如何解決政企客戶網(wǎng)絡(luò)安全困境問(wèn)題

不久前，和國(guó)內(nèi)某頭部機(jī)場(chǎng)客戶高層會(huì)面時(shí)，對(duì)方對(duì)機(jī)場(chǎng)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀憂心忡忡，提出了很多具體的問(wèn)題，希望華為能夠幫助他們建立一套安全體系，徹底地解決安全問(wèn)題。我竊喜生意來(lái)了，毫不含糊地答應(yīng)下來(lái)。

這類交流場(chǎng)景日漸普遍，讓我感受到越來(lái)越多客戶高層對(duì)網(wǎng)絡(luò)安全的關(guān)心和重視，同時(shí)更感受到了他們的擔(dān)心和焦慮。面對(duì)這個(gè)現(xiàn)象，從事網(wǎng)絡(luò)安全產(chǎn)業(yè)的我理應(yīng)開心，但其實(shí)內(nèi)心極度不安：且不說(shuō)管理、制度、流程、員工意識(shí)等非技術(shù)方面的因素對(duì)客戶安全建設(shè)效果的影響，僅就技術(shù)、產(chǎn)品、服務(wù)等相對(duì)可控的因素而言，大部分客戶在非常有限的預(yù)算下，如何才能“徹底地解決安全問(wèn)題”呢？

一、不可持續(xù)的網(wǎng)絡(luò)安全建設(shè)困境

大部分國(guó)內(nèi)企事業(yè)單位的網(wǎng)絡(luò)安全的現(xiàn)狀是不容樂(lè)觀的，這一點(diǎn)從這幾年相關(guān)部門組織的全國(guó)性實(shí)戰(zhàn)攻防演練行動(dòng)可以看出來(lái)。雖然每次攻防演練都有一部分單位“幸存”下來(lái)沒(méi)有被拿下標(biāo)靶，但我們要認(rèn)識(shí)到這背后所付出的有些“努力”是不可持續(xù)的：

首先，業(yè)務(wù)影響的不可持續(xù)：很多單位為了應(yīng)對(duì)攻防演練，在演練期間通過(guò)拔網(wǎng)線等神操作將很多互聯(lián)網(wǎng)業(yè)務(wù)下線，不僅本單位員工的正常工作受到影響，所服務(wù)用戶也無(wú)法正常辦理業(yè)務(wù)。這類神操作日常不可能落地。

其次，投入的不可持續(xù)：攻防演練期間，除了調(diào)動(dòng)單位內(nèi)部的員工外，還通過(guò)各種方式招募了大量的安服人員，有些是每天花費(fèi)上萬(wàn)元短期租借的，有些是從安全廠商臨時(shí)借調(diào)的。這么多人員的投入在日常是不可持續(xù)的。

這幾年國(guó)家組織的實(shí)戰(zhàn)攻防演練價(jià)值很大，大幅度提升了各個(gè)單位對(duì)網(wǎng)絡(luò)安全的重視程度，也一定程度上促進(jìn)了安全體系的建設(shè)。然而大部分企事業(yè)單位臨陣磨槍倉(cāng)促應(yīng)戰(zhàn)的這種應(yīng)對(duì)方式并不理想。如何才能變“應(yīng)試教育”為功夫在平時(shí)的“素質(zhì)教育”方式呢？

從網(wǎng)絡(luò)安全建設(shè)和日常運(yùn)營(yíng)水平這個(gè)角度來(lái)說(shuō)，我們可以粗略地將國(guó)內(nèi)企事業(yè)單位分為三大類：

