360杜跃进：构建安全基础设施 持续进化实战能力

随着全球数字化转型的加速，世界正在进入以信息产业为主导的经济发展时期，数字经济正带动全社会迈入新时代。作为数字经济的基础保障和重要支撑，新基建行业正迎东风，但也面临着APT组织、网络犯罪团伙活跃带来的新威胁。

“安全需要转向以能力为核心的新时代。”在近日举办的“新基建，新安全——关键信息基础设施安全论坛”上，360集团副总裁、首席安全官、大数据安全协同技术国家工程实验室常务副主任杜跃进博士提出这一观点。

大会由广东省公安厅和广东省密码管理局指导，工业和信息化部电子第五研究所（中国赛宝实验室）等6家单位主办。旨在推动广东关键信息基础设施安全保护先行先试探索与实践，通过关键信息基础设施保护实践与发展之道的交流分享，促进关键信息基础设施、重要网络和数据安全保护工作，形成一批切实有效的实践创新成果，为全国关键信息基础设施保护工作推进提供参考，为广东网络强省制造强省的建设，保障和促进广东数字经济、广东新基建十大智慧(行情601519,诊股)工程安全发展提供有力支撑。

对抗趋势加剧 数字空间安全概念升维

新基建本质上是数字化基建，其上承载着智慧医疗、互联网金融、电子政务、工业互联网等众多场景。可以说，未来世界必然是数字化世界，其核心特征是软件定义一切、万物均要互联、数据驱动一切。

但从安全角度看，这也意味着漏洞存于每个地方、攻击可以由世界任何一个地方发起、数据安全威胁关键业务。“更加直观的表现，就是数字化空间对抗趋势加剧，即主观攻击意图普遍增强。”杜跃进谈到。

360集团副总裁、首席安全官、大数据安全协同技术国家工程实验室常务副主任杜跃进博士

这种对抗性可以从三个方面佐证。一是美国已组建了133支网络战部队，未来还将建27支。在这种示范之下，超过120多个国家纷纷效仿成立自己的网军部队，更有国家背景的APT组织日益猖獗，规模化、组织化的网络犯罪团伙、恐怖主义组织和顶级黑客活跃；二是2019年9月24日，美国、英国、澳大利亚、新西兰、加拿大、日本、韩国等27国签订《关于推进网络空间负责任国家行为的联合声明》将进攻性网络攻击合法化，把网络空间变为新战场。这一声明释放出一个信号：以后网络攻击变得更加合法化将成为常态；三是整个国际形势大背景的影响，比如网络军控进展缓慢、国际形势趋于紧张等。

在这种主客观条件影响之下，我国的关键信息基础设施将成为网络战的首选目标，面临强敌威胁的风险。无疑，数字空间的安全概念已经不同往日，我们已进入大安全时代。

以实战为目标 安全需要转向以能力为核心

当前 0day 攻击、APT 攻击、勒索软件等威胁愈发严重，安全对抗的水平在不断提高，而传统的防护方式却只在产品上不断加码，夸大了工具与自动化分析的作用。这种“银弹式”的安全规划极容易忽视掉新暴露的风险。

在杜跃进看来，大安全时代下，安全需要转向以能力为核心的新时代。网络空间的攻防对抗本质是人与人的对抗，工具、系统都只是手段，不是目的。每个高级威胁的背后是黑客思维与攻击技术的融合和演化，单纯的工具或系统所承载的经验与知识是匮乏的，只有通过人机结合形成安全能力，并以实战作为最终目标，才能应对新威胁、大挑战。

在这一层面，我国也在不断探索实战场景，提升能力。杜跃进现场展示了三个安全能力体系模型，一是国家大规模网络安全事件应对的能力模型，这个模型中并非只有产品，而是汇总了流程、数据、机制、组织、技术形成能力，最终目标是保护整个国家互联网，在面对大规模网络攻击时能够及时发现和应急响应；

另一个是数据安全能力成熟度模型，从组织建设、制度流程、技术工具和人员能力等四个能力维度建立正向驱动的数据安全治理体系，用成熟度的方式衡量整个数据在组织全生命周期能力；

还有一个是信创安全能力的建立，主要分为五个层面。第一层基础目标是“可信的”，可信的基础之上是“安全的”。由于漏洞永远无法消除，系统总是可能会被入侵，第三层的目标是增强被入侵之后对攻击事件的“可控性”。第四层是增强安全威胁溯源、取证、慑阻等“可对抗的”能力。基于以上四个层次的目标，第五层目标是增强核心业务“可存活的”能力，守住网络安全最后的“底线”。

以安全基础设施为承载 持续进化实战能力

建立了能力体系，实践才是检验安全能力的最终标准。杜跃进将网络安全的演练分成“秦规、汉技、唐能、明武”四个等级，反映了不同级别演练方式的难度持续递增。其中，秦规是规则推演，按照应急预案走通流程；汉技是单一技能的演练；唐能则是模拟作战演练；明武就是在完全真实情况下进行的演练。

我国从2016年开始，在全世界率先正式开展最后一个级别的演习。这种“揭开盖子式”真刀真枪的演习发现了很多安全问题。大家终于知道真实网络远远比想象的情况更不安全。2016年至今，包括贵阳大数据安全靶场在内的实网攻防演练不断进化发展，已经能够开展大规模、社会化大协同的实网攻防安全演习，其结果让大家看到了当前的网络安全现实——买了网络安全产品、做了安全检查并不等于安全。

未来，这样的实网攻防会逐渐走向更加实战化、体系化和常态化。但同样更要思考：如何实现攻击端能力体系全面有效的覆盖国家级APT战术战法与武器工具？如何在安全管控的情况下，攻防两端能力还能发挥主动性和能力水平开展充分的对抗？如何追踪网络中不断涌现的战术战法、漏洞隐患、创新工具等，并且积累起来在实战演习中有效的输出应用？

体系化的问题，需要用体系化的方法来解决。过去十五年来，360 基于服务10亿消费者、数千万家中小企业的实践，以及国内唯一融合全网C端和B端且能回溯10年以上的EB级安全大数据，打造出一套以安全大脑为核心的云端基础设施向城市、行业、企业赋能。其中，以安全大脑的全网安全大数据汇聚、全视监测分析等能力为基础，结合虚拟化全封闭终端以及攻击源动态实时隐蔽等技术，构建了“攻击者－物理终端-虚拟攻击终端-云管控中心－实网目标”全链路可信可控封闭环境，以供攻防两端能力展开实战对抗。

基于安全大脑的实战演习平台、专业的安全团队、成熟的演习机制构成的实战演习体系，已经支撑起历年来的国家和各行业的网络攻防实战演习，为评估和提升关键信息基础设施安全防护能力，构建国家网络安全综合防控体系，提供了重要支撑，推动建立国家超大规模的网络安全社会化协同与动员能力。

在这平台背后，透露出的是360数年来持续对40多个APT组织开展追踪，和网络强敌进行一线交锋，具有高度实战价值的技战法与能力的积淀。

无疑，安全能力建设将成为新基建安全的核心，实网攻防也将成为安全能力验证衡量必不可少的工作。于国家、城市、企业而言，需要实战化、持续化、常态化的实网攻防演练，推动安全能力不断进化，更需要专门的基础设施支持大规模实网攻防演练。

来源为金融界财经频道的作品，均为版权作品，未经书面授权禁止任何媒体转载，否则视为侵权！