新华三孙松儿:落实安全前置才能解决资源投入与成效体验不成正比的长期矛盾

“各行各业的网络安全建设一直都在持续投入,安全防护不断加固,但各类安全事件仍旧时有发生,安全体验也有颇多抱怨,究其原因,安全建设不应该只是成本中心,更应该成为业务需求的驱动中心。”

——新华三集团副总裁

新华三信息安全技术有限公司总裁孙松儿

在刚刚结束的2022国家网络安全宣传周期间,紫光股份旗下新华三集团圆满承办安全周重点活动——长三角网络安全协同发展论坛。其间,新华三集团副总裁、新华三信息安全技术有限公司总裁孙松儿在大会中发表主旨演讲,他明确指出在当前我国政策环境持续向好的同时,也不能忽视产业发展过程中呈现出的多重矛盾与挑战,唯有把握网络安全体系建设的六大要点,才能实现化解产业矛盾、夯实产业基础、建设网络强国的目标。

机遇与矛盾并存

安全体系建设依然存在不少短板

随着我国各项政策环境持续优化,网络安全产业正面临前所未有的发展机遇。近两年,《网络安全审查办法》、《关键信息基础设施安全保护条例》、《数据安全法》、《个人信息保护法》等各项重磅政策法规持续发布,加上区域性政策集中释放,以及数字新基建的推进,加快了网络安全产业的投入与创新,网络安全建设也在从重合规、轻实战,重设备、轻运营,向产品与服务并重的阶段转变。根据工信部的数字,2021年我国网络安全产业总体规模突破2000亿元,“十三五”时期我国网络安全产业年均增长率达15%,进入规模保持高速增长、并购和创投保持活跃、产业生态不断优化改善、安全产品与服务并重的高速发展的风口期。

与各项安全投入不断增加、网络安全产业不断壮大形成对比的是,各类网络安全事件依然频发,我们似乎陷入安全投入逐年增加,但网络安全态势却未发生明显改观的怪圈。孙松儿认为,当前我国网络安全领域面临六大矛盾,即蓬勃的数字经济与威胁事件频发的矛盾、持续的安全投入与用户体验欠佳的矛盾、快速演变的威胁与防御资源限制的矛盾、设备要求高标准与开发能力不匹配的矛盾、安全运营简易化与数据割裂难协同,产业高速增长与人才短缺的矛盾。孙松儿指出,这些矛盾反映出我国网络安全在理念、技术和人才上的不足。伴随着攻击手段快速演进,攻击面不断扩大,新基建、网络设施、供应链攻击成为新攻击目标。与之对应的安全建设缺乏体系规划,防护模式仍停留在补救式防护思路上,缺乏主动安全意识,陷入头痛医头,脚痛医脚困局。加之专业技术人才短缺、人才培养周期长等原因,严重制约了我国网络安全整体产业的发展。而产业背后的不足与问题无法得到弥补和解决,就无法跳出这种网络安全投入增加,但安全事件仍日益高发的怪圈。

以主动安全理念指引顶层规划

化解安全建设难题

孙松儿认为,要应对当前网络安全建设背后的不足,有六大要点值得关注。

首先,应当基于“主动安全”的理念指导安全顶层规划设计。作为国内较早提出“主动安全”理念的网络安全厂商,新华三一直坚持将安全左移、威胁情报分析、云端联动、AI赋作为主动安全的核心技术栈,通过安全管理组织保障,共同支撑安全顶层设计。

同时,以技术和运营作为两大抓手,通过技术框架打造防御体系,以安全服务提升安全体验,真正实现同步建设与运营。

在技术层面,通过情报加持威胁治理,基于场景构建AI模型并以云边协同构建起立体的安全体系,让防御更快、更准、更智能。而针对于软件产品开发过程中的安全,孙松儿认为安全应当在设计之初即纳入考虑,在迭代期间开展持续动静态验证,在开发结束阶段进行严格验收和出厂规范,同时开展元器件到整机的质量和脆弱性管控,确保硬件质量安全保障,实现全生命周期内原生安全的嵌入。

在安全大数据方面,随着安全建设的逐步深入,如何将海量安全数据有效地整合、分析也将成为安全体系建设的重要环节。新华三通过五个层次,搭建安全数据新中台,即:以生态为支撑的开放接口层、以AI&数据为基础的原子服务层、以业务为对象的模块能力层及并行支撑的服务治理层、安全开发层,最终实现安全统一可视、数据深度挖掘、应用快速支撑。最后,在人才培养方面,新华三先后与多所科研院所联合承担产学研课题、合作建立产业学院,通过加强网络安全学科建设等举措,建设专业化人才队伍,为网络安全产业发展源源不断地培养高端人才,推进产业良性发展。

孙松儿表示,自2018年新华三集团首次提出“主动安全”以来,这一创新理念就伴随着数字化的深入,持续演进和创新。目前,新华三已经基于主动安全理念,先后发布新一代业务安全旗舰防火墙,基于安全业务中台的多种场景化产品,基于XaaS全云服务的新一代青丘安全运营中心等创新实践。

2022年,新华三集团发布“主动安全3.0”,聚焦客户业务本身,实现了业务感知零信任、业务安全新中台、业务运营即服务三大关键创新,推动主动安全理念迈向业务驱动时代,为行业客户加速数字化转型保驾护航。