隨着全球經濟下行和石油價格不斷降低,數字化轉型成為油氣企業應對低油價挑戰和實現高質量發展的重要手段。近年來,中國海油在油氣勘探開發、天然氣與管道、煉油化工等領域均進行着數字化轉型實踐,同時也面臨着空前嚴峻的安全挑戰。
為全面推進石油行業數字化建設,2020中國石油石化企業信息技術交流大會於10月22日在北京召開,360集團副總裁、首席安全官杜躍進博士發表《數字時代的安全危機》主題演講,詳細闡述了以360新一代安全能力體系有效應對數字時代安全威脅的思考與實踐。
數字化轉型迎面全新危機
過去的安全方法大量失效
據CNCERT《2020年上半年我國互聯網網絡安全監測數據分析報告》 顯示,石油天然氣行業暴露的聯網監控管理系統多達118套,其中存在高危漏洞隱患的系統佔比約11.1%,這些工業控制系統一旦被攻擊,石油行業生產系統安全將岌岌可危。
“未來五年對世界都是很大的挑戰,對我國則是關係極為重大的關鍵五年,同時也將是安全形勢極為嚴峻的五年,因為一方面國際形勢惡化,另一方面安全會發生全新的變化而且危害遠超過去。”杜躍進博士強調,數字經濟對中國的戰略意義非常重要,但與此同時安全的風險又是最大的。當一切都在網絡化、數字化和智能化,安全被重新定義,過去信息化時代積累的安全方法會在未來這五年裏大量失效。
面對風雲莫測的國際網絡安全形勢,我國關鍵基礎設施安全、信創安全、數據安全、工業互聯網安全、AI安全都面臨着巨大的不確定性,其中不乏創新與融合發展的機會,但更多的還是危機和考驗。
今年以來,我國在核心技術領域屢遭“卡脖子”影響,成為我國數字化發展進程的一大阻礙,也由此明白了只有產品而能力不足的教訓。然而,網絡安全領域從總體上還沒有認識到這個問題,缺乏對能力短板的深刻認識,“究其根本,是因為網絡安全總體上還停留在產品為主的層面,沒有形成成熟的能力體系,沒有真正上升到按能力進行衡量的階段,”杜躍進博士表示。
數字化時代得能力者得天下
歷史上無數次較量都在證明“得能力者得天下”,於安全而言,從過去的網絡安全到未來的生產安全,也唯有以能力為核心,構建更加科學的能力體系,並以更科學的方法去衡量各種能力體系,繼而在衡量的基礎上形成閉環、不斷成長,才能在全新的危機面前立於不敗之地。
演講中,杜躍進博士針對應對大規模網絡安全事件的國家網絡安全能力體系、信創安全能力體系、數據安全能力體系、C2M2網絡安全能力成熟度模型等能力體系,進行了合縱分析,並且指出當前迫切需要在安全開發能力、安全對抗能力以及漏洞管理能力上加快建設。缺少這些能力,數字化時代的網絡安全將無以為繼。
然而,與研發安全產品截然不同,能力的建設並非一日之功,也難以簡單複製。杜躍進博士強調,“未來的安全能力會是一個非常複雜的體系,整個能力體系沒有辦法放之四海皆準,但一定離不開最核心的安全大腦。”以安全大腦為核心,通過大連接的方式進行大數據的彙總、計算,並且能夠和其他已有的安全資源進行協同,更大更強的協同能力就意味着更強的安全能力,只有這樣才有可能破解當今網絡安全領域最大的問題——攻防不對稱。“從單細胞到今天人類走到生物鏈的最頂端,靠的也是人類大腦,大自然用近40億年的進化也證明了這一點,”杜躍進博士如此形容安全大腦對構建能力體系的作用。
自古以來,無論是科學理論還是醫學實驗都要求擲地有聲,而行之有效的安全能力體系同樣需要能夠衡量。於安全而言,衡量能力的方式唯有真刀真槍的實網攻防,通過攻防衡量能力體系中哪個環節有問題,再進行不斷改進,從而不斷提升能力。在這個過程中,安全大腦便是帶着整個能力體系實現不斷成長,實現安全能力持續提升的關鍵。
然而,安全大腦本身也不是一個可以隨便複製就能具備足夠能力的‘產品’。憑藉十五年深耕安全領域積累的安全大數據、國際頂級攻防安全專家、一線APT狩獵形成的安全知識等資源,360的安全大腦具有自身優勢。由此,360以自身安全大腦為核心可以提供各種雲端服務,同時基於自身經驗幫助客户建設自己的安全大腦,最後整合多項雲原生安全能力,建設N套網絡安全基礎設施,並配套頂級安全團隊、網絡安全標準、先進運營戰法、實戰檢驗機制,能從各自為戰轉向協同防禦,助力國家、城市、政府和企業構建新一代安全能力體系,整體提升應對高級威脅攻擊的安全能力。
未來,360將繼續發力工業互聯網安全,以賦能工業互聯網企業提升自身安全能力為前提,積極推動國家工業互聯網安全建設,共同構建良好的工業互聯網安全生態。