7月9日，由國家工業(yè)信息安全發(fā)展研究中心聯(lián)合信創(chuàng)安全技術(shù)委員會(huì)舉辦的“信創(chuàng)安全大講堂”第一期活動(dòng)圓滿結(jié)束。信創(chuàng)安全技術(shù)委員會(huì)主任、360集團(tuán)副總裁兼首席安全官杜躍進(jìn)博士以“信創(chuàng)安全的問題、方案與計(jì)劃”為題，從信創(chuàng)安全的背景、建設(shè)思路和工作進(jìn)展三個(gè)方面闡述了當(dāng)前信創(chuàng)安全工作的思路與進(jìn)展。

從風(fēng)險(xiǎn)可控到體系創(chuàng)新，信創(chuàng)安全亟需多方協(xié)同 

隨著全球數(shù)字化大潮翻涌而至，信創(chuàng)產(chǎn)業(yè)作為科技創(chuàng)新的重要領(lǐng)域，是構(gòu)建國產(chǎn)化信息技術(shù)全周期生態(tài)體系的主要抓手，更是新一輪科技革命和產(chǎn)業(yè)變革的關(guān)鍵力量。因此，信創(chuàng)產(chǎn)業(yè)的安全將為中國奠定堅(jiān)實(shí)的數(shù)字基礎(chǔ)，成為保障中國經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型平穩(wěn)健康發(fā)展的底座。

 “有人問信創(chuàng)怎么會(huì)有安全問題？”杜躍進(jìn)博士以一個(gè)十分基礎(chǔ)卻又關(guān)鍵的問題開始了此次分享，“信創(chuàng)是減少了別人給你提供產(chǎn)品時(shí)在里面故意做手腳的概率，但是它并不能避免我們自己做的產(chǎn)品里有安全問題。”

談及信創(chuàng)安全防御方法與傳統(tǒng)安全的區(qū)別，杜躍進(jìn)博士指出，當(dāng)前的基本做法和原來并無本質(zhì)不同，都面臨嚴(yán)峻的能力建設(shè)和整體集成方面的挑戰(zhàn)。但是，在面向未來的時(shí)候，信創(chuàng)安全的方法有可能做得更加完美和體系化，“因?yàn)槲覀冇袡C(jī)會(huì)從最底層軟硬件設(shè)計(jì)時(shí)就把安全考慮進(jìn)去，從最底層到最高層，從產(chǎn)品到功能，到整個(gè)運(yùn)營體系，設(shè)計(jì)出一套比過去更完美的運(yùn)營體系，因?yàn)檫^去并沒有機(jī)會(huì)這樣做，導(dǎo)致整體銜接上的困難。”

信創(chuàng)安全想要從風(fēng)險(xiǎn)可控順利過度到體系創(chuàng)新，這個(gè)過程需要信創(chuàng)用戶、信創(chuàng)產(chǎn)品供應(yīng)商、網(wǎng)絡(luò)安全行業(yè)等多方深度綁定和協(xié)同聯(lián)動(dòng)。

杜躍進(jìn)博士指出，信創(chuàng)用戶需要扭轉(zhuǎn)安全意識(shí)，不要認(rèn)為只是買一點(diǎn)產(chǎn)品就可以了，還需從單槍匹馬轉(zhuǎn)為聯(lián)合作戰(zhàn)，以應(yīng)對(duì)信創(chuàng)安全挑戰(zhàn)；此外，現(xiàn)階段很多信創(chuàng)安全工作需要和信創(chuàng)供應(yīng)商一起開展，一定要在最開始的時(shí)候把產(chǎn)品做好；網(wǎng)絡(luò)安全從業(yè)者則需要抓緊熟悉信創(chuàng)產(chǎn)品，必須和信創(chuàng)產(chǎn)品供應(yīng)商深度綁定應(yīng)對(duì)安全威脅，和信創(chuàng)用戶深度綁定幫助他們應(yīng)對(duì)信創(chuàng)安全事件。

360信創(chuàng)安全大腦賦能信創(chuàng)安全能力體系建設(shè)

現(xiàn)階段，信創(chuàng)安全本身不是在技術(shù)上有多大不同，而是在工作上極具特殊性，因此需要的是集成創(chuàng)新和機(jī)制創(chuàng)新。當(dāng)前的信創(chuàng)安全大環(huán)境正呈現(xiàn)出基礎(chǔ)薄弱、國際形勢惡劣、時(shí)間緊迫、協(xié)調(diào)困難等諸多棘手問題，需要形成有針對(duì)性的思想逐一應(yīng)對(duì)。

由此，杜躍進(jìn)博士提出了攻防視角、整體思維、統(tǒng)一調(diào)度、開放運(yùn)營、能力驅(qū)動(dòng)五大核心設(shè)計(jì)思想。基于這五大思想，信創(chuàng)安全的整體工作主要涉及三個(gè)層面，分別為產(chǎn)品本身的安全，產(chǎn)品運(yùn)行安全，以及最終用戶的業(yè)務(wù)安全。

