360杜躍進：安全需要轉向以能力為核心的新時代

隨著全球數字化轉型的加速，世界正在進入以資訊產業為主導的經濟發展時期，數字經濟正帶動全社會邁入新時代。作為數字經濟的基礎保障和重要支撐，新基建行業正迎東風，但也面臨著APT組織、網路犯罪團伙活躍帶來的新威脅。

“安全需要轉向以能力為核心的新時代。”在近日舉辦的“新基建，新安全——關鍵資訊基礎設施安全論壇”上，360集團副總裁、首席安全官、大資料安全協同技術國家工程實驗室常務副主任杜躍進博士提出這一觀點。

大會由廣東省公安廳和廣東省密碼管理局指導，工業和資訊化部電子第五研究所（中國賽寶實驗室）等6家單位主辦。旨在推動廣東關鍵資訊基礎設施安全保護先行先試探索與實踐，透過關鍵資訊基礎設施保護實踐與發展之道的交流分享，促進關鍵資訊基礎設施、重要網路和資料安全保護工作，形成一批切實有效的實踐創新成果，為全國關鍵資訊基礎設施保護工作推進提供參考，為廣東網路強省製造強省的建設，保障和促進廣東數字經濟、廣東新基建十大智慧工程安全發展提供有力支撐。

對抗趨勢加劇 數字空間安全概念升維

新基建本質上是數字化基建，其上承載著智慧醫療、網際網路金融、電子政務、工業網際網路等眾多場景。可以說，未來世界必然是數字化世界，其核心特徵是軟體定義一切、萬物均要互聯、資料驅動一切。

但從安全形度看，這也意味著漏洞存於每個地方、攻擊可以由世界任何一個地方發起、資料安全威脅關鍵業務。“更加直觀的表現，就是數字化空間對抗趨勢加劇，即主觀攻擊意圖普遍增強。”杜躍進談到。

360集團副總裁、首席安全官、大資料安全協同技術國家工程實驗室常務副主任杜躍進博士

這種對抗性可以從三個方面佐證。一是美國已組建了133支網路戰部隊，未來還將建27支。在這種示範之下，超過120多個國家紛紛效仿成立自己的網軍部隊，更有國家背景的APT組織日益猖獗，規模化、組織化的網路犯罪團伙、恐怖主義組織和頂級駭客活躍；二是2019年9月24日，美國、英國、澳大利亞、紐西蘭、加拿大、日本、韓國等27國簽訂《關於推進網路空間負責任國家行為的聯合宣告》將進攻性網路攻擊合法化，把網路空間變為新戰場。這一宣告釋放出一個訊號：以後網路攻擊變得更加合法化將成為常態；三是整個國際形勢大背景的影響，比如網路軍控進展緩慢、國際形勢趨於緊張等。

在這種主客觀條件影響之下，我國的關鍵資訊基礎設施將成為網路戰的首選目標，面臨強敵威脅的風險。無疑，數字空間的安全概念已經不同往日，我們已進入大安全時代。

以實戰為目標 安全需要轉向以能力為核心

當前 0day 攻擊、APT 攻擊、勒索軟體等威脅愈發嚴重，安全對抗的水平在不斷提高，而傳統的防護方式卻只在產品上不斷加碼，誇大了工具與自動化分析的作用。這種“銀彈式”的安全規劃極容易忽視掉新暴露的風險。

在杜躍進看來，大安全時代下，安全需要轉向以能力為核心的新時代。網路空間的攻防對抗本質是人與人的對抗，工具、系統都只是手段，不是目的。每個高階威脅的背後是駭客思維與攻擊技術的融合和演化，單純的工具或系統所承載的經驗與知識是匱乏的，只有透過人機結合形成安全能力，並以實戰作為最終目標，才能應對新威脅、大挑戰。

