我和我的网安之路
在互联网与人们生活关系如此密切的今天,网络像水、电一样走进千家万户,成为生活必不可少的一部分。网络安全引发的问题日益普遍,其危害性愈发严重,维护网络安全已经上升为国家安全战略。“我和我的网安之路”是对国内网络安全大咖的系列专访,他们中有国内顶级网络安全学者、著名白帽子、CTF挑战赛冠军、名校教授、权威测评机构专家、青年创业者等。通过倾听一线网安从业者真实的声音,向大家呈现当今网络安全世界的生动景象。
嘉宾:白小勇,北京炼石网络技术有限公司创始人、CEO,北京理工大学硕士。擅长密码应用、数据安全,开创性的将CASB云访问安全代理技术改进并融入企业私有场景,实现应用免改造的细粒度数据防护,在密码数据安全等领域具有多项发明专利。
索引
数据安全密码应用实践者白小勇:密码安全创新重点在于融合密码与其他安全技术一体化;密码应用的一个新视角是面向切面加密;采用主动式防护手段保护数据安全;合规与实战两者并不冲突,而是互为辩证、互相促进的两类需求;密码和业务、新技术场景的融合是大趋势;安全法律法规的一个目的是让安全成为公共产品。
01缘起安全技术沙龙
我研究生毕业后,在用友公司工作了10年,参与和负责财务ERP领域的应用安全开发架构。一次机缘巧合,我参与到“逐鹿安全沙龙”技术圈,开始接触了解安全行业。过去,应用和安全看似是交集很少的两个圈子,但我们认为安全应该内建到应用中(Build Security In),方能对业务和数据进行有效防护。我意识到将安全与应用深入融合会很有价值,是个可深入挖掘的思路。当时,数据安全市场已经开始加速发展,我于是选择离开了用友,“跨界”到网络安全行业,于2015年2月创办炼石公司,开启创业新征程。
02网络与数据并重的安全建设成为趋势
无论是数字经济还是新基建,数据安全都是重中之重。对于数字经济的一个直观理解是数字产业化和产业数字化,前者是把IT相关的产业做大,后者是用IT的手段把非IT产业进一步提升;新基建包括信息基础设施、应用基础设施、创新基础设施。综合来看,密码和安全技术均应服务于发展和业务,2016年习总书记在419讲话中提出“安全是发展的前提,发展是安全的保障,安全和发展要同步推进”,数字经济蓬勃发展,安全必将如影随行。
从用户需求角度来看,安全和业务相结合相对滞后,比如《个人信息保护法》、《数据安全法》等法律尚未通过,有些法律已生效但在具体执行落实方面亟待强化。对用户而言,若监管手段没有落实到位,企业在评估风险的时候可能会考虑数据泄露对企业会有什么实际影响,对数据加密保护有什么实质收益?这就引发了外部经济学问题,当消费建设方和受益方不一致,建设可能就不足了。当然积极的看,安全建设一直是在被“打脸驱动”和“合规驱动”叠加推进和发展,网络安全与信息化建设的同步规划、同步建设、同步运维是大势所趋。
回到现实,当前我国的安全支出在整个IT产业中占比非常小,远低于美国,这是当前我国网络安全产业的结构性问题,同时这也意味着未来安全市场的增长潜力。从十四五国家顶层规划来看,安全已经被提到了一个新高度。安全管理不仅是木桶效应,木桶效应指整体防护水平取决于短板,安全管理更像是一个火药桶效应,哪个点出了问题,整个体系就直接炸了。总的来说,信息产业的安全能力薄弱,面临着严峻威胁,而这也给安全行业带来发展机会,尤其是技术创新驱动的“新安全市场”。
过去,企业安全建设侧重用防漏洞和补漏洞的思路来保护数据,比如防火墙、反病毒、IDS,也就是“以网络为中心的安全”。然而,网络漏洞在所难免,我们需要采用更加主动的防护手段,即直接对数据本身进行加密、访问控制、安全审计等,这就是“以数据为中心的安全”,未来企业安全建设趋势将成为网络安全与数据安全并重发展。
传统的安全防护模型,从外到内依次是物理环境安全、系统安全、应用安全、主机安全,最内核是数据安全。这个模型仅适用于保护“静态数据资产”,到今天已经不太适用了。因为数据贯穿流转于基础设施、中间件、业务应用等信息系统的每一层,和其他层更像正交关系,就好比人有躯干、大脑、四肢,但是血液在全身流动。数据就是信息系统中的血液,而数据安全本质上是在数据流经过的关键节点上,对数据施加安全规则。加密和访问控制都是事前的防护手段,其中加密是在开放环境中保护数据,而访问控制则通过构建封闭环境保护数据;安全审计是事后的防护手段,用于分析追溯问题。
网络与数据安全互为补充,安全现在面临的问题不是做的过多导致冗余,而是出血口太多、目前防护能力远不够。事实上,应用系统、安全产品、基础设施都潜藏着漏洞,或者存在考虑不周的安全设计缺陷,好的安全理念应该是面向失效的安全机制,通过有联动协同的纵深安全机制,构建有效防线。
03在数据安全密码应用中寻找增量市场
对安全创业公司来说,既要了解最新的前沿技术进展,又要发现用户内在和外在的需求,然后提供有竞争力的产品帮用户解决问题。数据安全产业有很多技术前沿方向亟待突破,比如数据众包、数据外包,我们希望外包公司处理数据和数据计算,但是不希望这些公司掌握机密数据,这意味着一些特定的数据需要进行密文状态计算,在这方面学术进展还处于偏早期的阶段,实现产业应用规模化或许还需要一些时间。
