新華三孫松兒：落實(shí)安全前置才能解決資源投入與成效體驗(yàn)不成正比的長期矛盾

“各行各業(yè)的網(wǎng)絡(luò)的安全建設(shè)一直都在持續(xù)投入，安全防護(hù)不斷加固，但各類安全事件仍舊時(shí)有發(fā)生，安全體驗(yàn)也有頗多抱怨，究其原因，安全建設(shè)不應(yīng)該只是成本中心，更應(yīng)該成為業(yè)務(wù)需求的驅(qū)動(dòng)中心?！?

——新華三集團(tuán)副總裁

新華三信息安全技術(shù)有限公司總裁孫松兒

在剛剛結(jié)束的2022國家網(wǎng)絡(luò)的安全宣傳周期間，紫光股份旗下新華三集團(tuán)圓滿承辦安全周重點(diǎn)活動(dòng)——長三角網(wǎng)絡(luò)的安全協(xié)同發(fā)展論壇。其間，新華三集團(tuán)副總裁、新華三信息安全技術(shù)有限公司總裁孫松兒在大會(huì)中發(fā)表主旨演講，他明確指出在當(dāng)前我國政策環(huán)境持續(xù)向好的同時(shí)，也不能忽視產(chǎn)業(yè)發(fā)展過程中呈現(xiàn)出的多重矛盾與挑戰(zhàn)，唯有把握網(wǎng)絡(luò)的安全體系建設(shè)的六大要點(diǎn)，才能實(shí)現(xiàn)化解產(chǎn)業(yè)矛盾、夯實(shí)產(chǎn)業(yè)基礎(chǔ)、建設(shè)網(wǎng)絡(luò)強(qiáng)國的目標(biāo)。

機(jī)遇與矛盾并存

安全體系建設(shè)依然存在不少短板

隨著我國各項(xiàng)政策環(huán)境持續(xù)優(yōu)化，網(wǎng)絡(luò)的安全產(chǎn)業(yè)正面臨前所未有的發(fā)展機(jī)遇。近兩年，《網(wǎng)絡(luò)的安全審查辦法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等各項(xiàng)重磅政策法規(guī)持續(xù)發(fā)布，加上區(qū)域性政策集中釋放，以及數(shù)字新基建的推進(jìn)，加快了網(wǎng)絡(luò)的安全產(chǎn)業(yè)的投入與創(chuàng)新，網(wǎng)絡(luò)的安全建設(shè)也在從重合規(guī)、輕實(shí)戰(zhàn)，重設(shè)備、輕運(yùn)營，向產(chǎn)品與服務(wù)并重的階段轉(zhuǎn)變。根據(jù)工信部的數(shù)字，2021年我國網(wǎng)絡(luò)的安全產(chǎn)業(yè)總體規(guī)模突破2000億元，“十三五”時(shí)期我國網(wǎng)絡(luò)的安全產(chǎn)業(yè)年均增長率達(dá)15%，進(jìn)入規(guī)模保持高速增長、并購和創(chuàng)投保持活躍、產(chǎn)業(yè)生態(tài)不斷優(yōu)化改善、安全產(chǎn)品與服務(wù)并重的高速發(fā)展的風(fēng)口期。

與各項(xiàng)安全投入不斷增加、網(wǎng)絡(luò)的安全產(chǎn)業(yè)不斷壯大形成對(duì)比的是，各類網(wǎng)絡(luò)的安全事件依然頻發(fā)，我們似乎陷入安全投入逐年增加，但網(wǎng)絡(luò)的安全態(tài)勢(shì)卻未發(fā)生明顯改觀的怪圈。孫松兒認(rèn)為，當(dāng)前我國網(wǎng)絡(luò)的安全領(lǐng)域面臨六大矛盾，即蓬勃的數(shù)字經(jīng)濟(jì)與威脅事件頻發(fā)的矛盾、持續(xù)的安全投入與用戶體驗(yàn)欠佳的矛盾、快速演變的威脅與防御資源限制的矛盾、設(shè)備要求高標(biāo)準(zhǔn)與開發(fā)能力不匹配的矛盾、安全運(yùn)營簡易化與數(shù)據(jù)割裂難協(xié)同，產(chǎn)業(yè)高速增長與人才短缺的矛盾。

孫松兒指出，這些矛盾反映出我國網(wǎng)絡(luò)的安全在理念、技術(shù)和人才上的不足。伴隨著攻擊手段快速演進(jìn)，攻擊面不斷擴(kuò)大，新基建、網(wǎng)絡(luò)設(shè)施、供應(yīng)鏈攻擊成為新攻擊目標(biāo)。與之對(duì)應(yīng)的安全建設(shè)缺乏體系規(guī)劃，防護(hù)模式仍停留在補(bǔ)救式防護(hù)思路上，缺乏主動(dòng)安全意識(shí)，陷入頭痛醫(yī)頭，腳痛醫(yī)腳困局。加之專業(yè)技術(shù)人才短缺、人才培養(yǎng)周期長等原因，嚴(yán)重制約了我國網(wǎng)絡(luò)的安全整體產(chǎn)業(yè)的發(fā)展。而產(chǎn)業(yè)背后的不足與問題無法得到彌補(bǔ)和解決，就無法跳出這種網(wǎng)絡(luò)的安全投入增加，但安全事件仍日益高發(fā)的怪圈。

