所谓的责任都是讲空。
  在他这样的责任人需要的重要的资源里面,一个关键性的资源就是财务总量的投入,也就是说IT安全占整个IT投入的比例,这个其实需要我们监管方明确的向重大机构、大型机构要明确的提出来,应该成为一个死杠杆,是一个下限,我也知道有些机构开始调研这样的比例,从我个人来说,这个比例真的是应该要保持在10%以上,到底哪个比例合适还可以再探讨,但是不能没有这个数。
  第三,增加安全岗位。在很多谈论安全人才的会上都会说,网络安全人才每年的缺口有几十万,胡扯!你看到哪个大型机构大量的招聘安全人员了?根本没有。那些安全岗位的缺口需求全是虚的,为什么是虚的?把这些岗位都用在业务发展上了,不把岗位放在安全人员上,所以要真正的产生真实的安全人员的需求,必须强制性的增加安全岗位,特别是关键基础设施机构、政府和敏感机构,必须明确设置这样的岗位。
  当我们自己的岗位人员不能够满足自身的需求的时候,而你这种安全需求又是一个波动的,不能完全用自身队伍满足的时候,自然就会出现第四个需求,就是安全服务的采购需求,这个时候现在并不需要强制性的增加安全产品的采购比例,我认为现在要明确安全服务在安全采购中的比例,现在这个比例大概是20%左右,我认为是一个比较好的目标,应该把这个目标设定在40%,因为我们都知道最终完成安全对抗的是靠人的操作,这个人的操作或者是由我自己的人,甲方自己的安全岗位人员完成或者是通过采购服务,由乙方的安全服务人员完成安全的对抗性操作。这样一个采购的投入是必须的。我认为现在应该把我们20%的服务占比,而且这20%的服务占比很多还是集成服务,不是真正的对抗性的专业安全,应该把20%的比例提高到40%,我们设计出这样一个目标里面,这些服务内容应该增加这种攻击性检测的服务需求,也就是定期的评估攻击检测演练、演习,当这样真实性的去模拟危险侧和需求侧关系的这种服务更多的去实施时候,能真正把我们安全投入的闭环的效果反馈给得出来,近期的评估,攻击检测、演练、演习。
  当这样真实性的,去模拟危险侧和需求侧关系的这种服务,更多去实施的时候,它能真正把我们安全投入的闭环效果反馈得出来。我想这样才能真正形成整个产业最后真的是看重安全价值本身,去把该投入的钱投入到安全价值产生的地方。让乙方的安全服务人员,能够在乙方的厂商内部觉得自己的价值跟做安全产品生产的人的价值,对企业的贡献能够等量起来。我想这才是一个对整个产业,用这样一种四面体的结构关系去理解,才是推动我们产业往良性发展的解释方式。
  因为前面的思考,应该是三棱锥的思考,主要讨论的是结点和六个棱之间的关系。它更多强调是顶点和顶点之间的关系,那其实作为产业的解释来说,还有一种方向。大家都知道作为数学来说,四面体的顶点和这个面托普上是对称的。那另外看待产业呢,就是用四面体去看待产业。那看的是每一个面自身的结构和一个面自身的总量和面的分布。这个有机会,在另外一个场合跟大家分享这方面的思考。
  希望今天这样的一个想法,能够对大家有所冲击,有所帮助,谢谢!

收藏