第一類高水平的單位數(shù)量不多，全國(guó)不超過(guò)100家，主要包括BAT這類互聯(lián)網(wǎng)大廠、五大行、頭部的股份制銀行、華為等。這類單位對(duì)安全的重視是自發(fā)的，業(yè)務(wù)驅(qū)動(dòng)的。安全方面投入大、能力強(qiáng)，安全體系的建設(shè)主要以我為主，安全廠商、服務(wù)商是配角，提供一些產(chǎn)品和外包安服人員。這類單位可以相對(duì)輕松地應(yīng)對(duì)常規(guī)的網(wǎng)絡(luò)安全事件，實(shí)戰(zhàn)攻防演練過(guò)程中也表現(xiàn)的最為淡定。投入大，不僅僅是指購(gòu)買安全產(chǎn)品、方案、服務(wù)，更大的投入是維持一支專門的安全團(tuán)隊(duì)。團(tuán)隊(duì)中的高端安全人才一個(gè)人一年的收入就可能達(dá)到數(shù)百萬(wàn)，堪比某些大型單位在安全方面全年的預(yù)算。這類企業(yè)有點(diǎn)像舊時(shí)代的巨富，自己雇傭了不少武林高手看家護(hù)院，保護(hù)自己的安全。這種方式其他人只能羨慕無(wú)法模仿。

第二類中等水平的單位大量存在，數(shù)量以萬(wàn)計(jì)，包括大部分大型和部分中型企事業(yè)單位，比如地市級(jí)以上政府委辦局，大型制造型企業(yè)、高速公路集團(tuán)、地鐵、大型醫(yī)院、高等院校等。開篇提到的某機(jī)場(chǎng)也屬于此類范疇。這類單位每年一般有上百萬(wàn)到千萬(wàn)不等的安全預(yù)算，有一個(gè)很小的網(wǎng)絡(luò)安全部門或至少有一個(gè)人對(duì)網(wǎng)絡(luò)安全負(fù)責(zé)任。他們的安全投資以合規(guī)驅(qū)動(dòng)為主，依靠安全廠商或集成商進(jìn)行建設(shè)，從廠商或服務(wù)商那里買一些駐場(chǎng)服務(wù)，整體安全建設(shè)和運(yùn)維水平無(wú)法令人放心。非攻防演練期間，可能輕易就被普通水平的黑客攻陷；攻防演練期間，通過(guò)“不可持續(xù)”的努力防守有可能涉險(xiǎn)過(guò)關(guān)，但大概率還是會(huì)被攻陷。

第三類網(wǎng)絡(luò)安全建設(shè)和運(yùn)營(yíng)水平較低的單位普遍存在，數(shù)量以百萬(wàn)計(jì)，幾乎包括所有的小型和大部分中型企事業(yè)單位，比如非三甲醫(yī)院、普通中小學(xué)、一般的制造企業(yè)、縣級(jí)政府單位等。這類單位在安全上或基本沒(méi)有投資，或每年幾十萬(wàn)以下，沒(méi)有專門的安全負(fù)責(zé)人，也買不起駐場(chǎng)安服人員，即使曾經(jīng)投資了基本的安全建設(shè)，也由于設(shè)備過(guò)于專業(yè)，沒(méi)人持續(xù)運(yùn)維而無(wú)法發(fā)揮作用。針對(duì)這一類單位，一個(gè)具有傳染性的普通病毒，比如勒索軟件就有可能導(dǎo)致整個(gè)信息系統(tǒng)不可用。

后兩類單位的確需要改進(jìn)，然而客觀地說(shuō)，我們不能要求他們?cè)谕度胗邢薜那闆r下向第一類單位看齊，奢侈的豪華配置是無(wú)法推廣到這些單位的。在當(dāng)前的安全建設(shè)思路下，他們陷入進(jìn)退維谷的境地：一方面是各種法律、制度、責(zé)任、攻防演練、安全事件帶來(lái)的壓力讓其不得不想辦法應(yīng)對(duì)，想找到一個(gè)有奇效的藥方解決網(wǎng)絡(luò)安全問(wèn)題；另一方面業(yè)界不斷涌現(xiàn)的各種網(wǎng)絡(luò)安全新理念、新技術(shù)顯得遙不可及難以落地，安全廠商、服務(wù)商開出的各種靈丹妙藥好像都不對(duì)癥，至少在自己可獲得的預(yù)算前提下解決不了關(guān)鍵問(wèn)題。

