数据政治:“新基建”中问安全

崔桂林/文 在全球性的疫情演化与经济挑战之下,“新基建”方案成为备受瞩目的产业焦点。即使没有疫情,高质量发展、数字化转型,也是摆在国家和企业面前的方向性题目。

在过去几年中,腾讯、阿里等数字科技企业连同金蝶等软件企业,和三一、徐工、永辉等各领域的代表性实体企业,已经在产业互联网的发展路上汇流,在零售、交通、教育等诸多领域取得了显著成绩。AI质检、数字孪生辅助设计、预防性运维、建筑IoT操作系统等深度数字化的生产方式已经开始得到推广,如何在数字化主题下实现转型和保持竞争力,已经成为企业界讨论的重点话题。

疫情没有改变方向,但改变了节奏。为克服困难、开创新局,国家做出了进一步加快“新基建”的部署,在此前已提出的5G、AI、工业互联网、物联网等领域外,又增加了数据中心的内容。本质上,无论是存储、通信、硬件还是算力,都是产业数字化的基础设施。“新基建”的提速,将在这个方向上降低企业的技术、成本、环境等门槛,为各个领域数字化转型创造更好的条件。

连接着眼于发展。5G通信与日臻成熟的云联网,让人与物、物与物、实体与虚拟孪生体之间的信息传递无限趋近于瞬时,效率提升的同时,共振也变得容易。技术应用的背景下,产业主体之间的业务关联也变得前所未有的复杂,平台、共享、生态之中,你中有我,我中有你。“共同体”说法的背后是难解难分、“牵一发而动全身”的产业事实和所趋大势。

不过,利弊相随,连接也让风险震波的深度、广度、烈度前所未有。在IT与互联网领域,人们喜欢用“天花板”,来形容网络安全保障能力的需求底线。随着数字经济的扩展,“天花板”亦在水涨船高。

按照马斯洛的需求层次论,生存与安全是所有需求的基础。当健康与公共安全遭受挑战之时,经济不得不退而另寻方案。这一点,人们很快达成了共识。安全是数字发展的基石,称之为“新基建”的“基建”亦不为过。基建先行,本是应有之义,矛盾之处在于,安全与健康一样,只有在它遇到挑战时,人们才能切肤感知到它的存在,而平素在追求看得见的效率、效益之际,又难免以“重要非紧急”的冗余视之。

疫情终将过去,回归正常后,在可以预想即将掀起的数字化建设热潮中,我们应该如何看待、应对、处理“安全”这一基础性命题?在“新基建”的热议中,微盟事件恰当其时地为人们提了醒。

安全有狭义与广义之分,微盟事件涉及的主要是产业互联网语境中狭义的网络安全。广义的安全不仅涵盖具体领域,还包括社会与个体安全、权益安全与供应链、国家战略安全,强调安全对产业发展模式、发展方向的约束。

微盟事件过去已经有月余,安静之后,我们能看得更清楚。祸起于核心运维人员的恶意删库,SaaS体制之下给300万商户和微盟自身造成了巨大的经济损失。历时一周,在腾讯云相助之下,环境、业务和数据才逐一恢复。事后微盟提出了赔偿计划和整改方案,为事件画上了句号。

这是一起典型的安全事件。在安全领域,“事件”是一个专业术语。一般来说,网络安全分为事件、威胁和风险三层。面对事件,需要的是应急、响应、处置等对抗性行动;面对威胁,主要是预防,例如漏洞扫描、风险加固、风险评估等;而风险是广泛存在的,为了发展,能做的是权衡得失、加以控制,对企业来说,灾难备份是最基本的方法。事件暴露了微盟在管理上的漏洞,业务连续性、灾难备份准备不足,在事件、威胁、风险三个方面同时犯了大错。 但从产业健康发展的角度,塞翁失马,不完全是坏事;但对微盟事件的反思不该辄止于此,至少以下四点就值得业内思考。

第一,产业互联网环境下,海量的中小企业将业务、数据、安全,托付于第三方的SaaS服务商,这本身是一种集中式、放射状的产业生态结构,处于节点位置的SaaS厂商责任巨大,“超额”“超前”的安全投入是必要的。节点一旦出现安全事件,应对不及,其破坏力远大于以往彼此独立、自营的状态。2015年携程因误操作导致的官网和APP崩溃,2018年顺丰因误删数据库导致的部分功能失效,都仅限于自身。显然,微盟事件的波及范围远超过了前两者。

