隨著全球經(jīng)濟下行和石油價格不斷降低，數(shù)字化轉(zhuǎn)型成為油氣企業(yè)應(yīng)對低油價挑戰(zhàn)和實現(xiàn)高質(zhì)量發(fā)展的重要手段。近年來，中國海油在油氣勘探開發(fā)、天然氣與管道、煉油化工等領(lǐng)域均進行著數(shù)字化轉(zhuǎn)型實踐，同時也面臨著空前嚴峻的安全挑戰(zhàn)。

為全面推進石油行業(yè)數(shù)字化建設(shè)，2020中國石油石化企業(yè)信息技術(shù)交流大會于10月22日在北京召開，360集團副總裁、首席安全官杜躍進博士發(fā)表《數(shù)字時代的安全危機》主題演講，詳細闡述了以360新一代安全能力體系有效應(yīng)對數(shù)字時代安全威脅的思考與實踐。

數(shù)字化轉(zhuǎn)型迎面全新危機

過去的安全方法大量失效

據(jù)CNCERT《2020年上半年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全監(jiān)測數(shù)據(jù)分析報告》 顯示，石油天然氣行業(yè)暴露的聯(lián)網(wǎng)監(jiān)控管理系統(tǒng)多達118套，其中存在高危漏洞隱患的系統(tǒng)占比約11.1%，這些工業(yè)控制系統(tǒng)一旦被攻擊，石油行業(yè)生產(chǎn)系統(tǒng)安全將岌岌可危。

“未來五年對世界都是很大的挑戰(zhàn)，對我國則是關(guān)系極為重大的關(guān)鍵五年，同時也將是安全形勢極為嚴峻的五年，因為一方面國際形勢惡化，另一方面安全會發(fā)生全新的變化而且危害遠超過去?！倍跑S進博士強調(diào)，數(shù)字經(jīng)濟對中國的戰(zhàn)略意義非常重要，但與此同時安全的風(fēng)險又是最大的。當一切都在網(wǎng)絡(luò)化、數(shù)字化和智能化，安全被重新定義，過去信息化時代積累的安全方法會在未來這五年里大量失效。

面對風(fēng)云莫測的國際網(wǎng)絡(luò)安全形勢，我國關(guān)鍵基礎(chǔ)設(shè)施安全、信創(chuàng)安全、數(shù)據(jù)安全、工業(yè)互聯(lián)網(wǎng)安全、AI安全都面臨著巨大的不確定性，其中不乏創(chuàng)新與融合發(fā)展的機會，但更多的還是危機和考驗。

今年以來，我國在核心技術(shù)領(lǐng)域?qū)以狻翱ú弊印庇绊懀蔀槲覈鴶?shù)字化發(fā)展進程的一大阻礙，也由此明白了只有產(chǎn)品而能力不足的教訓(xùn)。然而，網(wǎng)絡(luò)安全領(lǐng)域從總體上還沒有認識到這個問題，缺乏對能力短板的深刻認識，“究其根本，是因為網(wǎng)絡(luò)安全總體上還停留在產(chǎn)品為主的層面，沒有形成成熟的能力體系，沒有真正上升到按能力進行衡量的階段，”杜躍進博士表示。

數(shù)字化時代得能力者得天下

歷史上無數(shù)次較量都在證明“得能力者得天下”，于安全而言，從過去的網(wǎng)絡(luò)安全到未來的生產(chǎn)安全，也唯有以能力為核心，構(gòu)建更加科學(xué)的能力體系，并以更科學(xué)的方法去衡量各種能力體系，繼而在衡量的基礎(chǔ)上形成閉環(huán)、不斷成長，才能在全新的危機面前立于不敗之地。

演講中，杜躍進博士針對應(yīng)對大規(guī)模網(wǎng)絡(luò)安全事件的國家網(wǎng)絡(luò)安全能力體系、信創(chuàng)安全能力體系、數(shù)據(jù)安全能力體系、C2M2網(wǎng)絡(luò)安全能力成熟度模型等能力體系，進行了合縱分析，并且指出當前迫切需要在安全開發(fā)能力、安全對抗能力以及漏洞管理能力上加快建設(shè)。缺少這些能力，數(shù)字化時代的網(wǎng)絡(luò)安全將無以為繼。

然而，與研發(fā)安全產(chǎn)品截然不同，能力的建設(shè)并非一日之功，也難以簡單復(fù)制。杜躍進博士強調(diào)，“未來的安全能力會是一個非常復(fù)雜的體系，整個能力體系沒有辦法放之四海皆準，但一定離不開最核心的安全大腦。”以安全大腦為核心，通過大連接的方式進行大數(shù)據(jù)的匯總、計算，并且能夠和其他已有的安全資源進行協(xié)同，更大更強的協(xié)同能力就意味著更強的安全能力，只有這樣才有可能破解當今網(wǎng)絡(luò)安全領(lǐng)域最大的問題——攻防不對稱。“從單細胞到今天人類走到生物鏈的最頂端，靠的也是人類大腦，大自然用近40億年的進化也證明了這一點，”杜躍進博士如此形容安全大腦對構(gòu)建能力體系的作用。

自古以來，無論是科學(xué)理論還是醫(yī)學(xué)實驗都要求擲地有聲，而行之有效的安全能力體系同樣需要能夠衡量。于安全而言，衡量能力的方式唯有真刀真槍的實網(wǎng)攻防，通過攻防衡量能力體系中哪個環(huán)節(jié)有問題，再進行不斷改進，從而不斷提升能力。在這個過程中，安全大腦便是帶著整個能力體系實現(xiàn)不斷成長，實現(xiàn)安全能力持續(xù)提升的關(guān)鍵。

然而，安全大腦本身也不是一個可以隨便復(fù)制就能具備足夠能力的‘產(chǎn)品’。憑借十五年深耕安全領(lǐng)域積累的安全大數(shù)據(jù)、國際頂級攻防安全專家、一線APT狩獵形成的安全知識等資源，360的安全大腦具有自身優(yōu)勢。由此，360以自身安全大腦為核心可以提供各種云端服務(wù)，同時基于自身經(jīng)驗幫助客戶建設(shè)自己的安全大腦，最后整合多項云原生安全能力，建設(shè)N套網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，并配套頂級安全團隊、網(wǎng)絡(luò)安全標準、先進運營戰(zhàn)法、實戰(zhàn)檢驗機制，能從各自為戰(zhàn)轉(zhuǎn)向協(xié)同防御，助力國家、城市、政府和企業(yè)構(gòu)建新一代安全能力體系，整體提升應(yīng)對高級威脅攻擊的安全能力。

未來，360將繼續(xù)發(fā)力工業(yè)互聯(lián)網(wǎng)安全，以賦能工業(yè)互聯(lián)網(wǎng)企業(yè)提升自身安全能力為前提，積極推動國家工業(yè)互聯(lián)網(wǎng)安全建設(shè)，共同構(gòu)建良好的工業(yè)互聯(lián)網(wǎng)安全生態(tài)。

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。