這兩類單位到底應(yīng)該采用什么樣的網(wǎng)絡(luò)安全建設(shè)思路才能在有限的預(yù)算下解決問(wèn)題呢？作為經(jīng)常用APT、有組織的高級(jí)黑客等潛在威脅來(lái)“嚇?！边@類客戶、“忽悠”他們花錢采購(gòu)自家安全產(chǎn)品和服務(wù)的安全廠商，我們更應(yīng)該思考這個(gè)問(wèn)題，否則這個(gè)產(chǎn)業(yè)很難進(jìn)入一個(gè)良性的狀態(tài)。

二、網(wǎng)絡(luò)空間環(huán)境的“破窗理論”

有一個(gè)社會(huì)安全的治理案例可拿來(lái)參考。在1994年之前，紐約的犯罪率居高不下，過(guò)去多年紐約市警察局采用各種措施都不見(jiàn)成效，許多社區(qū)、地鐵站很不太平，惡性刑事案件頻發(fā)。新上任的警察局長(zhǎng)是從交通警察局長(zhǎng)崗位上提拔的，他把自己過(guò)去4年在地鐵治安秩序治理的思路引入到紐約市治安治理中。在地鐵治安治理過(guò)程中，他從以前沒(méi)人管的地鐵涂鴉和逃票開始治理。以逃票為例，過(guò)去紐約地鐵逃票成風(fēng)，警察基本視而不見(jiàn)，抓住逃票者也只是訓(xùn)斥教育。該局長(zhǎng)上任后要求每個(gè)逃票者都必須接受盤問(wèn)，后來(lái)發(fā)現(xiàn)1／7的被捕者曾經(jīng)有過(guò)刑事拘留記錄，5％的人隨身攜帶武器。這樣一來(lái)，警察們很快就不再懷疑打擊逃票現(xiàn)象的重要意義了。在該警察局長(zhǎng)的新策略下，紐約市的犯罪率神奇地急速下降，就像地鐵系統(tǒng)曾經(jīng)經(jīng)歷的情況一樣。

從地鐵涂鴉和逃票這種輕度違規(guī)行為開始治理，帶來(lái)整個(gè)城市的犯罪率下降，這背后的邏輯是什么？答案其實(shí)挺簡(jiǎn)單，就是著名的“破窗理論”：如果一個(gè)窗戶被打破了，過(guò)了很久也沒(méi)有人來(lái)把它修好，行人就會(huì)以此推斷，這是個(gè)沒(méi)人管理的地方。很快，就會(huì)有更多的窗戶被打破，然后無(wú)政府主義就開始從這幢樓向相鄰的街道蔓延。如果某個(gè)區(qū)域原本不是倒垃圾的地方，有人扔了一些垃圾在那里，其他人看到后很可能將手中的垃圾扔在同一個(gè)地方，如果一直沒(méi)人清理，最終可能演變成垃圾堆。秩序井然的社會(huì)和秩序混亂的社會(huì)相比，哪一個(gè)犯罪率更高？答案是顯而易見(jiàn)的。

回到網(wǎng)絡(luò)安全的話題。對(duì)于上文提到的后兩類企事業(yè)單位來(lái)說(shuō)，他們當(dāng)前的網(wǎng)絡(luò)空間就如同1994年之前的紐約城，涂鴉和逃票這類輕微違規(guī)行為大量存在。比如大量主機(jī)操作系統(tǒng)和軟件版本老舊，漏洞很多。大量機(jī)器潛伏著木馬或其他病毒，或成為肉雞，或被用于挖礦。我們強(qiáng)調(diào)黑客攻擊，強(qiáng)調(diào)APT，其環(huán)境如此混亂，這類高級(jí)威脅一定更容易發(fā)生和得手。誰(shuí)敢肯定某臺(tái)已成為肉雞的機(jī)器不是APT攻擊的一個(gè)關(guān)鍵環(huán)節(jié)呢？