安全创业企业想要从巨头环伺中逆袭突围,就需要找到有效的增量市场,我认为围绕业务应用做数据安全是一个有效的着力点。其中,密码技术可直接作用于数据,利用密码在身份鉴别、数据加密、信任传递等方面的作用,能够重构数据安全防线。密码作为数据安全的杀手锏技术和核心支撑,在政务、金融、教育、医疗、文旅、制造业、电信及工业互联网等关乎国计民生的领域大有可为。当然,我们应当避免“唯密码论”,仅采用密码技术难以构建有效防护,需要将访问控制、审计等其他安全技术与密码一体化融合。2018年国家顶层密码规划36号文明确提出,要构建“以密码技术为核心,多种安全技术相互融合”的网络安全体系,倡导密码保密一体化。2020年1月1日《密码法》正式实行,将密码应用的相关制度上升为国家法律,明确要求关键信息基础设施等使用商用密码保护网络安全。基于此,炼石网络定位是一家将密码技术与访问控制、审计等技术相结合的数据安全产品公司,基于用户的行业流程和复杂多样的业务场景,提供综合的数据安全解决方案。
尽管国内商用密码行业相比于国外起步晚,密码算法的设计和标准颁布也相对滞后,但我认为在目前的大部分业务场景中,商用密码算法可以做到对国外算法的等效替换。等效替换指的是对原来采用AES/RSA/SHA等国外算法的场景,换成SM2/3/4等商用密码也不会影响业务运行。密码产业包含算法、产品、应用等环节,过去做密码,多集中在做密码算法、密码产品,而密码应用占据最大价值链分配、但相对薄弱。密码监管机构抽查的全国一万个等保系统中,完全没有密码的系统占大概75%,剩余25%的系统仅有很小的比例采用国密,并且也只是浅层次的应用国密。
所以在这样的产业背景下,当前密码法和配套法规都在强调密码应用,但是这些行业内并没有广泛使用国密,究其根本原因是推广比较复杂,所以普及国密需要多管齐下:需求侧规划引导,供给侧持续优化,监管手段也得随之升级。当前商用密码产品亟待在好用易用方面改进提升,传统技术路线会基于密码机硬件设备提供SDK让用户进行密码整改,而这会给应用开发人员带来较大负担,因为整改意味着要投入人力。
为了进一步降低其密码使用门槛和集成工作量,炼石在这个痛点问题上做了深入探索,提出免开发改造应用的数据加密技术路线,对应用运行不影响,也避免实施加密带来业务风险,在快速解决合规问题的同时,也能有效提升实战防护能力。
04面向切面的安全新思路
我们把密码和应用相结合的技术路线称为面向切面加密,用加密代指安全,实际上它是面向切面的安全体现,这是一个比较新的视角。有效的安全防护模型,是把安全防护能力和用户身份、数据字段等业务场景紧密结合,以金融行业个人信息保护为例,从监管的角度已经提出了一些要求,要将个人信息分成一类、二类、三类,不同的分级意味着安全措施和业务场景紧密结合,但是如果按传统思路进行结合,往往会给应用带来比较大的负担。而面向切面的加密实现了在数据流经的关键咽喉要道,以切面的思路能让安全能力和业务应用深入融合,但在技术上又是解耦的,所以不需要改造现有应用系统,仅需通过配置即可实现安全增强。进一步的,从安全能力看,流动数据本身没有边界,我们的做法是把数据放在一个安全增强点上进行加密,用这种方式给数据重新塑造了一个虚拟边界,在解密点上结合用户身份进行脱敏等访问控制,这样就构建了一个“防绕过”的访问控制、高置信度的访问审计,不仅可防范外部攻击,也可以防范内部业务人员越权。
此外,结合数据在业务流转中的安全风险应对,我们在探索“以数据为中心的安全防护技术模型”,面向时间维度的传输、存储、使用等数据形态,结合空间维度的基础设施、中间件、业务应用等分层,施加NIST IPDDR模型中的发现、防护、检测、响应、恢复等不同安全能力,分阶段规划企业数据安全防护能力成熟度,帮助企业实现数据安全防护能力螺旋式提升。
05懂是非、守正义
首先,我认为网络安全行业的从业者,对于是非正义一定要有特别清晰的认知,也要有很强的法律意识,因为网络安全的对立面是庞大的黑产、灰产。
其次,网络安全行业对于技术能力的要求非常高,搞业务开发仅需清楚如何使用Java调用数据库,而安全还要分析数据库的协议、以及密码应用等,所以安全对人才能力的要求普遍要高于业务。
再次,业务本质上是和自然规律对抗,比如业务高峰如何实现高并发,而安全是对人的动态对抗,攻防两侧永远是道高一尺魔高一丈,安全面临着时间、空间等维度全面开放的无止境对抗环境,加上新技术场景又会带来新攻防手段,所以安全行业是“技术常青树”。
最后,每位从业者进入安全行业需要抱有初心,先守正、再出奇,顺序不要搞反。
目前,国家十四五顶层规划已经把安全上升到与发展统筹协调的新高度,数据安全也迎来了前所未有的发展机遇。我觉得创业于网络安全行业,始终都应保持积极奋进的工作状态。创业者应当战略上乐观的看待大方向,战术上谨慎的做好每一个细节;而在今天面临全球疫情、经济形势调整的艰难环境下,企业服务创业者当下最要紧的是扎实修炼内功,打磨产品、服务客户、把控好现金流,步步为营,企业服务创业特别考验个人对行业的理解、技术水平、以及人脉等,创业者也应当保持强烈的求知欲,不达目的不罢休的干劲,实现自身能力螺旋式提升,带团队持续前进、夺取胜利,不负时代不负己!