在這一層面，我國也在不斷探索實戰場景，提升能力。杜躍進現場展示了三個安全能力體系模型，一是國家大規模網路安全事件應對的能力模型，這個模型中並非只有產品，而是彙總了流程、資料、機制、組織、技術形成能力，最終目標是保護整個國家網際網路，在面對大規模網路攻擊時能夠及時發現和應急響應；

另一個是資料安全能力成熟度模型，從組織建設、制度流程、技術工具和人員能力等四個能力維度建立正向驅動的資料安全治理體系，用成熟度的方式衡量整個資料在組織全生命週期能力；

還有一個是信創安全能力的建立，主要分為五個層面。第一層基礎目標是“可信的”，可信的基礎之上是“安全的”。由於漏洞永遠無法消除，系統總是可能會被入侵，第三層的目標是增強被入侵之後對攻擊事件的“可控性”。第四層是增強安全威脅溯源、取證、懾阻等“可對抗的”能力。基於以上四個層次的目標，第五層目標是增強核心業務“可存活的”能力，守住網路安全最後的“底線”。

以安全基礎設施為承載 持續進化實戰能力

建立了能力體系，實踐才是檢驗安全能力的最終標準。杜躍進將網路安全的演練分成“秦規、漢技、唐能、明武”四個等級，反映了不同級別演練方式的難度持續遞增。其中，秦規是規則推演，按照應急預案走通流程；漢技是單一技能的演練；唐能則是模擬作戰演練；明武就是在完全真實情況下進行的演練。

我國從2016年開始，在全世界率先正式開展最後一個級別的演習。這種“揭開蓋子式”真刀真槍的演習發現了很多安全問題。大家終於知道真實網路遠遠比想象的情況更不安全。2016年至今，包括貴陽大資料安全靶場在內的實網攻防演練不斷進化發展，已經能夠開展大規模、社會化大協同的實網攻防安全演習，其結果讓大家看到了當前的網路安全現實——買了網路安全產品、做了安全檢查並不等於安全。

未來，這樣的實網攻防會逐漸走向更加實戰化、體系化和常態化。但同樣更要思考：如何實現攻擊端能力體系全面有效的覆蓋國家級APT戰術戰法與武器工具？如何在安全管控的情況下，攻防兩端能力還能發揮主動性和能力水平開展充分的對抗？如何追蹤網路中不斷湧現的戰術戰法、漏洞隱患、創新工具等，並且積累起來在實戰演習中有效的輸出應用？

體系化的問題，需要用體系化的方法來解決。過去十五年來，360 基於服務10億消費者、數千萬家中小企業的實踐，以及國內唯一融合全網C端和B端且能回溯10年以上的EB級安全大資料，打造出一套以安全大腦為核心的雲端基礎設施向城市、行業、企業賦能。其中，以安全大腦的全網安全大資料匯聚、全視監測分析等能力為基礎，結合虛擬化全封閉終端以及攻擊源動態實時隱蔽等技術，構建了“攻擊者－物理終端-虛擬攻擊終端-雲管控中心－實網目標”全鏈路可信可控封閉環境，以供攻防兩端能力展開實戰對抗。

基於安全大腦的實戰演習平臺、專業的安全團隊、成熟的演習機制構成的實戰演習體系，已經支撐起歷年來的國家和各行業的網路攻防實戰演習，為評估和提升關鍵資訊基礎設施安全防護能力，構建國家網路安全綜合防控體系，提供了重要支撐，推動建立國家超大規模的網路安全社會化協同與動員能力。

在這平臺背後，透露出的是360數年來持續對40多個APT組織開展追蹤，和網路強敵進行一線交鋒，具有高度實戰價值的技戰法與能力的積澱。

無疑，安全能力建設將成為新基建安全的核心，實網攻防也將成為安全能力驗證衡量必不可少的工作。於國家、城市、企業而言，需要實戰化、持續化、常態化的實網攻防演練，推動安全能力不斷進化，更需要專門的基礎設施支援大規模實網攻防演練。