网络安全领域军民融合能力流动方向与路径思考

时间: 2021年1月 作者:肖新光 来源:安天

       北向峰会是集聚业界战略决策者、建议者、执行者的行业闭门会议,历届北向峰会的行业趋势探索以及战略性指导意义,使其成为安全行业别具一格的风向标。


我国社会主要矛盾在网络空间的映射


       2014年中央网络安全和信息化领导小组第一次会议上,习近平总书记提出了要努力把我国建设成为网络强国的战略目标,并强调指出,“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。”当前,面对复杂严峻的网空形势,作为网络安全工作者,对如何落实好双轮快速驱动,有一些不成熟的思考。


我国信息化发展是不平衡不充分的

       党的十九大报告中指出,“我国社会主要矛盾已经转化为人民日益增长的美好生活需要和不平衡不充分发展间的矛盾。”发展的不平衡不充分,在网络安全和信息化领域显得尤为突出。信息化发展水平已经形成代差,位于金字塔顶部是超大规模高科技企业(包括部分央企和主流互联网企业),中间水平是经济发达地区的规模性企业和政府机构,低位水平是经济不发达地区的政府部门和经济落后地区的传统领域中小企业,信息化发展水平形成多级代差,这是一个复杂又漫长的防御正面,在自身网络安全投入和公共安全投入都有不同程度亏欠。防护水平和防护投入与对应信息资产遭遇网络攻击可能导致的社会风险大小并不完全成正比。在社会不平衡发展中,不同地域的关键信息基础设施防护水平、人员技术水平和安全意识、本地化响应和保障能力等多个方面的差距不断加大。这种差距,导致了国家战略安全能力的失衡。


网络安全和信息化发展需要进一步“去小生产”

       “十三五”期间,我国对信息化的定位变化从原有的“信息化推动工业化”,提升为“信息化带动工业化”,而“十四五”期间我们要实现双轮驱动的数字化转型。工业化的生产方式是大生产,信息化是大生产在信息时代的工业加速器。信息化必须有大生产的属性。我们的信息化起点较低,路程艰难、坎坷,有很大比例的信息化基础设施是用小生产模式和思维构建的,其供给侧表现是作坊遍地,结果表征是烟囱林立。马克思在《资本论》中指出,“小生产这种生产方式是以土地及其他生产资料的分散为前提的。它既排斥生产资料的积累,也排斥协作,排斥同一生产过程内部的分工,排斥社会对自然的统治和支配,排斥社会生产力的自由发展。它只同生产和社会狭隘的自然产生的界限相容。”(《资本论》第1卷,第830页)网络安全发展中所面临的问题,和信息化本身所面临的固有问题是相关的。小生产导致的信息化碎片化,进一步导致了网络安全的碎片化;低水平、碎片化的信息化资产,增加了网络安全保障的难度。而网络安全中的行业门槛、行政门槛等,也导致网络安全领域的小生产同样广泛存在。“十四五”在网络安全与信息化发展上,都需要有“去小生产”的过程。我国互联网基础设施的全面成熟,云计算、大数据等技术的深入发展,形成了信息化的去小生产,重构建设的良好时机,需要网络安全能力“三同步”提供保障。同时,也要避免云计算和大数据建设成为“新型小生产”。


网络安全需要完善基础逻辑层面的共性认知

       网络安全和信息化是事关国家安全和国家发展、事关广大人民群众工作生活的重大战略问题,在复杂严峻的网络安全形势下,如何破解难题、如何有效应对,其中一个关键是要有规划和引导层面的共性认知。但事实上,在基础逻辑层面的共性认知并没有形成。举一个例子,“密码体系的安全性仅依赖于密钥的保密,而不依赖于算法的保密”,这是一个学术意义上的共识,但并不是共性决策认知。再比如,安全保障的基本前提和要达成的目标到底是什么?前一阶段,TOG发布了《安全架构的公理》的中文版,其中公理一是“业务风险驱动安全保障”,强调了“组织资产并不是为了被保护而存在,他们的存在是为了创造价值。”而我们在很多场景上,停服、拔线还是重大保障期间的常态,某种程度上,这依然是把信息系统看成可有可无、可断可停的东西,而不是从业务的连续性和可恢复弹性(韧性)角度去看待信息系统。

       我们在网信领域推动工作中,有很多历史遗留问题和新出现的难点问题,例如:现行部分保密要求和数字化转型发展的冲突,只能用搁置争议的方法无限拖延吗?密码管理导向、保密管理导向、网络安全管理导向如何实现一体化融合?信创发展建设的七型八制最终如何解决,又该如何深入布局信创的安全能力提升?网络安全产品和装备如何应对信创带来的载体算力下降?等等。在诸如此类问题面前,一味回避解决不了任何事情,直面问题、统筹规划,才能更好推动发展。


网络安全需要跟进先进的信息化的方法论与文化

       在社会的全面数字化转型中,我们看到DevOps的持续规划、持续集成、持续交付、持续运营所带来的变革,为融入安全基因,DevSecOps也应运而生。DevSecOps在国内网络安全产业界也已经成为热点,但需要自我批评和审视的是,单纯将DevSecOps视为一种客户业务形态是肯定要失败的,其需要厂商自身研发活动的方法和文化基因支持,如果我们自身的研发文化是反敏捷的,那么如何来协助客户的DevSecOps达成呢?

