9月8日(ri),2023外灘大(da)會(hui)網絡(luo)安(an)全(quan)(quan)(quan)分論(lun)壇在上海(hai)舉行(xing)。論(lun)壇由(you)螞(ma)(ma)蟻集(ji)團和(he)(he)《信息安(an)全(quan)(quan)(quan)研究(jiu)》雜志社聯合主(zhu)辦,以“開啟原生安(an)全(quan)(quan)(quan)范(fan)式,護(hu)航網絡(luo)空(kong)間安(an)全(quan)(quan)(quan)”為主(zhu)題。會(hui)上螞(ma)(ma)蟻集(ji)團與浙(zhe)江大(da)學(xue)網絡(luo)空(kong)間安(an)全(quan)(quan)(quan)學(xue)院(yuan)重磅首發了一(yi)項(xiang)引領性網絡(luo)安(an)全(quan)(quan)(quan)成果 “原生安(an)全(quan)(quan)(quan)范(fan)式框架v1.0”。這是探尋網絡(luo)安(an)全(quan)(quan)(quan)本源的技(ji)術思想和(he)(he)方法體系的集(ji)成,主(zhu)要包(bao)括“OVTP可溯范(fan)式”和(he)(he)“NbSP零越(yue)范(fan)式”兩大(da)安(an)全(quan)(quan)(quan)范(fan)式,一(yi)大(da)技(ji)術創新“安(an)全(quan)(quan)(quan)平行(xing)切面”。

“現(xian)代化數字(zi)(zi)企(qi)業已經成為不斷演變和進(jin)化的(de)數字(zi)(zi)生命體,其架(jia)構復雜性(xing)會爆炸式增長(chang),正在加據企(qi)業內部數字(zi)(zi)化風險。網絡安(an)(an)全(quan)(quan)保障(zhang),本(ben)源還是要(yao)回到訪問是否合法的(de)問題。我(wo)們希望通過(guo)原生安(an)(an)全(quan)(quan)范式框(kuang)架(jia),為企(qi)業安(an)(an)全(quan)(quan)架(jia)構設計提供指引,讓原生安(an)(an)全(quan)(quan)從(cong)宏觀要(yao)求,走(zou)向可落地實踐(jian)”。從(cong)事多年重要(yao)網絡安(an)(an)全(quan)(quan)保障(zhang)工(gong)作,螞蟻集團(tuan)副總裁、首席技術安(an)(an)全(quan)(quan)官韋韜,對網絡安(an)(an)全(quan)(quan)的(de)新態勢和安(an)(an)全(quan)(quan)工(gong)作的(de)本(ben)質有深刻(ke)見(jian)解。

追溯網絡安全本源,原生安全范式框架v1.0外灘大會正式發布

(圖:螞(ma)蟻集團副總(zong)裁、首席技術安全韋韜(tao)發表主題演講(jiang))

面對(dui)網絡安(an)(an)(an)(an)全新挑戰,螞(ma)蟻集團從(cong)2019年(nian)開(kai)始(shi)便探索(suo)了(le)原生(sheng)安(an)(an)(an)(an)全范式(shi)(shi),并通過迭(die)代升級,實踐驗證不斷完善,凝聚(ju)成了(le) “原生(sheng)安(an)(an)(an)(an)全范式(shi)(shi)框架v1.0”。主要包括(kuo)兩大(da)安(an)(an)(an)(an)全范式(shi)(shi)、一大(da)技術(shu)(shu)創新。兩大(da)安(an)(an)(an)(an)全范式(shi)(shi)包括(kuo)“OVTP可溯范式(shi)(shi)”(Operator-Voucher-Traceable Paradigm,即OVTP)和“NbSP零越范式(shi)(shi)”(Non-bypassable Security Paradigm,即NbSP)。一大(da)技術(shu)(shu)創新主要是“安(an)(an)(an)(an)全平(ping)行切面技術(shu)(shu)”體(ti)系(xi),是從(cong)兩大(da)安(an)(an)(an)(an)全范式(shi)(shi)出發創新的方法體(ti)系(xi)。二者相輔(fu)相成,讓(rang)原生(sheng)安(an)(an)(an)(an)全理念得以落(luo)地。

兩大安(an)(an)全范式在原(yuan)生(sheng)安(an)(an)全思想下(xia),對網絡安(an)(an)全訪問(wen)(wen)問(wen)(wen)題提出(chu)了創新解法。簡單(dan)來看,OVTP就(jiu)是(shi)確保網絡訪問(wen)(wen)敏感操作可(ke)追溯可(ke)研判,如客(ke)(ke)服(fu)(fu)人(ren)員調用客(ke)(ke)戶信息時(shi)依賴的服(fu)(fu)務工單(dan),不致產生(sheng)越(yue)權漏洞(dong);而NbSP就(jiu)是(shi)類似機場安(an)(an)檢,攻擊者不會通過各種漏洞(dong)形成的隱蔽通道(比(bi)如下(xia)水道或者通風管)繞過安(an)(an)檢點。

螞蟻首創的(de)“安全(quan)平行切面”可(ke)以為現代數(shu)字化(hua)機構實現OVTP可(ke)溯范(fan)式(shi)與NbSP零越范(fan)式(shi)提供高效的(de)方法體系與基礎平臺(tai),實現了網(wang)絡安全(quan)治(zhi)理效果和效能跨越式(shi)提升。例如,2021年(nian)雙(shuang)十二大促期間,針對 log4j2漏洞攻擊,螞蟻集團(tuan)安全(quan)平行切面體系實現了小時級全(quan)站止血(xue),安全(quan)應(ying)急人(ren)力從 fastjson應(ying)急時的(de)6000人(ren)日降(jiang)低(di)到30人(ren)日,效能提升達到百(bai)倍(bei),止血(xue)加固雙(shuang)管齊下,業務0打擾(rao)化(hua)解危機。