對(duì)于這些企事業(yè)單位來(lái)說(shuō)，首先應(yīng)該從諸如打補(bǔ)丁、堵漏洞、排查肉雞、處置簡(jiǎn)單攻擊事件等這類基礎(chǔ)網(wǎng)絡(luò)安全治理工作開始，而不是一上來(lái)就處理高級(jí)威脅?；A(chǔ)工作做好了，高級(jí)威脅發(fā)生的概率一定也隨之下降。換句話講，在底子還比較薄時(shí)，網(wǎng)絡(luò)安全建設(shè)的首要目標(biāo)不是如何防住潛在的高級(jí)攻擊，而是要以解決日常安全基礎(chǔ)問(wèn)題、凈化網(wǎng)絡(luò)空間環(huán)境為主。

三、網(wǎng)絡(luò)空間安全治理需要專業(yè)安全服務(wù)

即便如此，“解決日常安全基礎(chǔ)問(wèn)題、凈化網(wǎng)絡(luò)空間環(huán)境”仍然屬于專業(yè)性很強(qiáng)的工作。一般情況下，至少需要部署一套比較完整的安全方案（邊界防護(hù)、終端安全、漏洞掃描，甚至資產(chǎn)管理、態(tài)勢(shì)感知、SOC等等），并且還要有人在日常進(jìn)行持續(xù)的運(yùn)營(yíng)，否則這些方案很可能成為擺設(shè)。這些投入，特別是持續(xù)運(yùn)營(yíng)的人員投入，不僅預(yù)算少的第三類單位難以承受，對(duì)預(yù)算稍微寬松的第二類單位來(lái)說(shuō)也是很大的負(fù)擔(dān)。很多單位購(gòu)買了安服人員駐場(chǎng)但對(duì)服務(wù)效果并不滿意：我花了每人30萬(wàn)元一年買了幾個(gè)駐場(chǎng)，為何這些人水平這么低，還經(jīng)常換人？30萬(wàn)元聽(tīng)起來(lái)不少，然而去掉五險(xiǎn)一金和管理開銷，駐場(chǎng)人員的工資可能只有幾千元。這個(gè)工資到哪里去找就業(yè)大熱門的專業(yè)安全人員？即使找到幾個(gè)素質(zhì)不錯(cuò)的進(jìn)步快的新手，有了經(jīng)驗(yàn)后很快也會(huì)被更高的工資吸引并跑掉。這種基于人的安全服務(wù)，經(jīng)常出現(xiàn)買賣雙方都不滿意的情況：甲方抱怨服務(wù)質(zhì)量不好，乙方抱怨賺不到錢，并指望通過(guò)別的方式把錢賺回來(lái)，于是陷入了一種不健康的狀態(tài)。

過(guò)去，有一定規(guī)模的企事業(yè)單位大多有自己的保衛(wèi)處，保衛(wèi)處行使一定的治安治理專業(yè)職能，單位的社會(huì)治安某種程度上依靠保衛(wèi)處的維持。隨著社會(huì)的演進(jìn)，這類專業(yè)職能基本上從單位自身剝離出來(lái)，由公安來(lái)承接。一方面因?yàn)楸Ｐl(wèi)處的專業(yè)性和能力有限，另一方面單位自己維護(hù)一個(gè)保衛(wèi)處負(fù)擔(dān)也很重?，F(xiàn)在，大部分單位已經(jīng)不存在這種部門，即使會(huì)通過(guò)外包的方式雇一些保安（有點(diǎn)像駐場(chǎng)安服人員），保安的職能也不再和治安治理掛鉤，更多的是承擔(dān)基本秩序的維持職能。

對(duì)于網(wǎng)絡(luò)空間安全來(lái)說(shuō)，未來(lái)發(fā)展路線是類似的：大部分企事業(yè)單位的網(wǎng)絡(luò)空間安全治理職能主要由專業(yè)組織承擔(dān)，那些擁有強(qiáng)大的專業(yè)安全隊(duì)伍的第一類單位除外。預(yù)算不多的情況下靠雇傭幾名不入流的江湖角色來(lái)對(duì)抗?jié)撛诘奈淞指呤植⒉滑F(xiàn)實(shí)。