       当然我也并不认为DevSecOps适用于一切场景,相对我觉得Gartner提出的IT双模式,更适合规模型网络安全厂商的现状。IT双模式既需要通过传统的类似IPD等流程保证大的系统和产品的稳定性,同时也需要面对数字弹性交付的时候实现敏捷,形成双环驱动。网络安全就需要这样的双环驱动(还需要与安全威胁持续响应和规则情报输出这个传统的高速闭环融合在一起),以期既保证产品和平台交付运行的稳定,同时又需要适应复杂多变快速的威胁对抗需求和客户的数字化业务弹性延展。

       对先进信息化方法的跟进和文化的融合,是网络安全实现数字化时代安全的交付和安全赋能的重要基础。


对大国博弈的风险叠加做好足够的应对和准备


        网络安全与信息化都是国家竞合乃至大国博弈中的焦点领域。从传统意义上看信息化领域,既有竞争、也有供应链协同与合作;而网络安全除了同样的特点之外,还有表现出鲜明的对抗性,而在大国博弈的背景下,这两方面都带来了新的挑战和变化。


网空高烈度对抗的变化

        从作战的视角看,网络空间已从原有的支撑保障域,转化为与各作战域连通的一个复合空间,可实现战斗力的放大、叠加、转化。从美军过去几年的公开文献来看,网空作业已不仅要实现入侵和持久化达成获情、干扰、毁瘫的战术目的,更要达成“影响塑造对手行为”、“为对手创造即时困境”的战略目的。从作战目标看,从强调对武器和军事系统的硬杀伤,延伸到了对半硬目标(如军工科研生产)和软目标(如战争潜力网)的全面毁瘫干扰。从作战方式看,已从指控装备体系实时对抗,延展到了对武器系统的全生命周期全程攻击。物理域、网空域、认知域极为紧密的融合在一起,构成远比此前单域风险严峻的安全挑战。


要助力中国领军企业越过“美国陷阱”

        大国博弈是能力较量。技术是能力的要素,但不能脱离产业体系特别是脱离具象的创造技术价值的主要运行载体(企业)来看技术优劣竞合。美单方面推动中美“脱钩”,发动对华为等中国企业的绞杀,需要见招拆招。今天美方发动的“脱钩”与上世纪五十年代起西方国家对我们的战略封锁的模式是不同的,中国的发展和中国在全球化中的地位,已使任何国家妄图对中国进行全面政治、经济、技术封锁成为不可能。美方当前的动作明显是融合了颠覆苏联和打压日本领军企业的组合套路。杜鲁门讲,“所谓的思想自由、言论自由与企业自由,毫无疑问,前两个自由与第三个自由是息息相关的。”在美意识形态的幌子掩护下,美国的寡头企业是需要挣钱的。美的“断供”模式不是全局封锁,而是对华为等厂商的精确绞杀,但与此同时,其供应链上游优势领域并不希望放弃中国市场。这就构成了一个“既要命+也要钱”的复合套索。其目标是希望华为等龙头企业发展受阻甚至崩溃,同时让更多的中国网信企业表现出对美方的供应上游供应体系的小心依附,甘做下游。

        这种“美国陷阱”需要进行精细的应对,这不是一个简单的技术卡位战,这是霸权国家对民族国家企业所发动的不平等的战争。不仅要做宏观策略面应对,更需要在对手的打击点上作出精准的应对。此前,网上有传闻华为要完善芯片供应链体系实施“塔山”计划。而从当前打破美国遏制打压的产业斗争中,“芯片不是塔山,华为才是”。华为这样的国家企业的出现是可遇不可求的,国家企业是高效、迭代、持续的国家创新载体,其即是对方的火力打击目标,也是我们改变产业被动局面的根本支撑力量。华为的未来走向就是判断这场斗争主被动形式的标尺。


脱钩背景下的防御场景复杂化

        在美方制造中美脱钩,我国必须全面防范断供风险的背景下,将会导致国内网信供应链体系的高度复杂。一方面,在民间应用的,依然会按照现有的美方有一定支配能力的主流供应链延续演进;另一方面,政军侧则开启了艰难的信创征程,短期乃至一段时期内,面临着一个阶段性的能力下降等情况。这会带来一种微妙的能力扭矩。中国将形成全球大国中最为复杂的一个IT供应链生态,这也将全面带来更为复杂的防御和威胁对抗要求。


