數(shù)字經(jīng)濟(jì)將引領(lǐng)新一輪經(jīng)濟(jì)周期，成為經(jīng)濟(jì)發(fā)展的新引擎，但與此同時(shí)，急劇膨脹的數(shù)據(jù)存儲(chǔ)量、海量的數(shù)據(jù)流動(dòng)以及新技術(shù)的發(fā)展帶來(lái)一些伴生安全問(wèn)題，都對(duì)傳統(tǒng)網(wǎng)絡(luò)安全體系提出了很多挑戰(zhàn)。

9月11號(hào)，中國(guó)工程院院士方濱興、騰訊副總裁丁珂共同出席了2020騰訊數(shù)字生態(tài)大會(huì)CSS峰會(huì)“對(duì)話院士|產(chǎn)業(yè)安全”環(huán)節(jié)，這場(chǎng)對(duì)話由葦草智酷創(chuàng)始合伙人、信息社會(huì)50人論壇執(zhí)行主席段永朝主持。方濱興分享了他對(duì)于數(shù)字經(jīng)濟(jì)時(shí)代新安全體系的看法，他認(rèn)為新基建帶來(lái)的安全問(wèn)題可以歸納為“移物云大智”的伴生問(wèn)題，應(yīng)對(duì)的關(guān)鍵策略是要充分了解其宿主技術(shù)的特性，從而實(shí)現(xiàn)防御或免疫。方濱興也認(rèn)為，建設(shè)安全體系是一個(gè)超越技術(shù)層面的問(wèn)題，需要有“三制一案”，即從法制、體制、機(jī)制和預(yù)案方面做好工作。

丁珂則結(jié)合騰訊安全在產(chǎn)業(yè)安全實(shí)踐，分享了企業(yè)客戶在應(yīng)用新技術(shù)的過(guò)程中遭遇的安全問(wèn)題以及應(yīng)對(duì)策略，同時(shí)他也提出一個(gè)新安全觀：對(duì)于處于數(shù)字化進(jìn)程中的企業(yè)而言，上云是幫助企業(yè)兼顧成本、效率、安全的“最優(yōu)解” 。

安全問(wèn)題是伴生問(wèn)題，不存在通用技術(shù)防御手段

技術(shù)以日新月異的速度在發(fā)展，促進(jìn)經(jīng)濟(jì)發(fā)展的同時(shí)，也由于技術(shù)本身不成熟或者技術(shù)應(yīng)用不當(dāng)?shù)仍?，帶?lái)一些新的安全問(wèn)題。方濱興認(rèn)為，新基建可以概括為以大數(shù)據(jù)、智能化、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、云計(jì)算等為代表的“移物云大智”技術(shù)，“移物云大智”上的伴生安全問(wèn)題就是我們?cè)谛禄ㄏ旅媾R的安全問(wèn)題。他認(rèn)為，面對(duì)各種不同的新技術(shù)并不存在一種通用的防御方法。“安全問(wèn)題是一個(gè)伴生問(wèn)題，所以我們現(xiàn)在很多問(wèn)題需要找到宿主技術(shù)，它天然的脆弱點(diǎn)是什么，找到了這些，我們才能夠有一個(gè)很好的解決辦法。所以主動(dòng)防御也好，想免疫也好，前提都是你要了解你的宿主技術(shù)，了解它，你才能主動(dòng)防御它，對(duì)它免疫。”

丁珂認(rèn)為，通訊技術(shù)前幾代的更新?lián)Q代主要的受益者在消費(fèi)端，而5G時(shí)代到來(lái)最大的受益方是生產(chǎn)方，物聯(lián)網(wǎng)、自動(dòng)化、AI在生產(chǎn)領(lǐng)域已經(jīng)開始扮演很重要的角色，而這個(gè)時(shí)候面向的安全形勢(shì)也發(fā)生了改變，以往的安全邊界、交付周期已經(jīng)變得很模糊，安全變成了一個(gè)動(dòng)態(tài)的問(wèn)題。

“我們的企業(yè)客戶在接觸這些新技術(shù)的時(shí)候會(huì)特別困惑兩點(diǎn)，第一是以前非常清晰的數(shù)字化的安全邊界沒(méi)有了，第二是以前很多數(shù)字的交互是固定的，安全產(chǎn)品每一次升級(jí)節(jié)奏是非常清晰的，但是現(xiàn)在因?yàn)閿?shù)字已經(jīng)影響到生產(chǎn)的方方面面，研發(fā)系統(tǒng)、供應(yīng)鏈系統(tǒng)，還有生產(chǎn)過(guò)程中新出來(lái)的數(shù)據(jù)等等，全都是要去面臨安全的問(wèn)題，安全變成了一個(gè)非常動(dòng)態(tài)的一個(gè)環(huán)節(jié)。”

