人民政協(xié)網北京10月21日電  “內生安全是網絡變革下信息化建設和網絡安全之間、安全公司和客戶之間的共贏選擇?！逼姘残偶瘓F董事長齊向東在第六屆世界互聯(lián)網大會企業(yè)家高峰論壇上表示，通過建立“一個中心，五張濾網”的內生安全體系，能極大降低網絡攻擊風險，從而真正保證業(yè)務安全。

近年來，全球網絡攻擊事件頻發(fā)，網絡安全風險日益加劇。世界經濟論壇發(fā)布的《2018年全球風險報告》顯示，網絡攻擊已經成為全球第三大威脅，僅次于極端氣候事件和自然災害。網絡安全形勢的三大轉變

齊向東總結了當前網絡安全形勢的三大轉變。一是網絡攻擊事件由小打小鬧向國家大事轉變。以往，網絡攻擊事件主要和個人用戶、利益訴求和物理世界相關。但以2015年發(fā)布的首個APT報告海蓮花為轉變標志，網絡攻擊的目標升級到了企業(yè)、政府，開始影響物理世界，甚至影響國家政治。

二是網絡攻擊技術由簡單粗暴向復雜精細轉變。以往，攻擊者使用的工具相對單一，比如一位普通網民通過購買網絡攻擊工具，就可以發(fā)起攻擊；后來，黑客開始使用植入后門、網絡釣魚、勒索攻擊等多種復雜技術結合的攻擊手段。

三是網絡攻擊形式從通用型向APT攻擊轉變。以前，網絡攻擊主要是為了獲利，沒有固定目標。但2015年以后，APT攻擊成為主流，攻擊幾乎全部都是定向的、并且是長期潛伏的。

應對網絡變革的三個構想

網絡的變革帶來了安全挑戰(zhàn)，APT攻擊變得防不勝防，網絡被攻擊成為必然。

“我們做安全的總是有一種期望，希望網絡永遠都不被攻破，一定萬無一失，但事實是沒有攻不破的網絡，一失萬無。”齊向東表示，所有挑戰(zhàn)的核心都是對漏洞的利用，而漏洞無處不在、不可避免，傳統(tǒng)的安全防護手段已經失效，網絡變革推動安全技術進入第三代：內生安全。

他提出了保護業(yè)務安全的三個構想：一是具備“免疫功能”，建立一個自適應的安全系統(tǒng)。在他看來，網絡被攻破，就像人體被病毒和細菌入侵。免疫系統(tǒng)的作用，就是調動身體的防御力量，消滅病菌。因此，安全體系也需要“免疫功能”，在即使網絡被攻破的時候，也能保證業(yè)務安全。針對一般性網絡攻擊，能自我發(fā)現、自我修復、自我平衡；針對大型網絡攻擊，能自動預測、自動告警和應急響應；應對極端網絡災難時，能保證關鍵業(yè)務不中斷。

二是做到“內外兼修”，擁有一個自主的安全系統(tǒng)。完全依靠外在力量，建立不了具有免疫功能的安全系統(tǒng)。無論外部檢測技術有多高明，都無法感受內部細胞遇到的困難。比如，中醫(yī)的“望聞問切”，問是關鍵環(huán)節(jié)；西醫(yī)的化驗和透視手段，目的也是探究內部細胞變化。同樣的道理，安全系統(tǒng)也需要與業(yè)務系統(tǒng)深度融合，因為如果只有外部的力量、外部的安全數據，或者只有泛化的安全大腦，解決不了內部的安全問題。

三是能夠“自我進化”，成為一個自成長的安全系統(tǒng)。齊向東以免疫系統(tǒng)舉例說，大人的免疫系統(tǒng)就比小孩強，鍛煉身體、適應嚴酷環(huán)境、對抗疾病都會提高免疫力，網絡安全體系在不斷抵抗網絡攻擊的過程中，也會提高防護能力。因此，安全能力需要伴隨業(yè)務變化日漸強壯，其核心是人的進步和成長，只有不斷發(fā)現問題、解決問題，才能形成正循環(huán)。

“一個中心，五張濾網”

奇安信提出的內生安全就是實現這三種構想的最佳實踐。齊向東表示，這是網絡變革下信息化建設和網絡安全之間、安全公司和客戶之間的共贏選擇。

他把奇安信構建的內生安全體系總結成了“一個中心五張濾網”，“一個中心”指的是安全運營中心，“五張濾網”指的是網絡、身份、應用、數據和行為五張濾網。

“以往的安全防護都集中在網絡層面，世界一流水平也只能防住99%。以前，漏掉1%是可承受的，但現在攻擊的目標是毀掉某個關鍵信息基礎設施，漏掉1%都可能造成嚴重后果?！饼R向東說。

因此，奇安信建立的內生安全體系除了網絡這層過濾網以外，加上了身份、應用、數據層面的過濾，再通過大數據運營中心，對行為層進行過濾，這樣1%的威脅經過一個中心五張網的層層過濾，成為一百億分之一，能極大降低網絡攻擊的風險。

構建這樣的內生安全系統(tǒng)有三個關鍵：一是“關口前移，規(guī)劃先行”。規(guī)劃是內生安全的起點，從技術層面實現安全與信息化深度結合，同時從觀念層面解決對網絡安全的理解不一致；二是“疊加演進，能力建設”。建設是內生安全的保障，既要積極建設安全基礎設施，又要建設信息系統(tǒng)內建安全機制；三是“實戰(zhàn)運行，以人為本”。運行是內生安全的生命，所有與網絡安全相關的環(huán)節(jié)都要與網絡安全工作充分對接，做到管理、技術與運行一體化。(孫曉光)