5月7日消息,2019 C3安全峰会在成都举办。峰会上,亚信安全COO陆光明在接受网易科技等媒体采访时表示,5G时代即将到来,但国内对安全的投资还仍然太少。
陆光明强调,没有网络安全肯定就没有5G。
而在昨天上午的演讲中,亚信集团董事长田溯宁也表达了类似观点,田溯宁认为,5G云网是未来所有商业和产业互联网最重要的基础设施,5G云网时代下需要产业互联网的安全运营商,因为没有安全就没有5G云网,就没有未来。
陆光明表示,5G的低时延、大连接将给网络安全架构带来巨大的改变,以万亿级计算的设备连接在一起会出现各种安全问题和挑战。
陆光明认为,网络安全到了新时代,就像汽车的油门和刹车的一体两翼一样。(一刀)
以下是对话实录,经网易科技编辑:
一、5G时代,亚信安全要做什么?
记者:亚信安全对5G的战略是什么样的,包括定位?
陆光明:5G的安全战略,肯定是我们最顶级的核心战略之一,与我们的云安全、数据安全、身份安全、安全管理并称为我们的6大战略。首先,我们认为,5G时代已经开启,其中一个核心事实是,整个商业流程实现从人的连接到物的连接,到知识连接再到商业流程的连接,从而将形成产业互联网的元年5G元年已经到了;其次,由于我们跟运营商的长期合作,因此具有得天独厚的条件,能够在这块市场发力,取得一个先发优势,也能支持运营商包括全社会走向5G时代。毋庸置疑,5G对我们来讲是非常重要的,甚至某个视角来讲,我们未来希望全社会业界一谈到亚信安全,就会想到5G安全,想到云安全。或者一谈起5G安全就想到了亚信安全。
记者:在5G安全领域,亚信安全整体运营是怎么样的呢?包括亚信安全的梦想是什么样的?另外,从整个电信行业来讲,运营商,设备商对5G安全怎么看?
陆光明:其实从传统的网络安全架构来看还是有很大的变化。无论是5G的高带宽,还是大连接,尤其是低时延和大连接都会带来巨大的变化。我们看到的低时延业务场景,从各式各样的分析来看,5G可能存在的业务场景,比如说车联网、无人机,或者说无人驾驶,都是很典型的应用场景。
无人驾驶在发指令和控制过程中,对时间要求是很高的,真正到了无人驾驶的时候,你会发现整个生态会发生变化。原来我们的驾驶员,司机买车险和意外险等等,出问题是你要承担责任。到了无人驾驶的时代,发生交通事故的时候,怎么界定事故方?是制造商的责任,还是司机的责任,还是平台控制商的责任?包括保险公司怎么样来投保,怎么样界定责任,会发生很大的变化。这些变化和挑战,需要我们在产品角度、在更快的时间,甚至更提前进行洞察、预测和分析。从这个角度来讲,可能就要结合更多的危险情报,结合人工智能、机器学习,具一定的预知的能力。因为在事中,这么短的时间之内,不管是工业互联网,还是自动驾驶等,单点的计算能力是不足以去做快速响应的。所以就需要更强的预知和洞察能力了。
当然,大连接同样也是一个挑战,原来我们看到的连接,就像今天田溯宁董事长谈到的,是以万亿级的设备连接。现在的家庭里面的智能设备越来越多,也出过一些问题。比如说智能的摄像头出现过隐私的泄露,比如说智能音响变成了一个窃听器。到了5G时代,这些涉及就会越来越多。对于这些智能设备本身的接入,如果我现在在成都,我要控制家里的设备,比如说是开门也好,或者什么也好,如果是被黑客攻击,获取了我的权限,把设备的控制,非法设备接入进来,进入我家庭的整个控制中心就糟了。这仅仅是家庭,如果是工业领域,生产企业,那么可能就是灾难性、毁灭性的事故了。所以从这个角度来讲,对安全产品的挑战,也会不一样。所以5G安全在很多层面带来的挑战和整体应对是有变化的。
从亚信安全整体布局来讲,首先在标准规范上面,已经在参加了。像徐业礼本身就参与了3GPP等标准的制订,贡献自己的力量。亚信安全与中国信息通信研究院共同发起,联合中国移动、中国电信、中国联通、中国网安和北京邮电大学成立了国内首家“5G安全协同创新中心”,以“产学研用协同创新”模式,面向5G安全共性关键技术、产品以及成果转化。这也是从标准层面、核心技术的攻关、解决方案,甚至于应用场景几个方面去发力了。
运营商永远是5G的最大的建设方和关键方。在5G之前的通信设备,应该讲是各个通信设备厂商成为事实的主导者,所以这次在5G时代,运营商也特别希望通过NFV和SDN的架构,打破原来封闭的产业形态。对于亚信安全来讲,协同创新中心也好,还是跟一些行业试点的项目我们都在稳步推进,包括亚信安全的5G安全解决方案。
第二个问题,5G时代,不管是云网一体化,还是MEC的边缘云中心,运营商、设备厂商,安全厂商,我觉得5G安全的责任都逃不掉。亚信安全上上周在上海参加中国联通的合作伙伴大会,联通主管安全这块的负责人也谈到这个话题。我们甚至认为没有网络安全就可能就没有更好的5G。
我们一致认为,网络安全到了新时代,就像汽车的油门和刹车的一体两翼一样。
二、5G需要怎样的安全
记者:5G为什么需要安全?针对5G相关安全方面的产品和解决方案会是什么样子呢?有一些什么样的进展呢?
