何为新时代
“经过长期努力,中国特色社会主义进入了新时代,这是我国发展新的历史方位。”2017年10月18日,在中国共产党第十九次全国代表大会上,习近平郑重宣示。
有专家学者在新时代理论基础上对于建党以来的历史做了如下的回顾解读,分别用新中国、新时期、新时代来划分:
新中国:为进入社会主义作准备,中华民族站起来
新时期:开辟中国特色社会主义,中华民族富起来
新时代:谱写中国特色社会主义新篇章,中华民族强起来
进入新时代,我国社会主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充分的发展之间的矛盾。
无疑,广大人民日益增长的美好生活已经和网络发展融为一体了!而你看得见看不见的网络安全问题就是恰恰就是这个时代的主要矛盾之一!
网络安全产业从站起来到富起来
从上世纪九十年代到上个二十一世纪之初的十年,在这个阶段是国内网络安全厂商为了生存和国外安全巨头进行全面的角力。扛着“自主知识产权”的大旗的第一批网络安全创业者勒紧裤腰带,自力更生、艰苦奋斗,在打完了防病毒、IDS和防火墙三大战役后,国产化的网络安全产品逐渐成为安全市场的主力军。这个阶段对于网安企业基本可以对应的上“站起来”的过程。
从2010年开始,资本市场终于向鏖战后的胜利者敞开了怀抱,以启明星辰、绿盟、北信源等一批网络安全企业先后进入中小板、创业板,打开了融资、并购渠道,使得经营收入和市值相比于过去有了明显的提升。并且这些企业也纷纷开始尝试进入国际化市场,似乎有点“富起来”的味道了。
然而,真正富起来的是互联网企业。无论是已经是进入世界级的BAT,通过私有化借壳上市的360,还是真正一路狂奔的新独角兽XMD(小米、美团、滴滴)。对比一下,心酸的说一句,干了十几年的企业网络安全在互联网新贵眼里也就是一个“保安”的待遇!为了保证其互联网业务的安全和提升话语权,这些互联网大鳄用丰厚的薪酬待遇对传统网络企业的攻防人才形成了虹吸效应,一时间“天下英雄尽入彀中”!
富起来是否意味着强起来了?前些年展示出的一些世界级的挖洞牛人、各项黑客比赛冠军,这算吗?如果不是斯诺登揭开棱镜计划的盖子,我们可能还自我感觉良好。曝光后NSA军火库的武器件件扎心,一个并不完善永恒之蓝让我们惶恐不安、如临大敌。且不说关键网络基础设施的核心芯片、操作系统以及数据库我们尚无法做到自主可控,在网络安全专业人才方面我们面临着的巨大缺口,更为重要的是企业对网络安全实际投入程度和已有安全设施的运行效果。
同时,同比国外的网络安全产业规模和黑产惊人利润率,我们还谈不上富,更谈不上强!
网络安全产业站在新时代的门槛上
构成现在数百亿的网络安全市场最大份额的是传统安全产品,采购这些安全产品的驱动力也是因为政府推动的等保、分保的合规性驱动。这些安全产品是基于对静态网络资产的防护,表现为网络设备、终端以及关键的服务器。
然而,云和移动互联网打破了固有的物理网络边界,新的大数据挖掘算法使得数据的应用价值被充分体现。数据既是资产,就有着传统的安全属性:保密性、完整性和可靠性。数据又是资源,被演化为新的生产力,并且这个属性被进一步放大。数据不能被偷窃,又能进行有效的加工转化,对资产的保护和对资源的合理合法使用就变得尤为突出,两位一体。
所以,网络边界安全是IT部门关心的问题,网络数据和业务安全才是为老板和领导服务的。发现漏洞并不可怕,通过漏洞泄漏数据才可怕,泄漏了的数据被黑产、恶意竞争对手又进行加工利用坑害业务那才是最可怕的。
反过来看,传统网络安全产业也就是几百亿的规模,而只有结合数据和业务的安全产业才有可能跨越千、万亿时代。
网络安全也已经站在新时代的门槛上,这不是想进不想进的问题了!
网络安全靠什么进入新时代
网络安全问题正从过去的固守区域静态防御演化为跨时空动态持续对抗。一方面是大型企业过去因为合规驱动采购了多种的安全产品,却自身安全专业人才不足无法构建持续安全运营能力,导致发挥不出应有的安全价值;另一方面是更多的中小企业因为安全产品的昂贵而望洋兴叹,被迫选择裸奔。这就是新时代的网络安全不平衡、不充分!