在論壇(tan)上,圍繞“開(kai)啟原(yuan)生安(an)全(quan)范(fan)式,護航網絡(luo)空(kong)間安(an)全(quan)”,奇安(an)信、平(ping)安(an)集(ji)團(tuan)、之(zhi)江實驗室、北(bei)京煉石(shi)網絡(luo)、北(bei)京知(zhi)其安(an)科技、Certik公司(si)等單位的嘉賓(bin)也分享了行(xing)業(ye)實踐(jian)和最新研究。

中(zhong)國電子(zi)科(ke)技委副主任、奇安(an)(an)(an)信(xin)集團(tuan)總裁吳云(yun)(yun)坤認(ren)為,現(xian)代企(qi)業網(wang)絡(luo)安(an)(an)(an)全是從業務出發(fa)的(de)內(nei)生(sheng)安(an)(an)(an)全,這樣(yang)的(de)安(an)(an)(an)全防(fang)護體系(xi)具備三個(ge)關鍵要素:第(di)一(yi),從關注(zhu)業務出發(fa),構(gou)建內(nei)生(sheng)安(an)(an)(an)全體系(xi);第(di)二,從關注(zhu)“人”出發(fa),將安(an)(an)(an)全機制內(nei)置于數(shu)據全鏈條(tiao);三,從關注(zhu)運(yun)營出發(fa),構(gou)建實戰安(an)(an)(an)全運(yun)營體系(xi)。這些能力幫助(zhu)奇安(an)(an)(an)信(xin)“零(ling)事故(gu)”完成了2022年(nian)北京(jing)冬奧會網(wang)絡(luo)安(an)(an)(an)全保障,吳云(yun)(yun)坤介紹。

追溯網絡安全本源,原生安全范式框架v1.0外灘大會正式發布

(圖:中國電子科技委副(fu)主(zhu)(zhu)任、奇安信集(ji)團(tuan)總(zong)裁吳云(yun)坤發表主(zhu)(zhu)題演(yan)講)

平(ping)安(an)(an)(an)(an)集團首席信息安(an)(an)(an)(an)全(quan)(quan)(quan)總監陳建分(fen)享了原生安(an)(an)(an)(an)全(quan)(quan)(quan)典型實踐 DevSecOps:代碼(ma)即安(an)(an)(an)(an)全(quan)(quan)(quan),在(zai)(zai)編寫(xie)代碼(ma)的(de)(de)過(guo)程(cheng)中將安(an)(an)(an)(an)全(quan)(quan)(quan)性(xing)(xing)(xing)(xing)視為(wei)一(yi)(yi)個核心要(yao)素,以確保(bao)開發出的(de)(de)軟件(jian)應用(yong)程(cheng)序在(zai)(zai)安(an)(an)(an)(an)全(quan)(quan)(quan)方(fang)面具有(you)高度的(de)(de)可信度和(he)防御性(xing)(xing)(xing)(xing);上線(xian)即安(an)(an)(an)(an)全(quan)(quan)(quan),在(zai)(zai)應用(yong)程(cheng)序上線(xian)之前(qian),必須確保(bao)應用(yong)程(cheng)序具有(you)高度的(de)(de)安(an)(an)(an)(an)全(quan)(quan)(quan)性(xing)(xing)(xing)(xing)和(he)可靠(kao)性(xing)(xing)(xing)(xing),減(jian)少后期修復漏(lou)洞和(he)問題的(de)(de)成本(ben);運(yun)營即安(an)(an)(an)(an)全(quan)(quan)(quan),在(zai)(zai)軟件(jian)系(xi)統和(he)業務運(yun)營的(de)(de)過(guo)程(cheng)中,將安(an)(an)(an)(an)全(quan)(quan)(quan)性(xing)(xing)(xing)(xing)視為(wei)一(yi)(yi)個持續的(de)(de)需(xu)求,確保(bao)在(zai)(zai)運(yun)營階段保(bao)持高水平(ping)安(an)(an)(an)(an)全(quan)(quan)(quan)性(xing)(xing)(xing)(xing),降級遭受(shou)攻擊風險。

北京(jing)煉(lian)石網絡創始(shi)人、CEO白小勇介紹,基(ji)于安全(quan)平行(xing)切面技術(shu),煉(lian)石網絡在數據(ju)流動的切面上重(zhong)建安全(quan)規(gui)則,實(shi)現(xian)了安全(quan)與業務在技術(shu)上解耦、能力(li)上融合(he)。“免改造(zao)應用落(luo)地原生數據(ju)安全(quan),兼容多、交付快、防護好、省成本(ben)”,白小勇表示。

公安(an)部第(di)三(san)研究所(suo)副所(suo)長金波,第(di)十(shi)三(san)屆全(quan)國政協委員、上海市信息(xi)安(an)全(quan)行業(ye)協會名(ming)譽會長談劍鋒(feng),對于原生安(an)全(quan)范式開帶(dai)啟(qi)的網絡安(an)全(quan)治理表達了殷切期待(dai)。

原生安全范式的(de)核心思想(xiang)是(shi)讓(rang)安全能(neng)力融入業(ye)務的(de)毛細血(xue)管,這一思想(xiang)也正在重塑現代企(qi)業(ye)安全治理(li)。論壇參會嘉賓(bin)一致認為,原生安全范式這一高效能(neng)的(de)安全實踐,強依賴于(yu)范式認知與(yu)安全基(ji)礎(chu)設(she)施的(de)演進,需要(yao)更多的(de)企(qi)業(ye)、機(ji)構參與(yu)技術(shu)共(gong)建、應用探索,共(gong)同(tong)打造高安全水平的(de)網絡空間。