徐业礼:我们在5G的网络安全方面,已经有两款产品,分别是DS for运营商的版本,来保护5G基础设施的安全,保护5G的核心网,也可以保护边缘计算设备。
另外一个产品是NFV网络里面的流量防护,它可以保护5G网络里各式各样的网元,将非法的流量过滤掉,不受外围的攻击。同时让NFV流入或者是流出,我们讲的南北向流量也可以受到侵袭,包括我们常见的IPS,防病毒,应用程序控制,协议控制等等这些能力。
第二,在5G安全管理上,也推出了新的品牌,是我们整体5G安全运营的整体解决方案——不是一个产品,是一个整体解决方案。
陆光明:其中还有一个比较技术一点的,比如说5G时代,原来我们接入到网络、甚至说移动应用的时候,其实是两次认证。接入到网络是一次认证,接入到应用是另一次认证。应用切片网络和服务化之后,两次认证合二为一的认证方式会成为主流了。因为我们在运营商的接入认证是占优势地位的,运营商几乎70%以上的认证都是我们建设的。所以从这个角度,我们也会比较有独特的竞争力。未来在5G时代,云网一体化也好,切片也好,加强认证能力,包括对于这种超级多的链接设备,设备级的认证、云的认证这块都有一些比较新的产品推出来,然后和我们谈到的5G整体解决方案,构成我们整体的解决方案。
记者:下一阶段在这个时间节奏上,会准备怎么样的目标,我们会发布哪些5G的东西?
陆光明:首先从结构上来讲,过去一年多来的布局,首先从规范标准上我们去参与和影响,其实不仅仅是预研,相关的产品已经发布,包括我们也在跟运营商做一些试点的项目,试点项目已经在发布的过程中。。
曾经也有一些说法,你会不会现在投入这么多?5G真正的大爆发会不会是后面,对你有没有压力?其实我们在整个产品布局上,实际上到了5G大规模商用化的时候,NFV和SDN架构下,5G安全很多产品和在云上的产品实际上是殊途同归的,所以我们的布局不会说提前投入多少。明年没有,甚至后年5G没有大规模的生产怎么办?这些都是一起融合的。不管现在是有项目,我们做试点,从制定规范标准、到树立标杆,还是从规模性方面,已经有很多的用户迫不及待等待这些产品的推出了。
三、亚信安全战略会有什么变化
记者:历年四次的C3我都来了,感觉你们战略是在一点一点延伸和变化。今年在战略上、安全产品上,以及亚信安全的企业发展方面,有什么样的升级变化呢?