第二,中国的云计算时代开启不过十年,应对业务与IT一体化的云原生安全问题,需要匹配新的安全保障能力。云时代之前,企业IT设施不仅是本地部署,通常还是由独立的技术后台进行建设和维护,与业务前台彼此脱节。

互联网时代开启后,大量业务开始与IT架构融合(如电商、OTA)。产业互联网时代,前台本身已经与云架构深度融合,应用、业务、用户、数据都在云上,IT系统故障就意味着企业业务的中止,IT数据的破坏就意味着企业资产的损失。这种“云原生”的安全问题,与传统的IT环境复杂、破坏程度不在一个量级,需要匹配新的安全体系。

第三,大型云厂商在事件抢救中发挥了重要作用,显示了生态中枢型企业在产业互联网中的砥柱价值,能力越大、责任越大。做负责的盟主,对维护生态健康和秩序、增强生态互信、促进分工合作关系的优化,具有积极意义。

以腾讯云为例,其实现传统架构和云架构灾备的统一,备份、容灾和仿真演练的统一;基于云架构的一体化的整机备份,保护的不仅仅是数据,还有数据库、应用和系统环境。当业务系统遭遇灾难,数据云灾备平台可以将业务恢复到发生故障前的任意时间点,再去定位、修复故障,从而最大限度控制了灾难影响(数腾软件徐礼长)。

第四,安全是业务系统的基石,本质上,是一个技术、资产、制度与人四方结合的复杂服务环节,对人的重视,需要知行合一。风险不能消除,只能管控,这意味着再完备的技术和设施投入也不存在“充分”和“足够”,何况没有生命的设施需要在流程、制度中运行,才能真正发挥作用。

安全是攻防的过程,设施、制度、流程之外,最重要的还是人的持续投入。无论怎样问责微盟的制度漏洞,也不能掩盖问题出在人的事实。更多优秀的人才、更妥善的安全教育、更负责任的安全管理、更高的企业与社会认可,是持续改善产业安全环境的必要条件。

近年来,与快速发展的互联网产业和产业互联网趋势相随,中国网络安全产业规模增长也在提速。2018年,中国网络安全产业从业企业近3000余家,涵盖网络安全各个细分领域。而安全领域是一个“石榴状”的市场,涉及非常精细、繁杂的细分环节,市场“碎片化”现象比较突出。

中国信息通信研究院数据显示,产业营收总规模达到510.92亿元,较2017年增长19.2%,预计2019年将增长超过20%,达到631.29亿元。另据15家网络安全领域上市公司的年报数据,总体销售额的增长率从2015年的26.5%到2018年的36%以上,逐年在增高,显示了产业体系日趋健全,技术创新、技术应用和产业活动的朝气蓬勃。

但总体来说,考虑到中国互联网应用领域产业规模庞大、消费端高度发达、创新活跃,而相关法律、法规和治理体系相对滞后,跟美国等互联网技术和应用领先国家相比,中国在网络安全上的投入严重不足。

举例来说,企业安全投入预算会与IT建设运维总投入成相对稳定的比例关系,对于这个比例,IDC给出的建议是13.7%(2015),IBM的建议是10%,Gartner给出的数字是4%到7%(苹果资本许俊)。

尽管中国互联网和IT领域发展迅速,但对安全的投入却非常有限。中国网络安全产业联盟发布的《中国网络安全产业报告》显示,美国网络安全领域投入占IT投入的4.78%,全球的平均水平是3.74%,中国却只有1.84%。另据2015年PWC进行的一项对网络安全领域的统计和分析,人均网络安全支出金额,中国只有2美元,与北美(134美元)、英(104美元)、日(103美元)等互联网应用和技术发达国家形成强烈反差。

投入不足的另一个表现是产业规模。相对于中国500-600亿人民币的安全市场,以美国、加拿大为主的北美地区2018年网络安全市场规模超过500亿美元,是中国的6-7倍。而中国在电商、社交等诸多领域的网络应用规模早已经是世界第一,做个极端化的类比,犹如“带着刹车隐患在狂飙”。

2017年以来,中国加快了网络安全相关治理和立法工作。中央成立了网络安全和信息化领导小组、设立了国家互联网信息办公室,《网络安全法》(2017)、《密码法》(2020)相继投入实施,备受瞩目《电信法》《数据安全法》列入了立法日程,《国家关键信息基础设施安全保护条例》也即将出台。

在《网络安全法》基础上,2018年,公安部发布《网络安全等级保护条例(征求意见稿)》;2019年5月,《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等一系列“等保2.0”相关国家标准颁布,为政府、企业的安全建设提供了可以依靠的规尺,安全的合规性特征将有助于切实提高网络安全的建设水平。

