在10月31日举行的2023天府杯国际网络安全大赛开幕式暨2023天府国际网络安全论坛上,中国工程院院士陈鲸,公安部第三研究所副所长张巍,全国人大信息中心总工程师赵东明,四川天府新区党工委副书记、成都科学城党工委书记邱旭东,全国工商联副主席、奇安信集团董事长齐向东,中关村首席实验室首席科学家云晓春等人出席,聚焦数字中国建设背景下的安全保障体系构建、信息网络发展趋势、AI技术创新等行业关注的热点政策、应用场景、前沿话题。
齐向东表示,漏洞是难以避免的,数智时代的大背景下,传统安全防护存在着短板,要坚持走网络安全的体系化之路,构建起数智时代的网络安全防线。
数智时代的六大漏洞难题
漏洞是不可避免的。此前,齐向东曾提出漏洞的“四个假设”:假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠。在这种情况下,数智时代的网络安全面临着六大漏洞难题。
第一大难题是0day漏洞利用愈演愈烈,今年“天府杯”组委会也顺应当下攻防实战中的漏洞利用趋势,规定了比赛使用漏洞必须是0day漏洞;第二大难题是操作系统漏洞越补越多,会带来严重的漏洞后门风险;第三大难题是设备漏洞层出不穷,在网络安全“牵一发而动全身”的情况下,设备漏洞危害巨大;第四大难题是软件供应链漏洞数不胜数,供应链中每个环节都可能引入安全风险,且上游安全问题会传递到下游并放大;第五大难题是身份假冒漏洞成灾;第六大难题是API漏洞成为数据安全死穴。
传统安全防护手段存在“四大短板”
面对不断涌现、无处不在的漏洞,传统的碎片化、“打补丁”式的安全防护手段显现出了“四大短板”:一是资产盘不清,安全防线漏洞百出;二是风险看不到,难解内忧、难抵外患;三是攻击防不住,安全建设碎片化;四是应急处置不及时,往往容易酿成大祸。
齐向东表示,近年来,奇安信坚持技术创新、产品创新,总结形成了内生安全的体系和技术能力框架,并在2022年北京冬奥网络安全保障任务中经受住考验,兑现了“零事故”承诺。“零事故”不是零攻破,而是当个别终端、服务器或其他资产被破坏,只要快速采取措施,最后保障业务、数据不受影响,仍然是“零事故”。
四个层面构建体系化安全防线
“千里之堤毁于蚁穴,建设体系化的安全防线势在必行。”齐向东强调,政企机构要从系统安全、纵深防御、联动运营、人才强化等四个层面,建体系化的安全防线。
首先,要收敛攻击暴露面,从系统安全层面消除“资配漏补”安全隐患。资产、配置、漏洞、补丁是安全工作的基础,也是最容易忽略的环节。奇安信推出的网络资产攻击面管理系统,以“数据+运行”双核驱动的常态化运行模式,进行资产管理、漏洞处置等安全运行工作,减少防护盲区,收敛资产攻击暴露面,全面保障系统安全。
第二,建设纵深防御的内生安全体系,确保安全防护没有短板。网络安全能力通常由防护短板决定。单点、外挂式的防御手段,很容易让攻击者找到破绽,因此需要建设纵深防御的内生安全体系,当一道防线被突破,还有其它若干防线拦截攻击,安全防护从宏观管控到微观检测全面进行。
第三,构建三级联动的安全运营体系,及时发现、响应、研判和处置威胁。齐向东介绍,组织上的三级联动,涉及省、市、区(县);功能上的三级联动,涉及指挥系统、态势感知系统和运营系统;能力上的三级联动则包含高中低三级,通过环环相扣、无缝协作,形成有机整体,构成牢不可破的安全保障。
第四,做好“人”与“智能”的互补,缓解高水平网络安全专业人才短缺难题。一方面,可通过“天府杯”等网络安全主题大赛,挖掘、培养实战攻防人才;另一方面,企业可以拥抱大模型技术,解决安全专家短缺问题。
今年8月,奇安信推出了QAX-GPT安全机器人,是首个工业级大模型安全人工智能产品,可以全天候工作,一台机器人等于60多位安全专家,能够极大提升生产力,缓解人才短缺问题。
齐向东表示:“数智时代,用老眼光看不透新形势,用老方法解决不了新难题。只有坚持走好网络安全的体系化之路,才能在网络安全实战中立于不败之地。”