陆光明:我们今年的业务战略,确实又有一次演进和变化。首先从顶层业务战略,我们自己内部提了一个两翼齐飞,四轮驱动。两翼齐飞是从安全软件这个角度来看的,我们一翼是威胁防护视角的产品,要懂黑客,懂攻防,懂黑客心理,这个是其中的一翼。另外一翼是我们要特别熟悉具体的行业和企业自己本身的业务需求。包括国家的法律法规、这个行业的标准规范,以及这个企业自己的管理、制度、流程的要求。前面一类从威胁防护角度,我们的防病毒或者是说这种主机防护等等相关产品都是从攻防视角做的。另外一个,是要做相应的一些针对性的设计和软件的开发,比如说身份安全的产品,包括数据安全的产品等等。
我们还有一块,到现在这个时代,数据本身非常重要,我们会把数据集合起来形成安全的数据湖,我们也会把刚才谈到的攻防视角的产品和策略产品,在安全运营和安全管理层面,就是我们时髦的词——“态势感知”做顶层的聚合,形成企业级的安全运营管理,构建管理中心、分级中心、响应中心,这是我们业务战略上的布局。
其实这个跟2016年提的战略,最重要的定制化+标准的整体解决方案是一脉相承了。只不过这次把这个战略提升到两翼齐飞,四轮驱动。大家知道亚信有20多年做大型行业系统的背景,所以在现在的安全公司里面,我们我们是最独一无二的能做大型的软件工程项目、安全工程项目的公司。比如说我们在中国移动集团有一个项目,是承接了整个中国移动7亿用户的统一认证,它的手机营业厅,商城,以及所有移动端的认证,基本上是日活跃率是将近2个亿。这种大型项目,对于一个普通的安全产品公司来讲是很难去承接的。也包括像去年,我们给国办做的统一政府平台里面的统一身份认证平台,类似于这样的系统,都是需要把两方面的能力结合在一起才能做的。这是我们战略上的最大的变化。
从产品战略和市场战略来讲,顶层战略我们今年还有一个变化或者是调整就是更聚焦。我们从原来最早公司成立时候的88款产品逐步聚焦,今年主要聚焦在安全相关的,像刚才谈到的我们的身份安全,我们的XDR的战略,包括XDR里面把态势感知、和威胁情报进行有机的集成。在市场上,我们针对关键信息基础设施行业的安全保护也是重点,从运营商到金融、到政府、到能源、到交通等等作为我们最重要的客户。这个也是我们基于大家谈的业务战略。
在产品上,还有一个比较大的举措,今天田溯宁董事长也谈到,5G时代来临的时候,云网一体化。我们对这个云网一体化的认识,应该讲还是比较的清醒,认为是推动整个社会变革走向产业互联网时代,走向万物互联时代,走向从虚拟到现实的数字世界的必由之路了。所以在这里面,我们对云网一体化的整体解决方案比较看中。尤其是我们认为中国的这个云网一体化,或者说在云方面的架构,会跟国外有显著的区别。
欧美很典型的公有云,对于安全公司产品架构都会发生显著的变化。实际上在国内,我们认为包括政府在内一定是私有云,行业云是主流。实际上在私有云环境下,我们认为现在的云网一体化或者是战略上对于产品的呼唤,更需要的是成体系的解决方案。包括不仅仅是说威胁防护类的产品,也包括了刚才谈到的身份管理、数据安全管理,包括甚至于说安全资产管理、运营管理,都需要进行有机的集成。这也是我们在产品战略中发布的云翼计划,在原有亚信安全服务器深度安全防护系统DeepSecurity解决方案基础之上升级为整体行业云的解决方案。这个是我们在公司自己的战略上,从顶层的业务战略到市场战略的调整变化。
记者:您刚才谈到是说成立之初有88款产品,现在到聚焦,我理解聚焦是我们在缩短这个产品线上,这个聚焦背后的底线到底是什么呢?
陆光明:也不是缩短产品线,准确是做得很好,把这些优势产品做到端到端的整体解决方案,技术上和产品上有独特竞争力的,我们去发力。其实过程中,我们也在补充一些产品,并不是就仅仅砍掉。比如说刚才谈的数据安全,大家知道数据安全,到现在为止没有一家公司具备完整的数据解决方案,我们现在就在做这件事情,这是我们所谓产品聚焦的核心。
四、网络安全的未来趋势是怎样的
记者:我们现在能够看到现在网络安全的哪些方面?谈一下未来的趋势和发展方向,在这些方向里面有哪些是关于网络安全?