作为国家强制标准,“等保2.0”涉及政府机关的网络与办公信息系统,涉及电信广播通信网络、互联网信息服务、接入服务、数据中心等现在列入“新基建”范畴设施的信息系统,涉及金融、交通、能源、教育等各个行业信息系统,对不同场景提出了不同的规范要求。

在五级保护等级体系中,受损害的对象考虑国家安全,社会和公共利益、公民、法人和其他组织的权益,根据损害程度确定不同的级别。“等保2.0”将公民、法人和其他组织的合法权益严重受损从第二级升到第三级,正是因为一些事件的推动。

“等保2.0”新标准中,每一级在技术设施和管理运营方面都提出了基本要求;除通用要求外,均还新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全等扩展要求,以应对新技术的发展。

在防御思路上,跟信息安全保护(等保1.0:2004-2008)时代相比,网络安全保护(“等保2.0”)的思想发生了重要变化。

第一,从被动防御变成了主动防御,整体防御也分区隔离,不仅在边界上防御,在内部也进行多层多种防御,相当于在边界上防不住时,在内部控制影响范围,尽量更早发现问题。第二,提出了事前、事中、事后的防御,超越了过去在受攻击时进行防御的逻辑,对事后审计、溯源也提出了要求。第三,由被动保障向感知预警、动态的防护、安全检测、应急响应做转变。

应该说,顶层的重视、一系列法规的出台和等级保护体系的更新,为产业互联网的发展提供了制度保障。“等保2.0”有助于产业安全标准的统一和安全意识提升,另一方面,合规性需求驱动下,网络安全产业和网络安全强化建设将有望应来一个新的发展机遇期。

在数字化转型升级的大潮中,具体到产业的生产实际,存在三个与安全相关、至关重要的新问题值得严肃思考,分别涉及数据、工业环境生产安全和芯片底层。

数据是新的生产资料和可流动的无形资产。安全工作的第一步往往是从资产定义和发现开始的,资产定义和发现之后,做漏洞检测与加固。资产数据安全(包括数据的防泄密、磁盘加密、文档安全)和数据连续性保护(包括容灾备份、数据库安全、大数据保护)等。

从数据意义上说,网络安全的价值用IT投资比例来衡量是不妥当的,或许应该基于IT系统所承载的数据价值和以数据为基础的业务价值来评估。然而,数据资产的价值恰恰具有模糊、不确定性,其价值不来自于二进制的数字代码,而取决于数据的流动和使用。不同的使用者、使用场景、使用时机,数据发挥的价值千差万别。

正因为数据流动性与价值的不确定性,对数据资产的全生命周期管理显得格外重要。从资产保护的角度,数据的产生、流动、存储、使用及销毁等过程,都需要纳入到安全管理的范围,对数据泄露风险,也需要进行必要防控。

从数据全生命周期管理角度,云平台模式具有鲜明的技术优势。在微盟事件中发挥重要作用的腾讯云,就嵌含着“云数据安全中台”,以数据加密软硬件系统、密钥管理系统以及凭据管理系统能力为核心,将密码运算、密码技术及密码产品以服务化、组件化、产品化的方式输出给企业使用者,有利于企业实现从数据获取、事务处理及检索、数据分析与服务、数据访问与消费过程中的全生命周期的安全防护。

无论是从消费、服务端出发的“产业互联网”,还是从生产、制造环节出发的“工业互联网”,将信息技术应用于生产过程都是追求的目标。

但来自IT意义上安全产品和服务,并不能完全满足工业生产信息化实际需求,IT与OT(运营技术)是不同的技术、不同的物种,不能将两者混淆,认识这一点,在即将到来的“新基建”热潮中尤为重要。

在技术环境上,IT是动态的,IT系统需要经常修复、升级、替换,关注数据机密性、完整性和可用性(即CIA)。但OT的环境追求稳定性、安全性和可靠性,涉及维护复杂敏感环境的稳定。工厂运维常说的话是“只要能用就别动”。IT追求使用包括安全技术在内最新的硬件和软件,而OT则不可能对设备进行高频更新,需要与遗留技术、甚至前互联网时代技术为伍。

在工业使用场景中,在需求方面,工业需要保障生产的连续性和可靠性,IT网络时延等技术在OT网络中未必适用。在复杂度方面,IT资产管理模式也未必能适应OT网络中混合的生产协议、未知资产、遗留系统和设备,IT安全方法也未必适配于工业领域垂直性强的特性。