进入新时代,网络安全必须从传统的买卖关系进入和用户紧密合作共生阶段。这需要网络安全产业具备两个重要的能力:持续迭代交付能力和持续服务运营能力。
持续迭代交付最典型的模式就是SaaS(可以说是软件即服务交付,也可以解读为安全以服务交付)。
过去,我们一个安全产品,从产品经理需求采集规划,到研发部门的开发实现、测试到发布,再到售前、销售、工程实施交付到用户手里体验。用户的意见再通过售后部门反馈回来给产品经理,形成新的补丁或产品进入新一轮周期,没半年时间根本不可能,导致用户拥有的安全检测防护能力远远落后于攻击者的更新速度。而SaaS模式使得开发、测试、交付和反馈环节都在线上同布进行,用户和开发者之间体验互动紧密结合,往往一个具体问题能在一到两周时间就得以解决。Saas模式已经在应用软件开发行业已经得到充分检验,只是在网络安全行业才刚刚开始。
中小企业是应用软件Saas的主力军。在过去却被网络安全厂商选择性忽略,是因为单个客户付费能力较低和厂商自身的渠道覆盖能力不足,但其安全需求是真实存在,而且没有掺杂水分。通过网络安全能力的Saas化,一方面可降低网络安全厂商的交付成本,另一方面也解决中小企业最为急迫的安全问题获取平衡收益。传统安全产品厂商演化为中小企业的安全服务运营提供商,这势必成为网络安全产业新的增长点。
持续服务运营应该是面向政府以及大型企业的新的安全保障模式。
我们的政府在新时代的要求,是从过去的唯GDP发展转化到构建智慧的服务性政府,这离不开互联网的作用,更离不开安全的保障。而这个时候的安全更应该看重的持续服务运营能力,而不是单一的安全技术或某些安全产品。
对于关键网络基础设施加强网络安全能力,既是国家安全的要求,也是政府提供公共服务的基础。必须通过专门的安全预算确保其安全投入水平,必须构建专门的安全运营团队(国家队)去主导负责。安全厂商凭借其技术能力、产品表现和服务水平也可参与到其中的建设,成为强大的后援团和提供商。
对于医疗、教育、交通、通信等等很多民生服务可以主要依靠市场提供,政府的主要职能是政策制定、产业引导和全面监管,对于这些民生服务领域的安全保障支撑工作也可以通过市场化的方式来进行。安全厂商可通过和政府相关部门用参股、合资等多种资本模式构建独立可信的第三方安全团队(或企业),通过持续数据分析来积累能力和经验,形成独特的安全服务保障能力。并且随着产业整合和创新服务多样化,这种安全服务能力可进一步延展对外运营,进一步扩大其规模化运营水平,获取良好的市场回报。
随着中央将网络安全视为国家安全战略的一部分,随着网络安全法的颁布实施,随着资本对网络安全市场的高度看好,越来越多的安全创业者正积极准备好来拥抱新时代的到来!
网络安全进入新时代的畅想
谁能引领人工智能,谁就掌控了人类的未来!
在十九大报告中明确提出:加快建设制造强国,加快发展先进制造业,推动互联网、大数据、人工智能和实体经济深度融合。这是第一次把人工智能把互联网、大数据放在同等地位。
国家已经正式发布《国家新一代人工智能发展规划》实施工作,明确人工智能重大项目实施分三步走:
l 第一步,到2020年人工智能总体技术和应用与世界先进水平同步,人工智能核心产业规模超过1500亿元,带动相关产业规模超过1万亿元。
l 第二步,到2025年人工智能基础理论实现重大突破,部分技术与应用达到世界领先水平,人工智能成为带动我国产业升级和经济转型的主要动力,智能社会建设取得积极进展。人工智能核心产业规模超过4000亿元,带动相关产业规模超过5万亿元。
l 第三步,到2030年人工智能理论、技术与应用总体达到世界领先水平,成为世界主要人工智能创新中心,智能经济、智能社会取得明显成效,为跻身创新型国家前列和经济强国奠定重要基础。人工智能核心产业规模超过1万亿元,带动相关产业规模超过10万亿元。
按照这个规划,结合了人工智能的机器人、汽车、家电和智能穿戴进入到工业生产和家庭生活,充分满足衣食住行多方面的物质需求,使得人民群众真的可以从物质生活极大丰富转向追求更为丰富的精神世界,想想都觉得幸福!
