新浪科技讯 9月22日上午消息,在新浪科技、新浪5G联合主办的“Refresh Your Life”新浪5G Open Day上,360集团首席安全官杜跃进阐述了他对5G安全的见解以及应对之策。
“世界都是有两面的,我们做安全的人始终看到风险的一面,我们把它叫做‘安全人眼里的5G’”,他认为,5G时代下的安全可以用三段来表述:
第一是大安全时代已经到来;第二是传统网络安全正被颠覆;第三是安全需要重新定义。
他总结道,5G时代下的安全可以归纳为几个关键词:渗透、蔓延、融合。“5G时代到来,非常需要安全‘吹哨人’。全新的安全挑战正在打破IT藩篱进入社会百业,但是我们的社会百业对这样的风险还懵懂未知。此外大家所说的万物互联,在安全人看来万物互联就是万物不安全”。
因此他提出了5G时代安全的“九阳神功”。
第一,要正确认识世界;第二,要知晓5G已从通信领域延伸到所有的百态;第三,要以能力为核心;第四,要持续改进升级;第五,要智慧协同联防;第六,要做大连接和大计算;第七,安全要从静态变为动态;第八,要强化安全基础设施;最后一条,要实战、检验和锤炼。
“世界进入到新时代,传统的安全思路需要改变,无论客户也好,还是安全领域的同行也好,都需要真正的面对以5G为代表的新技术给世界带来的变化”,杜跃进说道。
欢迎持续关注新浪5G Open Day,与中国工程院院士邬贺铨,国际电信协会(ITS)常务理事、北京邮电大学教授吕廷杰,中国传媒大学新媒体研究院院长、白杨学者赵子忠,高通中国区董事长孟璞,蔚来联合创始人、总裁秦力洪、文远知行创始人兼CEO韩旭,小冰公司CEO李笛等院士专家、领军企业高管共话5G新机遇。(韩大鹏)
以下为演讲全文:
大家好,我是360集团首席安全官杜跃进,今天我和大家分享的一个题目叫做“5G带来的安全颠覆”。我注意到这次会议里面有一些描述,是很有意思的。这些描述我把它叫做正常人眼里的5G。
怎么描述的呢?我们在这次活动上面讲,4G曾经创造了移动互联网的十年辉煌,有一个关键词“移动互联网的十年辉煌”,5G正在开启人类社会万物互联的全新十年,关键词是“万物互联”,下面还有一些非常重要的描述,叫做打破通信藩篱,融入社会百业,不再是通信了,不再像4G那样重点解决通信问题,而已经进入到社会百业里面。还有一个描述是叫加速物理世界与数字世界的融合,这些信息非常重要,但是这些信息刚才我说,它是正常人眼里看到的5G。
但是,世界都是有两面的,我们做安全的人始终是看到任何事情风险的一面,我们把它叫做“安全人眼里的5G。”从做安全的这些人,当然我们是保护安全的,还有一些人是带来安全威胁的,从安全人眼里看到的5G,用一句话来描述的话,我想用这样三段来表述,一个是大安全时代到来,一个是传统网络安全被颠覆,第三个是安全需要重新定义。所以在我们看到的5G完全是另一个世界,大安全时代来了,传统的安全被颠覆了,整个安全都需要重新定义。对于这个结论,我想再分三点来阐释一下。
第一个关键词是渗透和蔓延。数字世界的网络安全威胁开始蔓延到所有其他领域,我们做安全通常是从计算机安全做起的,我们后来把它叫做信息基础设施,IT的安全。但是到后来IT和ICT进行融合,我们又开始把通信基础设施引进来了,这又和通信的安全有关系。再往后,计算机系统又变成了数字物理世界,像物联网、车联网和智能制造等等,这些又变成了IT 2.0,虽然还是IT,但不再是计算机系统,而是计算系统,当然云计算也是计算系统。再往后又变成整个今天一切都依赖于数据,数据融于所有的地方变成要素,它本身面临的安全威胁。再往后已经数据变成业务的一部分,业务逻辑本身的安全会影响到刚才说的社会百业,它的业务安全也都是今天的问题。所以,安全不再是原来搞计算机和搞通信这帮人的问题,安全的风险特别是这些数字空间里面的安全的风险,已经也进到各个领域里面,所以这是蔓延和渗透,这是第一点。
第二点我想说的是融合。数字世界和物理世界的安全威胁手法开始融合,过去现实物理世界里面的犯罪活动可以现在和网络空间结合,比如我们今天的电信诈骗,入门抢劫偷窃等等也是可以利用数字技术,同样数字空间里面过去的威胁也可以直接威胁到物理空间,比如我通过入侵一个系统就可以偷到钱,我通过入侵一个系统就可以杀人,瘫痪一个工厂等等,所以这两种手法开始融合到一起了。所以我们纯粹的网络空间领域里面的应对手法可能就开始变了,或者是纯粹的网络空间里面过去面对的威胁方法也都开始变了。
