第一章 探索數字世界的攻防之道

1.網絡安全守夜人杜躍進

我們正在進入數智時代，傳統意義上的以產品為主導的“安全”越來越不能適應時代的發展，未來安全必然是以能力為主導；要有大安全理念，用新思路和方法擁抱未來；大數據時代下的數據安全治理需要以數據安全能力成熟度模型（DSMM）為抓手；建立高校和產業界的合作關系，走上網絡安全人才培養的可持續發展道路。

——杜躍進

較早一批網絡人

我大約從1994年開始跟著研究生導師建設校園互聯網，從而開始接觸互聯網安全。那時，哈工大（哈爾濱工業大學）的每個郵件服務器、域名服務器和BBS服務器等，每天都面臨著大量的網絡攻擊。我作為這些系統的建設者和管理者，從一開始就需要面對這些安全問題。從1999年博士畢業到現在，我一直從事網絡安全工作。

探索未來安全方向

中國有一句話叫“從來都沒有什么歲月靜好，只是有人替你負重前行”，網絡安全正是這樣，得益于背后的一批持續努力著的守護者。我們正在經歷“第四次工業革命”，全新的技術和業務革命將快速改變我們的世界，各個領域發生快速變化所導致的不確定性帶給我們各種各樣的焦慮。教育上，我們不知道未來培養人才的方向。行業政策、法律、標準、產業、技術、教育，統統都受到沖擊。因此，從安全行業的角度來說，我們需要盡可能多、盡可能早地“看見”未來。這種“看見”未來的能力，需要在行業里有長期扎實的積累、持續深入的研究和跨領域的寬廣視野。

數智時代來臨

在疫情影響下，信息化、數字化在2020年呈現出新的發展趨勢，步入更高階的數智化轉型期，數字安全創新也將上升為數智時代的“內需”與“剛需”。可以說，未來必然是數智時代，其基本規律是軟件定義、泛在互聯、數據驅動，其更底層的規律是物理世界、數字世界和人類社會的高度融合造就了復雜巨系統。從安全角度看，這意味著全世界沒有安全地帶，每一個地方都可以被攻擊，攻擊者不受時空的限制，攻擊也變得超級隱蔽。在這些基本規律背后，我們看到的是嚴重的網絡安全危機。目前的網絡安全更多還是在做原來的IT安全，對付沒有特定動機和目標的一般犯罪團伙。但是，數智時代的網絡安全正在被重新定義，融合了IT安全、DT（數據技術）安全、OT（業務運行技術）安全的大安全挑戰已經不再只是信息安全，而是擴展到了現實世界的每個角落，危害國家安全、國防安全、關鍵基礎設施安全、經濟安全、社會安全甚至人身安全，網絡安全亟待被重新定義。攻擊對手已經變成了有組織、有技術、有資金的高級犯罪團伙，甚至是國家級攻擊力量。攻擊對象涉及的領域從當年的IT已經逐漸進入到我們能夠想象到的任何一個社會空間。

得能力者得天下

數智時代下，網絡安全面臨重重挑戰。網絡安全產業需要變革，安全需要從產品主導轉向以能力為中心的思路。網絡實戰檢驗證明，傳統積累的安全產品，并不能應對新時代的網絡安全威脅，堆砌安全產品的方法已經過時了。安全的本質就是人與人的對抗，工具和系統都只是手段，不是目的。未來，這種人與人的對抗將更加明顯，會被延伸到幾乎所有領域。每個高級持續性威脅的背后是黑客思維與攻擊技術的融合和演化，單純的工具或系統所承載的經驗與知識是匱乏的。這種情況決定了沒有一種產品或者設備可以代替人的作用，只有通過人機結合形成安全能力，并以實戰作為最終目標，才能應對新威脅、大挑戰。

能力的建設和產品的建設很不同，需要形成體系，需要基礎設施，需要有可成長的能力核心，需要能夠持續成長。在建立了能力體系之后，實踐才是檢驗安全能力的最終標準。未來，網絡安全能力檢驗會逐漸走向實戰化、體系化和常態化。同時，由于未來信息系統的極度復雜性和其與安全的普遍相關性，傳統的管理思路將會失效，未來安全的關鍵在于治理。為了能夠做好安全治理，需要發動并協同各領域里的最佳資源，調動體系內各組織的最大能力，才能保證爭取最佳的效果，確保體系的持續運轉。