然而,天使和魔鬼从来就是硬币的两面,相伴相随。高度的智能化也必然使得网络安全问题进一步凸显出来。且不说科幻电影中提到的机器人和人到底谁是未来主体的社会伦理问题。在人工智能设备的控制权上,黑客要比普通人更具备条件。已经看到的问题包括不限如下:
家庭智能摄像头被恶意代码控制,在网上直播主人的起居生活隐私;
智能门锁存在漏洞被破解,给高级小偷大开方便之门;
智能家电如冰箱和烤面包箱被僵尸网络控制,用你的电费成为别人挖矿发财的工具;
无人机被劫持,进入机场等禁飞领域,影响民航的正常起飞降落
更不用说智能医疗设备、无人驾驶车一旦被黑客控制,成为危害人们生命的“杀人武器”。
在加速发展人工智能产业的形势下,必须同步考虑加强人工智能网络安全技术研发,强化人工智能产品和系统网络安全防护。在人工智能产品出厂前就必须带有安全属性和持续应对攻击的能力。
新时代的智能网络也是由云管端组成,因此对应的安全方案也必须在云管端三个层面形成对应有效的检测防护措施:
n 云中的安全重点主要是防护大脑(服务器)不被恶意侵入,同时防止数据污染。
n 通讯管道主要防止非法接入和控制命令流量被劫持
n 智能设备端点主要做好身份认证、防止恶意代码植入以及安全漏洞的及时修补,甚至是启用“召回”制度。
网络安全也会引入人工智能技术进行对抗。人工智能在计算和操控能力已经被证明可以远远超过人类本身。随着独立安全服务运营、Saas模式广泛应用,网络安全人员把自己的计算能力和运维操作能力进行各种建模,交给不同的网络安全机器人进行训练。这些机器人也可以逐渐替代初级的、中级的网络安全人员,把流程化的日常监测和运维操作的活都给干了,把真正需要高级判断和灵活处置的事情留给网络安全专家。
虚拟世界的网络安全和实体世界的安全本质上没有区别,都是基于安全风险的管理(测算、规避和止损),可采取的方法包括事前技术防控和事后补偿。
在实体世界中,对于风险管理的终极手段就是引入保险制度。保险公司基于统计数据测算风险发生的概率,确定投保和理赔的关系,确定盈利空间,推出不同险种产品。而投保对象也是用相对较小投入获取发生安全风险后的补偿。
在虚拟世界中,事前技术防控是网络安全企业重点所在,而对于引入补偿性的网络安全保险在国内仍属于较为新颖的产品。主要是保险界在产品定价方面缺乏数据和参考标准。而当将专家经验、人工智能和大数据进行充分结合,形成为开发相关保险产品必须的数据库,就为量化风险管理和预测奠定了基础。比如:在一定安全防护基线下特定服务的被入侵概率;用已知的可被利用漏洞的分布占比推算利用同类新漏洞的可能受影响范围,由此形成清晰化的风险计算模型。
同时,网络安全的法律问题也随着《中华人民共和国网络安全法》施行得以初步明确,网络运营者对网络安全问题要承担责任和采取必要的措施。除了加大安全防控技术投入,风险转嫁承担也提上日程。这或许将成为国内发展网络安全险的一个契机。
同时,越来越多的家庭进入智能时代,网络安全问题越来越容易被用户感知,使得“家庭网络安全险”的受众从过去的高净值人群延展到普通家庭。或许如同现在给爱车投保一样,在买冰箱、家用机器人的时候就考虑多花个百十元给买个额外网络安全保险将变得习以为常!
当网络安全企业和保险紧密合作,使得卖保险也成为这个产业主要的商业模式,网络安全新时代是不是就真的来了!
后记:
安全圈真是个神奇的圈子!这里面的人总是不甘寂寞,怀揣梦想!不论是曾被互联网重金网罗的攻防大牛,还是曾在外企风光无限的高管大佬,放弃过去的舒适安逸,重新过上起的比鸡早,忙的比狗累的生活,又投身到风起云涌的网络安全创业大潮中。
祝Secun现在的创业者们,借着新时代的东风,在网络安全创业路上早日梦圆!
海叔(在安全圈混了快二十年,从小鲜肉吴到油腻中年海叔。 )
定稿 2018年春节
声明:本文来自Sec-UN,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