应对美新冷战思维导致我外部安全环境的恶化

        美在强化压迫中国国际生存空间和侵害中国发展利益的活动,并进行进一步的战略准备。如美方提出的“阳光房”计划,提出分层威慑、向前防御的理念,这本质上是美国传统外交关系“非友即敌”模式在网络空间的投射,试图在网络空间最大化的获取自身安全利益,而压迫他国的安全空间。在复杂安全形势下,这种举动,这种网空冷战思维,进一步引发了各国对美网络攻击能力的泛化导致对抗升级的隐忧,更需要我们作出针对性的设计和应对。


战略能力的重塑



网络安全需要一场需求侧改革

        2020年12月11日召开的中共中央政治局会议提出,“要扭住供给侧结构性改革,同时注重需求侧改革,打通堵点,补齐短板,贯通生产、分配、流通、消费各环节,形成需求牵引供给、供给创造需求的更高水平动态平衡,提升国家经济体系整体效能。要整体推进改革开放,强化国家战略科技力量,增强产业链供应链自主可控能力。”这是中央文件中首提需求侧改革,这一点对网络安全能力建设和产业发展非常关键。网络安全威胁特别是高级威胁,具有一定的隐蔽性属性,难以形成显性认知。单纯的依靠供给侧推动,是很难奏效的,需要创造出系统、深度、刚性的安全需求,网络安全需要一场需求侧改革。


网络空间的内需的层次化重塑

        网络安全的需求是多层次的,包括国家安全层面、社会安全层面、政企机构安全和个人安全层面。当前我们在每个层面都有需要应对和解决的问题。在网空国家安全能力层面需要一次战略能力重塑,社会公共安全能力需要进一步增强,政企机构安全能力需要改进、个人安全和隐私保障水平需要进一步提升。这些需求既有每个层次自身的特点,也相互之间交织关联。有些方面需要叠加强化,有的全面重构。这些投入既是创造内循环增量,也是为构建内循环提供保障。


网络空间需要塑造外部安全环境

        美方提出的“阳光房”计划显然是一种传统的非友即敌、拉阵营的冷战思维结果。需要以我们的方式进行应对,从网络安全全球治理的层面上看,习近平总书记倡导构建人类命运共同体,中国的网络安全产业需要承担国际主义责任,也取得进一步的国际化发展。

        我们对全球网空也需要进行层次划分,从外部包括风险策源域、可协调中立域和内部也可以进行划定,不同域上进入全球网络安全治理所需要的政策支撑、外交支撑、能力支撑上,需要强基固本,也需要提升机动可动员能力。


应对未来存在的体系性风险和重大突发性风险,既需长策也需急策

        在未来需要应对体系性风险和重大突发性风险,留给我们从容展开的时间已经不多。一方面需要长策,如全面规划指引、提升政府央企网络安全防护水平;构建优胜劣汰的产业体系等等;另一方面也需要急策,为应对“黑天鹅”、“灰犀牛”做好准备,对突发重大的地缘性安全事件、重大高烈度冲突事件,做好应对准备。需要有相应的面对新的风险挑战形式的社会应急力量,要能够从人力和机构角度来构筑弹性能力的层次体系和相应的资源池,需要如此次疫情防控中口罩储备、医疗物资储备一样,建立起网空技术装备和战备物资的分级战略存储和相应战备运维机制。


战略规划的思考


        改革开放的外部环境认知,是小平同志作出的“和平与发展是当今时代两大主题”的总战略判断。面对波谲云诡的国际形势发展变化,习近平总书记果断提出了“中国处于近代以来最好的发展时期,世界处于百年未有之大变局”的战略论断。以此为指导,“十四五”规划要同时面对延续重要发展战略机遇期、应对重大安全风险期的两个目标。重大战略决策,不是来自于惯性沿袭,而是来自于在重大变化趋势中及时把握变化趋势,打破原有惯性,因时而变、因需而变的结果。

        大国博弈不是一般意义上的国家竞争,国家竞争总体上是体量、布局与加速度的比较,但大国博弈必然将战略导向损益比较,必须有承受局部损失的勇气。敢于作出底线化的敌情预设,需要政府、人民、各行各业都作出承受损失的心理准备,才能有效应对打压,捍卫我们的主权、安全和发展利益。面对难题,需要以总体国家安全观为指引,有效评价全局损益,处理好网络安全和信息化的关系,放弃寻找完美解的幻想,才能杀出重围、浴血胜利。

——《北向文集》由北向峰会与嘶吼安全产业研究院联合发布