建立新安全體系，需要管理、人才、技術(shù)視角多管齊下

長(zhǎng)久以來(lái)，網(wǎng)絡(luò)安全從業(yè)者一直在嘗試去尋找一種能夠解決網(wǎng)絡(luò)安全挑戰(zhàn)的安全技術(shù)“銀彈”，但這種努力很可能不會(huì)有結(jié)果，很多安全問(wèn)題的發(fā)生并不是技術(shù)層面的原因，例如今年的RSA會(huì)議，主題就是“人類永遠(yuǎn)是網(wǎng)絡(luò)安全的關(guān)鍵和核心”。方濱興在這次的論壇上提出，試圖用一種通用技術(shù)去解決所有的安全問(wèn)題，這種方式本身就是不科學(xué)的。

安全能力的構(gòu)建不是單純的技術(shù)攻防問(wèn)題，方濱興認(rèn)為建立新安全體系是需要從管理、技術(shù)、人三個(gè)方面去設(shè)計(jì)。從管理的視角有“三制一案”，即從法制、體制、機(jī)制和預(yù)案方面要做好工作。“從管理的視角我們有‘三制一案’這么一種概念。要制定相關(guān)的法律，像《網(wǎng)絡(luò)安全法》現(xiàn)在也有了;要有各種安全應(yīng)對(duì)條例;要有體制，要有隊(duì)伍、要有機(jī)構(gòu)、要有測(cè)試部門——出了問(wèn)題、誰(shuí)報(bào)給誰(shuí)、誰(shuí)指揮誰(shuí)、誰(shuí)向誰(shuí)提供信息、誰(shuí)出來(lái)應(yīng)對(duì)等等，它要有一套機(jī)制。這個(gè)機(jī)制走通了還要有一個(gè)預(yù)案，也就是出了事情，我們要啟動(dòng)什么樣的應(yīng)對(duì)方法、什么樣的應(yīng)對(duì)手段、哪些部門應(yīng)該配合。”

方濱興還提出，企業(yè)要解決安全問(wèn)題，核心理念“萬(wàn)變不離其宗”，也需要從管理的視角、從人才的視角、從技術(shù)的視角來(lái)多管齊下。在這個(gè)看法上，丁珂和方濱興形成了高度共識(shí)，丁珂認(rèn)為企業(yè)需要企業(yè)經(jīng)營(yíng)的戰(zhàn)略視角構(gòu)建自己的安全免疫系統(tǒng)，需要從全景視角規(guī)劃安全，在系統(tǒng)開發(fā)的早期就介入。“安全其實(shí)不是絕對(duì)安全，是伴生安全，在合理的成本范圍內(nèi)要做到什么程度，需要跟著代碼、跟著生產(chǎn)系統(tǒng)‘內(nèi)生’。” 丁珂也提出，對(duì)于處于數(shù)字化進(jìn)程中的企業(yè)而言，上云是幫助企業(yè)兼顧成本、效率、安全的“最優(yōu)解” 。

在人才培養(yǎng)方面丁珂也分享了騰訊安全的經(jīng)驗(yàn)，包括和高校合作、通過(guò)安全競(jìng)賽“以賽代練”培養(yǎng)人才等模式。丁珂還特別提到在剛剛結(jié)束不久的DEFCON CTF上，騰訊安全科恩實(shí)驗(yàn)室斬獲了總冠軍，這是中國(guó)戰(zhàn)隊(duì)在這個(gè)堪稱“網(wǎng)安世界杯”賽事上取得的最好成績(jī)。

用數(shù)字化為企業(yè)經(jīng)營(yíng)提供助力是很多企業(yè)共同的目的，與此同時(shí)，安全也會(huì)成為一個(gè)常伴的問(wèn)題。對(duì)此，論壇主持人段永朝總結(jié)了本次對(duì)話的共識(shí)：在安全建設(shè)上的未雨綢繆才能讓一個(gè)企業(yè)在更加復(fù)雜多變的環(huán)境中占得一席之地。“企業(yè)需要持續(xù)更新安全理念、運(yùn)用最先進(jìn)的安全技術(shù)或者實(shí)踐中的一些成功和失敗的經(jīng)驗(yàn)，從而確保在數(shù)字化轉(zhuǎn)型的過(guò)程中心里更有底氣，走得更遠(yuǎn)。”