陆光明:趋势方向来讲,我们刚才谈的这些东西,都是跟趋势方向相关的,我们讲到云网一体化,包括私有云架构,包括基础架构的变化。首先有一个观点,所有的网络安全要依附于两样东西,一个是技术架构,一个是数据。不管是互联网化,还是自己的内部应用软件的系统,因为没有这些就没有安全的谈法。
那么在现在这种变化的过程中,我们认为刚才谈的5G云网也好,私有云也好,还是越来越重视个人隐私保护,国内的相关法律法规不断提出。我觉得这个热点方向其实还蛮多的,在这里面,刚才谈了很多这样、那样的产品。但是大的面上来讲,我们坚信一点,融合的整体方案会变成一个热点。
比如说数据安全,原来我们数据安全可以看到在业界是零散的小产品,什么数据库审计、脱敏,有很多小产品。但是实际上数据本身,整个的全生命周期——从数据的产生,比如说你玩手机的过程中,你上网,你玩APP就产生了大量的数据了,从产生到它的传输存储、使用,甚至销毁的整个全生命周期,我觉得是特别需要有相应的完整解决方案和一条整个的流程来实现在不同层面的数据防护。从这个角度来讲,亚信安全也是基于这些年的经验,有一整套的体系。甚至说企业从数据安全的角度要建立一套体系,因为这个东西首先不是一个产品,它要有解决方案,但是还不够。我们给中航信、包括银行都做了类似的方案。其中涉及到了包括你跟用户签的协议。你去电信办个业务,通常会有一页纸,一个协议一签。这个里面就会产生大量的数据是否合理使用、数据使用范围是不是最小范围达到认可、期限是不是在同意的期限里、三个月必须销毁、数据主体拥有者是否有修改权,知情权等等问题。这种情况下,你会发现,对企业核心业务系统的开发会产生重大的影响。所有系统开发的时候,以后都会一个业务流程的分析,分析所谓的信息模型建设或者是数据模型的建设到底要采取哪些数据。我们跟这些数据公司沟通内容当中,包括建设的整套方案,以及对它的反向业务带来挑战和调整。我们承接的国家统一身份认证平台做了一个尝试,把所有的敏感数据抽出来,以加密的形式放在一个独立的库里面,如果这个库被攻破了,没有任何的影响。这样就不会产生数据泄露的情况,我对它进行访问的时候,从这个程序端才进行解密、进行相应的处理。
这些都是我们在整个的数据安全解决方案里面,包括打标识、怎么样去溯源,包括谈到的脱敏也好,敏感数据发现策略也好,会有一整套的方案了。所以回答你这个话题,未来的热点,从单纯的产品或者是技术角度来讲,还会有很多。但是其中有一个大的变化,我认为尤其是大企业,大行业,越来越呼唤整体的解决方案。
五、国内对安全的投入还太少
记者: 5G网络是史上最复杂的网络,成本很高。安全的问题也会涉及到成本的问题,可能成本也会很高。从成本方面考虑,5G网络安全防护方面有没有一些优先级呢?
陆光明:你说的成本,说句实话,我认为整个国内的安全本身的投资还太少,例如,传统银行原来在做业务的时候,是线下业务为主,现在变成了数字银行,原来在修筑高墙大院,铁栅栏保安监控,花了很多钱,加起来可能上万亿的投资。现在变成了数字化银行了,业务从线下到了线上了,应该更加重视数字世界保护,因为可能只需要花几百个亿,就应该把这个保护得很好。所以我认为到了5G时代同样如此,去改变你的生产,改变全社会的商业要素的时候,带来这么多的便利,自然而然需要这个闸门,自然而然需要加大投入、解决安全问题。
另外一个角度,这里有一个接受的过程,包括我们也看到政府的相关监管单位也在做各式各样的布局,甚至可能会出台如关键信息基础设施行业的安全设施要占比多少、一把手负责等硬性规定。包括银行、银保监会也在出台这种政策了,但是肯定有一个接受的过程。对我们来讲,在这个过程中,先做什么?其实我觉得永远是那些是最急的、或者是危害最大的,这个肯定是要先做的。
比如说如果5G场景来了以后,无人驾驶变成了现实,那么这个问题肯定要去做。不做的话,这个产业根本起跑不了。谁敢去?连保险都无法买了,如果没有对它的安全上给出相应能力的话。所以这些肯定是要基于我们5G带来的业务场景的变化,哪些是有强烈的需求,哪些就是我们着重要解决的问题了。
记者:刚才说到这方面投入比较少,刚才我在关键信息基础设施那个圆桌论坛上,郭总就非常明确地说,今年这个条例会落地的,会给行业带来催化吗?
陆光明:当安全变成业务不可离开的一体两面,他会发现这个是必需品。这个时间我觉得随着产业互联网时代的到来,随着真正的虚拟到现实融为一体的数字世界的到来,一定会变成现实。未来的安全的爆发或者说安全的规模,将是一个非常大体量级的业务范围,所以亚信安全要成为产业互联网时代的安全运营商。