第三是现在5G时代来了,我们非常需要有安全的吹哨人。我想非常强调的两点,刚才说到的叫做正常人讲的打破通信藩篱,进入社会百业,对安全也是这样的。全新的安全挑战正在打破IT藩篱进入社会百业,但是我们的社会百业对这样的风险还懵懂未知,危险已经来了,但是还完全不知道。另外刚才有一个词叫做万物互联,在安全人看来万物互联就是万物不安全。
在5G时代,或者大安全时代,安全整个该怎么做呢?我下面提出5G时代安全的九阳神功。
这九条非常重要。第一,是要正确认识世界。刚才讲到整个5G带来未来的工作、生活、生产所有的环境的变化,首先要有一个客观的认识。如果有这个认识的话,大家会意识到到原来我们做的安全,远远没有涵盖未来需要安全的这些领域。对于原来传统安全的很多实际上不正确的思路,一定要正确认识到。比如直到今天很多人依然认为我可能存在某一个银弹,某一种方法用了,安全问题一下子都没有了,这些都是属于认知方面的问题,这个如果不对整个安全是没有办法做的,如果(认知)对了,我们有一句土话,方向对了,就不怕远。这是安全秘笈第一条。
第二,安全秘笈第二条,5G在融合数字世界和物理世界,5G从通信领域延伸到所有的百态、所有的东西。所有的东西变成一个整体,安全威胁也会从整体过来,如果我们依然用过去的以为,世界就是我自己这一亩三分地,我看好自己的局域网,看好自己的计算机,管好自己的数据就可以,这是完全无法应对全新的安全挑战的。从过去的计算机安全,或者过去的信息系统安全所处理的简单系统,需要变到面向未来的复杂矩系统,在这种情况下,特别需要整体思维。很多人强一定要有顶层设计,要有各种各样的规划,但是在这些顶层设计也好,在规划也好,始终需要强调如何实现一个整体,这是安全秘笈第二条。
安全秘笈第三条,是以能力为核心。在很多时候,我们都是以你有没有,你是不是有必要的安全产品,但从来就没有说过这些安全产品达到什么样的效果才算可以。这个区别在什么地方?区别在于说,过去我们可能是考场的优等生,考试都挺好,题都答对了,但安全的本质是人和人的对抗,这一点是永远不变的。在未来我们需要战场常胜军,从考场的优等生变成战场常胜军,这要的是能力。原来我们用一个词,高分不等于高能,有的时候分数很高,但能力不够,解决不了真实问题。在安全领域也是一样的,可能规定动作都做到了,没有用,你真的是和坏人对抗的时候,能不能保住我们想要保住的东西,能否击败坏人对你的攻击,这是最重要的,这背后就是能力,一定要变成以能力为核心来建设和考核。
安全秘笈第四条,持续改进升级。我们在传统安全中,还有另外一个常常出现的误区,它并没有看我的能力是否逐渐积累了,或者当你说我需要一个什么东西,有人说我有,两天之后开发好了就给你。实际上是这些能力必须要不断的升级,才可以能够应对威胁的。我们有一句话,魔高一尺,道高一丈,或者叫做攻防相长,这个长或者说魔高一尺,道高一丈,是指不断迭代,不断达到新水平才可以的,并不是说我今天不对了,推翻重来,明天还在过去的基础上建一套体系,这不会不断相长,就好像人类的知识从最早期非常简单的物理学和非常简单的化学知识,到今天人类的知识已经有了非常大的进步,这是持续改进,持续升级才可以的。安全的能力也是必须这样的,无论是客户,还是我们自己,还是整个行业的安全也好,要问问你自己能力是不是不断的迭代升级,而不是简单的原地替换,过去是不是属于低水平的不断重复,未来是不是能够做到每经历过一件事情我就又增加了经验,增加了知识,我的知识我的经验是不是不断往上长,我的水平不断往上长,这就是变成第四条。
安全秘笈第五条,智慧协同联防。刚才我们非常强调了整体思维,也讲了5G会让万物互联,所以刚才我讲到万物不安全,但攻击者会从各个地方,各个角度甚至你也不知道是什么人来攻击我们。所以,在5G时代,在万物互联的时代,安全的不对称会变得更加严重,严重到过去方法已经彻底无法来解决了。攻防不对称指的是你也不知道它什么时候攻击你,你也不知道它从什么地方攻击你,你也不知道对手在哪里。对手投的资源,对手可能拥有的资源远远超过你,这就是一个无解的问题了,当然我们不能让安全无解,解的方法是什么?一定是协同联防,你有多大的协同联防就有多少的队友,你就有可能在攻击者的更早期,他脑子里刚想着要开始 危害你的时候,你就开始准备动了,只有这样才能解决攻防不对称的难题,但这样一定需要大范围的、智慧的、真正的协同联防才可以。