辯證看待新技術

在以大數據、人工智能等為代表的新一代信息技術的驅動下，信息化正從網絡化向智能化方向邁進。新一代信息技術正在改變全球數字格局，賦能各行各業發展的同時，也帶來了隱私安全、社會倫理等問題。并且隨著新一代信息技術的深度應用，IT安全將會與DT安全以及OT安全相融合，安全的復雜度會急劇上升，精準的有目標的網絡攻擊會越來越多。

新技術帶來的網絡安全威脅，我們必須要采用全新的安全思路和方法才有希望應對，具體來說包括以下六點：第一要有意識，必須充分而廣泛地重視新技術帶來的安全問題；第二要有能力，需要加強培養網絡安全基礎能力；第三要協同，用開源和眾包等方式大幅提升發現和解決問題的能力；第四要有共識，建立新技術領域普遍共識的規則；第五要創新，全新的數智時代，創新成為基本需要，過去的經驗大量過時，需要提出各種創新思路，而不能沉迷于過去的思路；第六要有大安全的理念，盡管新技術本身面臨安全問題，但同樣也可能成為解決安全問題的利器。

APT應對理念之“博、大、精、深”

“博”指的是需要多維度的知識構建，需要“帶外信息”的支持與整合；需要多維度的異常感知，這種感知能力越豐富，越精確，越有可能發現高級安全威脅；需要多維度的威脅分析，包括對攻擊者及其動機、攻擊源、攻擊路徑、攻擊目標的不同角度的信息整合與關聯分析。

“大”指的是大視野的分析和應對思路，強調整體配合，強調使用更大規模的相互關聯的數據和信息進行分析。實際上“大視野”還包括技術以外的含義，例如通過法律和政策建立更好的安全環境，基于國家利益和國際關系的視角進行安全威脅的分析等。

“精”指的是新階段的網絡安全對策強調細節，每一個環節都要精益求精，以此提高效率；需要對眾多威脅線索進行精細化分析，重點應對篩選出的高威脅線索；通過持續不斷地研究、建設和積累，構建應對國家級網絡安全威脅的最精銳隊伍。

“深”指的是深度分析，對惡意代碼、安全事件和宏觀安全數據展開相互關聯的深度分析，識別與梳理安全威脅，發現重大威脅及其來源與動機，積累相關知識。

這種“博、大、精、深”的思路，并不依賴于已知威脅的特征和攻擊手法來做出判斷，而是需要從不同的角度進行特定的調查，來使危險有跡可循。未來，隨著APT（Advanced Persistent Threat，高持續性威脅）形勢的發展，“博、大、精、深”的理念也需要增加內涵，不斷進行迭代調整。

安全對抗范圍快速擴張

縱觀網絡安全發展的規律，我認為今天的安全對抗正從過去的以計算機系統和弱目標性威脅為主要特點的小空間，逐漸沿著三個維度快速擴展。第一個維度是安全對抗的領域，從早期計算機本身的安全，延伸到手機、IOT等一切智能終端的安全；從計算機網絡的安全，延伸到通信網絡、社交網絡和生產網絡的安全；從系統本身的安全，延伸到數據本身和業務本身的安全。第二個維度是安全的對手，從最早的沒有特定動機和目標的“白開心”，到被經濟利益驅使以逐利為目標的“小毛賊”和犯罪團伙，再到具有復雜動機的圍繞政治、經濟和軍事等國家安全目標的“大玩家”，他們的攻擊手法、目標等都在發生很大變化。第三個維度是網絡攻擊帶來的威脅，經歷了從辦公安全、信息和數據安全、財產安全、生產安全到社會和國家安全。未來的安全趨勢，將會是精準化、個人化、針對特定目標的攻擊成為主流，且由于系統過于復雜，無法簡單地靠評測和計算得出結論，只能夠依靠實戰對抗，來檢驗最終的效果。

無安全，不信創

信息技術應用創新（信創）是發展的必然之路，做好網絡安全保障是信創產業發展的重要基礎。信創的大規模應用將迅速擴大攻擊者可利用的攻擊面，信創安全面臨著自身弱、對手強、動機多的嚴峻挑戰，加上我們對安全存在認知偏差、能力不足、積累不足、實戰不足的情況，信創產業將面臨前所未有的安全威脅。“無安全，不信創”，一味照搬過去的安全思維和方法，無法解決當下信創所面臨的安全問題，信創安全需要體系化設計。信創安全體系設計的核心目標是經得住實戰考驗，最基本的思想是：攻防視角、整體思維、統一調度、開放運營和能力驅動。