现代运营往往横跨复杂的IT和OT基础设施,涵盖成千上万的设备,且这些设备越来越多地通过工业物联网互联,给工业环境安全带来了新的挑战。

Gartner 统计,2018年,10%以资产为中心的企业,采用将传统安全与专业OT安全技术混合部署模式来保护OT环境,该比例在2022年将达到30%。支持更多工业控制协议的细粒度解析,正确标识与管理运营资产、充分挖掘和使用垂直威胁情报,将成为工业互联网安全发展的重要方向(中国信息通信研究院,2019)。

与消费互联网时代个人信息与数据安全、数据权益相关安全话题不同,产业互联网时代,数据、信息相关的安全影响价值要大得多,特别是涉及电力、交通、政府、关键工业设施等,更是攸关网络安全范畴之外广义安全的重要问题。彻底的保密有赖于核心电子器件、高端通用芯片、基础软件产品(即“核高基”)等核心技术能力联合发挥作用。

举例来说,在加密领域,安全加密基于根密钥。而所有基于软件产生的根密钥都是尾随技术,是根据计算机的当前时间或者ID计算的结果,在技术上可以反推、破解。但如果基于硬件安全,如芯片中的电子运行轨迹,由于电子云的不可测性,密钥生产过程即完全不可测、不可反推。此外,基于量子计算的随机技术,由于量子不可测,也是一种“真随机数”(紫光云,王勇)。

从芯片上说,由于芯片内含有逻辑算法,能够进行一定的数据传输和后台计算,如果使用者在未掌握芯片逻辑的情况下使用,就面临潜在风险。国际上曾经有过相关的安全事件,对化工、电力、电网等领域而言,故障和重启的损失难以估量。

安全是产业互联网的基石,而“核高基”特别是芯片是安全的基石,此言不虚。考虑到近年来的国际环境和供应链变局,“自主可控”的重要性已经无需赘言。任何技术产品都需要在应用中发展和完善,从这个意义上说,为“自主可控”的芯片提供应用空间,有利于更广大意义上的安全保障。

开放是互联网的天然属性,新型基础设施的大规模建设,将为产业互联网生态的进一步扩展、完善提供更充裕的基础条件。

不过,在憧憬未来、大干快上的同时,也需清醒认识到,恰如完好的制动系统是车辆在高速路上飞驰的必要条件,安全和健康的互联网才能创造一个理想的产业互联世界。

在一个典型的产业互联网生态架构中,无论三次产业中的应用多么繁荣,无论工具箱里面有多少武器可以用来摧城拔寨,都是建立在技术与安全的底座上。

现代战略管理学的旗帜迈克尔·波特教授在《什么是战略》一文中强调,战略是定位、是适配、是取舍。从适配意义上说,有多少用于“赚钱”“攻略”的技术和业务开发,就应该有多少用于“防身”“看家”的安全设施与之匹配,这是基本的战略管理要求。

清华大学朱恒源教授在《战略节奏》一书中,也描绘了产品市场与资源市场之间的动态关系。产品市场跑得太快,在企业的资源和能力建设上就容易形成“结构洞”,及时填补这个洞非常重要,也许也非常紧急。在蓬勃发展的产业互联网大势下,微盟事件提醒我们,认真做亡羊补“洞”的检查是明智之举。

近年来,在产业互联网开放生态扩展的同时,“零信任”(即“所有网络流量都不可信”)已经提上了互联网安全管理的议程。2018年,Gartner就提出,零信任是实践持续自适应的风险和信任评估的第一步。

零信任以默认拒绝的方式开始,认为需要认证一切,按需对不同身份(设备、用户和网络流量)授予区别化和最小化的访问权限,并通过持续认证,否定“通过认证即被信任”的防护模式。

随着云计算、大数据、微服务、移动网络等技术的发展,移动成为设备、业务和人员的基本属性,网络“内部”和“外部”边界区别也逐渐模糊,传统基于网络边界的防护模型在新网络态势中不再适用,基于零信任模式的需求将逐步增加,对零信任理念的理解也将在实践中逐渐深化。

国外的谷歌、思科,国内的奇安信、腾讯等安全领域的众多企业都已经开始了相关技术探索。构建创造信任产业平台与趋向“零信任”的安全逻辑。字面的矛盾,恰恰反映了底层的真谛:信任来自安全。

《孙子兵法》云:昔之善战者,先为不可胜,以待敌之可胜。以“不可胜”为目标的安全,与以“可胜”为目标的新基建,攻守之道,也许正在乎节奏之中。