安全秘笈第六条,支持协同联防并不是凭空做到的,因为协同联防大家早就说了,为什么一直做不到?是因为,特别是在5G时代、大安全时代想要实现协同联防难度大了很多。所以,第六条秘笈是大连接,大计算。想要协同联防有两个基本条件,第一,把跟安全有关的能力更大范围的实现连接,让不同的地方,不同的用户,不同类型的安全设备或者是安全点滴能力最后能够连到一起,这是第一个基本条件。第二,大计算。连到一起之后,因为现在太复杂了,范围也很广,业务也很复杂,连到一起求能不能实现计算,大连接之后的大计算,这是两个非常重要的实现刚才说的智慧协同联防的必要条件。
安全秘笈第七条,安全运营服务也是不同于传统的。在传统安全下,可能有一个防火墙,有一个杀毒软件,有一个入侵检测系统,可能都能挡住了。但因为那个时候攻击者并不是专门针对你来做非常复杂的攻防的,但对未来来说,因为5G时代也会带来众多的数字世界里面的机会,这些也会吸引越来越高级别的攻击者来实行攻击,他们的攻击手段远远不同于过去,它都是有计划、有预谋、有铺垫等等,是专门针对你的。在这种情况下如果安全不能够真正持续有效运营,用我们基于过去的经验来打造的安全只能是静态的,你只能是在最后这一关,就是你希望在防火墙或者说任何某一个终端,这一单点上来识别这是一个攻击,并且在这里面来阻断这是一个攻击,这是过去的思路,这是一种静态的安全,完全无法应对即将到来的新时代的安全。新时代的安全一定要从静态变成动态,并且让各种各样的设备,各种各样已经打造的安全能力变成活了,你可以想象它变成一个活的安全的关键是安全运营,安全服务。
安全秘笈第八条,安全基础设施。这个概念大家在过去很少说,过去大家只说到安全组件、安全模块、安全产品等等,但这些安全的组件和模块,如果不能组合起来,形成非常重要的基础设施会怎么样呢?或者说安全基础设施到底是解决什么问题的呢?刚才讲到的,最终需要用户和客户能力,最终需要通过持续的运营和服务,最终需要用户的能力能够持续增长,不断升级,这一切离不开基础,要有基础设施。这个基础设施把各种各样不同的安全组件、安全产品形成一个整体,在这个整体上才可以让安全服务可以传达到用户这里,让安全的能力有地方不断的积累,因此第八个秘笈就是安全基础设施变成一个必要条件,你的能力都是沉淀在这上面的,在这上面不断的积累。
安全秘笈第九条,实战、检验、锤炼。刚才讲到我们要从静态安全变成动态安全,我们要以能力为核心,最后我看的是这个能力,我们要通过持续的运营服务,让这个能力不断的升级,但是,到底有没有升级,到底升级的够不够,到底还有哪些地方有问题,这是怎么来检验呢?这就是最后一条,是用实战来检验的。在过去的时候,很多很多的人,国际上吧,国内更是这样了,大家习惯以裁判打分的方式来判断你的安全能力够不够,这就有点像我们很多合规都是这样的,规定动作都做到了好像就可以了,但现实中不是这样的,所以,现实中最后应该从过去的纸上谈兵变到实战百练成金,纸面上都很安全,纸面上该做的都做到了,这是无法检验你的能力够不够的,无法检验你的知识是不是在不断的升级,不断的在成长,你的成长的这些能力有没有用或够不够用,一定要实战来检验。实战检验当然可以说是两种方式,一种真的打了才知道,你又不可控,因此在现实中实际上要用实战化的演练来不断的检验和提高自己的能力的。
刚才讲的就是5G时代的9条安全秘笈,这是一些大的原则,每一条原则展开当然还会有很多东西。简单说最后一个总结,5G时代会是什么样呢?或者5G时代给安全带来的颠覆到底是什么样的呢?我用三句话来做总结。
第一,5G时代让安全挑战和需求融入万物。在5G时代,我们需要的是安全万物,变成了刚需,你是金融就是安全金融,你是教育就是安全教育,智慧医疗是安全智慧医疗,工业制造是安全工业制造,缺乏了安全的属性什么都没有,什么都会非常危险,所以安全万物变成了一个刚需。
第二,没有安全就没有5G的顺利发展。因为5G给我们描绘了一个非常美好的时代,5G是要素之一,除了5G带来的通信技术之外还有数据技术和计算技术,数据技术里面还包括传感技术。无论如何,在他们的安全没有得到保证的情况下,这些新的时代都不会顺利发展的,因为大家逐渐会看得到这些风险有多大,甚至不断的会有血淋淋的教训会出来,这些都会影响到顺利的发展。
最后一个总结,世界进入到新时代,传统的安全思路需要改变,无论客户也好,还是我们安全领域的同行也好,都需要真正的面对我们即将带来的以5G为代表的新技术给世界带来的变化,在这种变化下,我们安全到底该怎么做,才能够让发展顺利的按照预期往前走。这是今天跟大家分享的一些看法,谢谢大家。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
