齐向东：内生安全就是“一个中心，五张滤网”

• 齐向东

“内生安全是网络变革下信息化建设和网络安全之间、安全公司和客户之间的共赢选择。”奇安信集团董事长齐向东在第六届世界互联网大会企业家高峰论坛上表示，通过建立“一个中心，五张滤网”的内生安全体系，能极大降低网络攻击风险，从而真正保证业务安全。

网络安全形势的三大转变

近年来，全球网络攻击事件频发，网络安全风险日益加剧。世界经济论坛发布的《2018年全球风险报告》显示，网络攻击已经成为全球第三大威胁，仅次于极端气候事件和自然灾害。

齐向东总结了当前网络安全形势的三大转变。一是网络攻击事件由小打小闹向国家大事转变。以往，网络攻击事件主要和个人用户、利益诉求和物理世界相关。但以2015年发布的首个APT报告海莲花为转变标志，网络攻击的目标升级到了企业、政府，开始影响物理世界，甚至影响国家政治。

二是网络攻击技术由简单粗暴向复杂精细转变。以往，攻击者使用的工具相对单一，比如一位普通网民通过购买网络攻击工具，就可以发起攻击；后来，黑客开始使用植入后门、网络钓鱼、勒索攻击等多种复杂技术结合的攻击手段。

三是网络攻击形式从通用型向APT攻击转变。以前，网络攻击主要是为了获利，没有固定目标。但2015年以后，APT攻击成为主流，攻击几乎全部都是定向的、并且是长期潜伏的。

应对网络变革的三个构想

网络的变革带来了安全挑战，APT攻击变得防不胜防，网络被攻击成为必然。

“我们做安全的总是有一种期望，希望网络永远都不被攻破，一定万无一失，但事实是没有攻不破的网络，一失万无。”齐向东表示，所有挑战的核心都是对漏洞的利用，而漏洞无处不在、不可避免，传统的安全防护手段已经失效，网络变革推动安全技术进入第三代：内生安全。

他提出了保护业务安全的三个构想：一是具备“免疫功能”，建立一个自适应的安全系统。在他看来，网络被攻破，就像人体被病毒和细菌入侵。免疫系统的作用，就是调动身体的防御力量，消灭病菌。因此，安全体系也需要“免疫功能”，在即使网络被攻破的时候，也能保证业务安全。针对一般性网络攻击，能自我发现、自我修复、自我平衡；针对大型网络攻击，能自动预测、自动告警和应急响应；应对极端网络灾难时，能保证关键业务不中断。

二是做到“内外兼修”，拥有一个自主的安全系统。完全依靠外在力量，建立不了具有免疫功能的安全系统。无论外部检测技术有多高明，都无法感受内部细胞遇到的困难。比如，中医的“望闻问切”，问是关键环节；西医的化验和透视手段，目的也是探究内部细胞变化。同样的道理，安全系统也需要与业务系统深度融合，因为如果只有外部的力量、外部的安全数据，或者只有泛化的安全大脑，解决不了内部的安全问题。

三是能够“自我进化”，成为一个自成长的安全系统。齐向东以免疫系统举例说，大人的免疫系统就比小孩强，锻炼身体、适应严酷环境、对抗疾病都会提高免疫力，网络安全体系在不断抵抗网络攻击的过程中，也会提高防护能力。因此，安全能力需要伴随业务变化日渐强壮，其核心是人的进步和成长，只有不断发现问题、解决问题，才能形成正循环。

“一个中心，五张滤网”

奇安信提出的内生安全就是实现这三种构想的最佳实践。齐向东表示，这是网络变革下信息化建设和网络安全之间、安全公司和客户之间的共赢选择。

他把奇安信构建的内生安全体系总结成了“一个中心五张滤网”，“一个中心”指的是安全运营中心，“五张滤网”指的是网络、身份、应用、数据和行为五张滤网。

“以往的安全防护都集中在网络层面，世界一流水平也只能防住99%。以前，漏掉1%是可承受的，但现在攻击的目标是毁掉某个关键信息基础设施，漏掉1%都可能造成严重后果。”齐向东说。

因此，奇安信建立的内生安全体系除了网络这层过滤网以外，加上了身份、应用、数据层面的过滤，再通过大数据运营中心，对行为层进行过滤，这样1%的威胁经过一个中心五张网的层层过滤，成为一百亿分之一，能极大降低网络攻击的风险。

构建这样的内生安全系统有三个关键：一是“关口前移，规划先行”。规划是内生安全的起点，从技术层面实现安全与信息化深度结合，同时从观念层面解决对网络安全的理解不一致；二是“叠加演进，能力建设”。建设是内生安全的保障，既要积极建设安全基础设施，又要建设信息系统内建安全机制；三是“实战运行，以人为本”。运行是内生安全的生命，所有与网络安全相关的环节都要与网络安全工作充分对接，做到管理、技术与运行一体化。