而這個(gè)“專業(yè)組織”會(huì)是誰(shuí)呢？基于網(wǎng)絡(luò)空間的特殊性，這個(gè)“專業(yè)組織”應(yīng)是社會(huì)化的提供安全服務(wù)的組織，比如專業(yè)安全服務(wù)提供商。第二類和第三類單位通過(guò)購(gòu)買服務(wù)的方式解決自己的安全問(wèn)題。如同過(guò)去很多單位擁有自己的學(xué)校、醫(yī)院，而現(xiàn)在基本全部剝離，教育、醫(yī)療問(wèn)題通過(guò)購(gòu)買服務(wù)解決。

讀者可能會(huì)說(shuō)，現(xiàn)在好像很多單位正在通過(guò)購(gòu)買服務(wù)的方式來(lái)解決網(wǎng)絡(luò)安全問(wèn)題。然而購(gòu)買“服務(wù)”的方式和現(xiàn)在主要依靠駐場(chǎng)服務(wù)的方式有很大的區(qū)別。教育、醫(yī)療服務(wù)不是依靠人員駐場(chǎng)到單位現(xiàn)場(chǎng)教學(xué)和治療來(lái)完成的。這些社會(huì)化的服務(wù)資源并不在本地，而是按需購(gòu)買。這聽(tīng)起來(lái)是不是有點(diǎn)耳熟？資源在云端，按需購(gòu)買，是“云服務(wù)”的典型特征。只有這樣才能有效提升服務(wù)效率，才有可能用有限的預(yù)算真正解決網(wǎng)絡(luò)安全問(wèn)題。

四、安全云服務(wù)是破局之道

說(shuō)到“云服務(wù)”，大家一定會(huì)聯(lián)想到公有云。公有云的出現(xiàn)有效地提升了IT資源的利用效率，正在逐步替代大量本地的IT系統(tǒng)，這個(gè)趨勢(shì)目前已經(jīng)沒(méi)有人質(zhì)疑。但公有云并非全部，未來(lái)必然有大量IT資源處于公有云之外。這些資源不僅僅包括私有云，還包括辦公網(wǎng)、城市物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等等，沒(méi)有這些無(wú)法組成完整的網(wǎng)絡(luò)空間（下文用“線下”來(lái)統(tǒng)稱這類網(wǎng)絡(luò)空間）。

頭部的公有云運(yùn)營(yíng)商（如AWS、Azure、阿里云、華為云等）擁有強(qiáng)大的安全專業(yè)能力和隊(duì)伍，并通過(guò)某種方式給云上的租戶提供各種專業(yè)的安全云服務(wù)。對(duì)于公有云上的租戶來(lái)說(shuō)，通過(guò)購(gòu)買云服務(wù)的方式解決其網(wǎng)絡(luò)空間基礎(chǔ)的安全問(wèn)題是他們的最佳選擇。

針對(duì)線下的網(wǎng)絡(luò)安全問(wèn)題，有沒(méi)有合適的“云服務(wù)”方案可以解決呢？

目前已經(jīng)有一些可以面向線下客戶提供的安全SaaS云服務(wù)，比如云WAF、云抗D、云漏掃等。然而由于技術(shù)上的限制，這些云服務(wù)主要以防護(hù)Web網(wǎng)站為主，能夠解決的安全問(wèn)題非常有限。

此外，也有一些安全廠家為客戶提供線下安全設(shè)備的云端管理服務(wù)，某種程度上這也屬于“云服務(wù)”。但這種云服務(wù)所提供的價(jià)值也是有限的：主要是將本地設(shè)備管理能力放到云端，減少本地部署的代價(jià)，并不能通過(guò)云端提供更多的安全服務(wù)。

那么，到底有沒(méi)有真正可以解決客戶線下網(wǎng)絡(luò)安全問(wèn)題的云服務(wù)方式呢？答案很快將揭曉，12月18日，華為將正式發(fā)布經(jīng)過(guò)過(guò)去一年半醞釀、探索、實(shí)踐的針對(duì)線下客戶的創(chuàng)新的網(wǎng)絡(luò)安全云服務(wù)業(yè)務(wù)，幫助第二類和第三類企事業(yè)單位破局安全困境。請(qǐng)大家關(guān)注。

責(zé)任編輯：xj