3月18日,運營商網絡安全建設與運營新思路線上研討會成功舉辦,會議由中國信通院安全研究所、奇安信集團聯合主辦。中國信通院安全研究所網安研究部副主任孟楠,思睿嘉得CEO、RSAC嘉賓董靖,中國移動集團網安處處長李偉,中國聯通集團信安處處長朱治國等業內專家進行了線上分享,來自三大運營商集團及各省運營商的安全專家近百人參會。會議由奇安信集團運營商行業部總經理李志鵬主持。
電信運營商作為網絡接入服務提供商,由於其所擁有的用戶數據規模大、網絡基礎設施面廣、接入的行業企業應用參差不齊等,在應對網絡安全方面的任務更重,尤其是在我國正在大力推進5G建設之際,如何保證運營商通信網絡安全工作顯得格外重要。
奇安信集團副總裁呂韜在活動致辭中表示,預則立,不預則廢。新時代的運營商網絡安全建設與運營將會是一個艱難的任務,伴隨著這次疫情的考驗,給了我們很多警示。目前的安全技術體系和運營模式是否能在資源緊張、對手強大、危機四伏的情況下,經受緊平衡極端情況的考驗?
我們不能拋開技術壁壘、條件限制去思考問題,需要不斷探索和儲備先進的技術手段、採用科學有效的協同管理方法、調動一切資源,保障網絡安全。
用技術解決人性的弱點
上個月,RSA 2020大會在舊金山莫斯科恩中心落幕,今年的大會主題是“Human Element(人的因素)”。思睿嘉得CEO董靖作為RSAC嘉賓全程參加了此次大會。在此次直播活動中,董靖分享了他參加RSAC 2020後的一些觀點。
“很多CISO都知道一句話,就是“人是最弱的環節”,而今年RSAC主題卻是“人是安全的因素”。“他分享道,圍繞著“人”的因素,今年的RSAC有一個明顯的趨勢,就是大家都會嘗試用技術去解決人性的弱點。
他表示,多數企業80%的威脅都來自於釣魚郵件、弱口令等這種看似簡單卻又無法杜絕的威脅上。即使在一家安全公司也無法完全杜絕弱口令和釣魚郵件等這種威脅。究其原因,就是因為這些威脅攻擊的是人性的弱點。
“這些年有一個明顯的趨勢,就是用技術手段去對抗人性的弱點來解決安全風險。”他舉例稱,我們可以看到,微軟近幾年一直在大力推廣使用包括人臉識別技術等生物技術,以及雙因素認證等技術來代替密碼。從實際效果上來看,目前微軟90%的員工無需使用密碼就可以登錄他們的業務系統,賬戶被惡意侵入的數量明顯的下降,並且還大幅的降低了運維成本。
他進一步表示,除了解決人性的弱點,我們還需要“放大”我們安全人員能力和限制網絡攻擊者的活動空間,從而提高網絡安全的可靠性。例如,對於安全人員,我們可以發揮安全人員數據分析能力,對用戶行為進行大數據分析來判斷安全風險。對於黑客,我們則可以根據黑客入侵之後的習慣性動作(資產掃描、訪問敏感文件等)來檢測安全,限制黑客的攻擊行為。
網絡安全建設將隨著基建一體化進行
當前,隨著十三五進入尾聲,十四五規劃進入部署階段,同時國家在大力推進以5G領銜的“新基建”。電信運營商也將面臨著在新的時代背景下,如何進行網絡安全建設的問題。
對此,中國信通院安全研究所網安研究部副主任孟楠認為,過去大家談到如何建設網絡安全問題,都首先要基於基礎設施建設的發展程度來考量和部署,未來網絡安全建設的發展思路將演進為隨著基礎建設一體化進行,甚至是安全規劃和部署要更加提前進行。
對於未來運營商網絡安全建設與運營的新思路,孟楠指出:未來將有兩個驅動力,驅動運營商安全管理建設。首先,合規的驅動力。運營商網絡安全建設還是要根據相關合規規定來進行建設。其次,外在的驅動力。也就是說隨著新技術的發展,將會影響和驅動運營商對於網絡安全建設的思路,具體而言有三個層面:
- 首先,隨著雲網融合,虛擬化架構將成為主流技術架構,將會直接導致無邊界協同和防護,也就打破了傳統邊界防護思路。
- 其次,隨著網絡與業務的深度融合,業務鏈將更加複雜,人員也更加複雜,因此像基於零信任技術理念體系將會影響運營商安全建設。
- 最後,隨著5G網絡的建設與推廣,網絡鏈接也將比以往更加繁複,必將會影響運營商安全建設思路。
信息安全要體現人的價值
作為運營商代表,中國聯通信息安全部信息安全處處長朱治國分享中國聯通信息安全建設的規劃。
他表示,中國聯通的安全理念是“主動、協同、集約、價值”,未來隨著5G時代的到來,將推動產業互聯網的發展。中國聯通作為5G服務的運營商,在信息安全方面將秉持著“主動、協同、集約、價值”的理念,為產業互聯網發展保駕護航。目前中國聯通正在全面推進數字化轉型,在這種背景下數據安全尤為重要。
如何建設中國聯通的信息安全能力?他分享道,第一,打造安全中臺,通過結合不同的用戶、場景,來賦能、協同安全能力;第二,進一步保障好中國聯通業務的安全、健康發展;第三,打造產品孵化者,目前中國聯通信息安全模型都是可共享的,我們希望通過這種方式來孵化更多的產品為行業服務。
網絡安全是保障數字化業務順利開展的基礎要求
當前,數字化進場在我國進一步深入,數字化轉型成為產業發展的必由之路,越來越多的政企業務運營在數字化之上。但是,隨著政企信息系統進一步與業務運營相融合,使網絡安全風險等價於業務運營風險。
奇安信集團網絡安全戰略諮詢規劃總監楊波認為,網絡安全是保障是數字化業務順利開展的基礎要求。尤其在十四五期間,網絡安全需要與數字化業務同步發展,網絡安全體系從過去的零散、局部、被動的建設,升級為系統化、主動、有序、動態為特點的內生安全體系。
楊波強調,內生安全的落地需要全新的機制保障,將網絡安全技術與信息化環境相聚合,將實戰化安全運行與信息化運維工作相聚合。奇安信面向政企提出“新一代企業網絡安全框架(內生安全框架)”,並以基於此框架的“十大工程、五大任務”為抓手,構建支撐企業數字化業務的能力型安全體系。
與會嘉賓在大會最後進行了熱烈的在線互動,大家就通信行業網絡安全規劃、新基建等熱點話題進行了深入探討。
閱讀更多 奇安信 的文章