在這樣的指導思想下，信創安全技術體系的目標分為“可信、安全、可控、可對抗和可存活”五個層次，簡稱為“兩個減少、三個增強”：第一層目標是“可信”，主要通過數字證書等各種密碼技術應用輔以供應鏈的統一管理等方法來減少硬件、軟件數據和人員等元素“作假”的可能性。第二層目標是“安全”，需要建立方法和機制，保障信創軟件程序的漏洞盡量少，減少漏洞被利用的可能性。第三層目標是“可控”，因為沒有絕對的安全，無論前面的“可信”還是“安全”，都不能確保一定不出現安全攻擊事件，因此需要增強攻擊事件預防、發現和響應能力。第四層目標是“可對抗”，增強安全威脅溯源、取證與懾阻的能力，能夠更加主動地減少或消除安全風險。第五層目標是“可存活”，增強核心業務、數據的存活能力，在各種最壞的情況下確保核心業務和應用不中斷。

數據安全是全新領域

隨著人類進入軟件定義、萬物互聯和數據驅動數字經濟時代，數據作為新的生產資料被認定為生產要素和新黃金，其重要性不言而喻，流動和共享成為數據的新特征。數字經濟時代關注的是DT（數據技術）和數字化之后的OT（業務運行技術）的安全。數據的存在形態、流動方式和頻率、使用和交換方式、不同利益相關方關注的問題都和過去完全不同。同時，數字經濟時代還在快速發展變化中，新技術、新業務會不斷出現，新的威脅手段也會層出不窮。數據安全從以“系統”為中心的思路逐漸轉變為以“數據”為中心的方法，全球的法律政策也轉變為以個人信息及隱私保護為重點，同時向全面的數據安全治理擴張。

大數據時代下的數據安全治理，無法使用傳統的管理模式達到目標，必須走協同治理的道路。政府、企業、安全機構、第三方機構和客戶需要發揮各自優勢形成有效的配合，才能建立適應當今數字時代的協同治理模式，共同提升全社會的數據安全水平。從政府的角度來說，一是需要完善數據安全相關的法律法規，并制訂相應的技術標準和實施細則以支撐法律法規的落地與實施。二是構建以數據安全能力成熟度模型（DSMM）為抓手的正向驅動的數據安全治理體系，從組織建設、制度流程、人員能力和技術工具四個方面對企業或組織進行數據安全能力成熟度等級劃分，從而在數據和數據處理者之間建立正相關關系來整體推進業界的數據安全能力。從客戶的角度來說，需要依據相關法律法規、標準規范要求，采用相應的技術手段和產品保護安全，同時強化內部數據保護宣傳以提高安全意識。

如何培養國家所需的安全人才

網絡安全成為涉及各領域的問題，涉及國際關系、國家戰略、政策法律標準等，需要的不僅僅是技術人才。在可預見的未來，網絡安全將以人機結合為主要形式。也就是說，解決網絡安全問題離不開人的參與。以中國上千萬家企業數量衡量，網絡安全的人才缺口遠不止此前有些機構公布的140萬人。

目前，我國網絡安全人才培養主要依托于高校，全國約有160多所院校開設了相關專業，每年培養的人才數量約兩萬人。由于網絡安全技術處于快速變化中，每年畢業的網絡安全專業學生走向社會時，很難快速適應工作和達到業務要求。這是因為網絡安全專業是一門極其強調動手與實踐能力的學科，學生缺少良好的實驗環境和實戰機會，使得他們無從了解真實的網絡安全現狀和需求，最新的攻防對抗技術和技巧，各種相互關聯的現實系統所使用的技術、配置策略以及面臨的實際風險等內容。

為了走上網絡安全人才培養的可持續發展道路，一方面高校需要和產業界建立合作關系，最終形成有效的聯合培養方式。例如企業把需求、場景和實踐情況輸入給高校，甚至聯合高校建立實習實訓的環境，這樣高校在授課的時候可以結合實際有的放矢。另一方面，要把高校和企業以一種合理的、成系統的方式組織起來，實現人才點對點的對接。