具體而言，產(chǎn)品安全涉及可信性和安全性。可信性是所有安全最基礎(chǔ)的東西，解決的是軟件、硬件、數(shù)據(jù)和人員等作假的問題，依賴的主要是數(shù)字證書等技術(shù)和運(yùn)營體系。

值得一提的是，早在2018年，360就依托瀏覽器產(chǎn)品，極具戰(zhàn)略前瞻性地推行“360根證書計(jì)劃”，目前已覆蓋全球98%HTTP流量，成為中國唯一、全球第五大自有根證書庫。而后，360聯(lián)合統(tǒng)信軟件、多家國內(nèi)CA、網(wǎng)關(guān)廠商、Ukey廠商在2020年8月，再度共同發(fā)布“信創(chuàng)國密根證書計(jì)劃”，進(jìn)一步夯實(shí)了數(shù)字證書的安全根基。

軟硬件產(chǎn)品本身有安全缺陷或者有安全漏洞導(dǎo)致被攻破，這個(gè)屬于安全性問題。“漏洞無法避免，只能想辦法減少容易利用的漏洞，同時(shí)增加攻擊者利用的難度，” 杜躍進(jìn)博士強(qiáng)調(diào)。

產(chǎn)品運(yùn)行安全涉及可控性、可對(duì)抗性。和安全漏洞無法避免一樣，安全事件百分之百會(huì)發(fā)生。信創(chuàng)安全的可控性是指當(dāng)別人攻進(jìn)來時(shí)，能夠及時(shí)發(fā)現(xiàn)并且做出快速、高效、有效的反應(yīng)，讓危害不再擴(kuò)大，損失可控。然而，網(wǎng)絡(luò)攻擊存在嚴(yán)重的攻防不對(duì)稱問題，防御者的資源遠(yuǎn)遠(yuǎn)經(jīng)不住攻擊方的消耗，因此必須要在“自己家”外形成一定的對(duì)抗能力，想辦法增強(qiáng)溯源、取證、懾阻的能力，減少攻擊方的破壞能力或者提高其成本，這是可對(duì)抗性。

對(duì)業(yè)務(wù)安全層面而言，可存活性則是關(guān)鍵。杜躍進(jìn)博士將其生動(dòng)地形容為“保命”，在前四個(gè)層面未達(dá)到滿意時(shí)，就需要通過第五個(gè)層面的綜合作用達(dá)到整體風(fēng)險(xiǎn)可控的水平，保證關(guān)鍵數(shù)據(jù)不受影響，核心業(yè)務(wù)不癱瘓。

在這個(gè)過程中，最大限度地整合防守方的安全資源，提升整體應(yīng)對(duì)能力，進(jìn)一步改變攻防不對(duì)稱劣勢，需要建設(shè)信創(chuàng)的安全大腦，實(shí)現(xiàn)大規(guī)模安全數(shù)據(jù)的分析，頂級(jí)安全人員大規(guī)模協(xié)同支援和高水平協(xié)同應(yīng)對(duì)等。

作為數(shù)字經(jīng)濟(jì)的守護(hù)者，360政企安全集團(tuán)基于15年實(shí)戰(zhàn)攻防經(jīng)驗(yàn)和230億安全研發(fā)投入，打造了以安全大腦為核心的新一代安全能力框架。在這套能力框架的賦能下，安全大腦能夠匯集信創(chuàng)領(lǐng)域的攻防經(jīng)驗(yàn)，漏洞、產(chǎn)品、用戶等信息，形成一整套知識(shí)體系，幫助用戶高效分析安全事件。其次，通過為用戶建設(shè)應(yīng)急響應(yīng)中心、運(yùn)營中心、靶場等基礎(chǔ)設(shè)施，進(jìn)一步打造分析、發(fā)現(xiàn)、協(xié)同應(yīng)對(duì)體系，并實(shí)現(xiàn)各種能力的持續(xù)演進(jìn)。最終通過安全專家持續(xù)運(yùn)營，向用戶提供多種安全服務(wù)，實(shí)現(xiàn)從產(chǎn)品安全、運(yùn)行安全、業(yè)務(wù)安全全面賦能信創(chuàng)產(chǎn)業(yè)發(fā)展。

在這場百年未有的大變局中，一個(gè)國家的網(wǎng)絡(luò)安全和信息化，在很大程度上決定了國家安全和科技產(chǎn)業(yè)水平。360政企安全集團(tuán)將以打造國家網(wǎng)信安全護(hù)城河為己任，發(fā)揮大數(shù)據(jù)、技術(shù)、人才等優(yōu)勢，聯(lián)合各方網(wǎng)絡(luò)安全力量，助力信創(chuàng)產(chǎn)業(yè)在短期內(nèi)快速建立起應(yīng)急體系，在中期建立起能力體系，在遠(yuǎn)期形成獨(dú)具特色的信創(chuàng)化安全體系和生態(tài)，為我國信創(chuàng)產(chǎn)業(yè)發(fā)展持續(xù)貢獻(xiàn)力量！