以主動(dòng)安全理念指引頂層規(guī)劃

化解安全建設(shè)難題

孫松兒認(rèn)為，要應(yīng)對(duì)當(dāng)前網(wǎng)絡(luò)的安全建設(shè)背后的不足，有六大要點(diǎn)值得關(guān)注。

首先，應(yīng)當(dāng)基于“主動(dòng)安全”的理念指導(dǎo)安全頂層規(guī)劃設(shè)計(jì)。作為國內(nèi)較早提出“主動(dòng)安全”理念的網(wǎng)絡(luò)的安全廠商，新華三一直堅(jiān)持將安全左移、威脅情報(bào)分析、云端聯(lián)動(dòng)、AI賦作為主動(dòng)安全的核心技術(shù)棧，通過安全管理組織保障，共同支撐安全頂層設(shè)計(jì)。

同時(shí)，以技術(shù)和運(yùn)營作為兩大抓手，通過技術(shù)框架打造防御體系，以安全服務(wù)提升安全體驗(yàn)，真正實(shí)現(xiàn)同步建設(shè)與運(yùn)營。

在技術(shù)層面，通過情報(bào)加持威脅治理，基于場景構(gòu)建AI模型并以云邊協(xié)同構(gòu)建起立體的安全體系，讓防御更快、更準(zhǔn)、更智能。而針對(duì)于軟件產(chǎn)品開發(fā)過程中的安全，孫松兒認(rèn)為安全應(yīng)當(dāng)在設(shè)計(jì)之初即納入考慮，在迭代期間開展持續(xù)動(dòng)靜態(tài)驗(yàn)證，在開發(fā)結(jié)束階段進(jìn)行嚴(yán)格驗(yàn)收和出廠規(guī)范，同時(shí)開展元器件到整機(jī)的質(zhì)量和脆弱性管控，確保硬件質(zhì)量安全保障，實(shí)現(xiàn)全生命周期內(nèi)原生安全的嵌入。

在安全大數(shù)據(jù)方面，隨著安全建設(shè)的逐步深入，如何將海量安全數(shù)據(jù)有效地整合、分析也將成為安全體系建設(shè)的重要環(huán)節(jié)。新華三通過五個(gè)層次，搭建安全數(shù)據(jù)新中臺(tái)，即：以生態(tài)為支撐的開放接口層、以AI&數(shù)據(jù)為基礎(chǔ)的原子服務(wù)層、以業(yè)務(wù)為對(duì)象的模塊能力層及并行支撐的服務(wù)治理層、安全開發(fā)層，最終實(shí)現(xiàn)安全統(tǒng)一可視、數(shù)據(jù)深度挖掘、應(yīng)用快速支撐。

最后，在人才培養(yǎng)方面，新華三先后與多所科研院所聯(lián)合承擔(dān)產(chǎn)學(xué)研課題、合作建立產(chǎn)業(yè)學(xué)院，通過加強(qiáng)網(wǎng)絡(luò)的安全學(xué)科建設(shè)等舉措，建設(shè)專業(yè)化人才隊(duì)伍，為網(wǎng)絡(luò)的安全產(chǎn)業(yè)發(fā)展源源不斷地培養(yǎng)高端人才，推進(jìn)產(chǎn)業(yè)良性發(fā)展。

孫松兒表示，自2018年新華三集團(tuán)首次提出“主動(dòng)安全”以來，這一創(chuàng)新理念就伴隨著數(shù)字化的深入，持續(xù)演進(jìn)和創(chuàng)新。目前，新華三已經(jīng)基于主動(dòng)安全理念，先后發(fā)布新一代業(yè)務(wù)安全旗艦防火墻，基于安全業(yè)務(wù)中臺(tái)的多種場景化產(chǎn)品，基于XaaS全云服務(wù)的新一代青丘安全運(yùn)營中心等創(chuàng)新實(shí)踐。

2022年，新華三集團(tuán)發(fā)布“主動(dòng)安全3.0”，聚焦客戶業(yè)務(wù)本身，實(shí)現(xiàn)了業(yè)務(wù)感知零信任、業(yè)務(wù)安全新中臺(tái)、業(yè)務(wù)運(yùn)營即服務(wù)三大關(guān)鍵創(chuàng)新，推動(dòng)主動(dòng)安全理念邁向業(yè)務(wù)驅(qū)動(dòng)時(shí)代，為行業(yè)客戶加速數(shù)字化轉(zhuǎn)型保駕護(hù)航。