世界正迎來百年一遇的大變局。以互聯(lián)網(wǎng)、5G、人工智能技術(shù)的發(fā)展與普及為代表的第四次工業(yè)革命的浪潮，把我們帶入了物聯(lián)網(wǎng)的時(shí)代。結(jié)合今年的主題，我今天的演講分為三個(gè)關(guān)鍵詞：進(jìn)化、內(nèi)生和聚合。

　　第一部分，說進(jìn)化。

　　首先，我們的環(huán)境經(jīng)歷了從I到C的演化。過去，我們討論網(wǎng)絡(luò)安全，其實(shí)說的是互聯(lián)網(wǎng)安全（Internet Security），但現(xiàn)在網(wǎng)絡(luò)安全的內(nèi)涵和外延不斷擴(kuò)大，向網(wǎng)絡(luò)空間安全（Cyber Security）全面升級。

　　在互聯(lián)網(wǎng)時(shí)代，我們主要防止數(shù)據(jù)被破壞、被泄漏和網(wǎng)絡(luò)癱瘓；在網(wǎng)絡(luò)空間安全時(shí)代，安全目標(biāo)是包含設(shè)施、數(shù)據(jù)、用戶、操作在內(nèi)整個(gè)網(wǎng)絡(luò)空間的系統(tǒng)安全。攻擊物聯(lián)網(wǎng)，就等于攻擊物理世界。自動(dòng)駕駛汽車被攻擊，可能導(dǎo)致車毀人亡；電站被攻擊，可能導(dǎo)致災(zāi)難性事故。

　　伴隨著從I到C的全面演進(jìn)，我們必須從更高的維度、更廣的視角來審視網(wǎng)絡(luò)安全問題。因?yàn)樵谖锫?lián)網(wǎng)的時(shí)代，我們除了要關(guān)注信息安全，更要思考如何保障關(guān)鍵信息基礎(chǔ)設(shè)施和眾多物聯(lián)網(wǎng)設(shè)備的運(yùn)行安全。

　　其次，我們面對的客戶正經(jīng)歷從C到B的變化。互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)攻擊的目標(biāo)主要是個(gè)人，安全公司服務(wù)的客戶也是個(gè)人。我還記得，2005年左右，流氓軟件成災(zāi)，受影響最嚴(yán)重的是記者、大學(xué)教授等社會(huì)高知識(shí)階層。因?yàn)楣ぷ餍枰麄兠刻煲L問互聯(lián)網(wǎng)，接觸很多新創(chuàng)辦的陌生網(wǎng)站。在這個(gè)過程中，他們不斷中招流氓軟件。有位記者給我看他的電腦，中了十幾款流氓軟件，開機(jī)要半個(gè)小時(shí)，開機(jī)后鼠標(biāo)還不能正常工作。所以，在TO C的時(shí)代，我們解決的是網(wǎng)民上網(wǎng)的安全問題。

　　在物聯(lián)網(wǎng)的時(shí)代，網(wǎng)絡(luò)攻擊的目標(biāo)升級到了政府、企業(yè)等機(jī)構(gòu)和組織，以達(dá)到破壞社會(huì)穩(wěn)定的目的。比如今年5月，黑客入侵并控制了美國巴爾的摩市政府的1萬臺(tái)電腦，系統(tǒng)持續(xù)癱瘓了三周，政府公務(wù)員無法訪問電子郵件帳戶，普通市民無法使用基本的市政服務(wù)。所以，安全公司服務(wù)的客戶也變成了政府和企業(yè)，維護(hù)政府和企業(yè)的安全直接關(guān)系到社會(huì)穩(wěn)定和國家安全。

　　在變化的安全形勢下，整個(gè)社會(huì)的安全觀也在變化。回顧過去五年的歷程，我們的安全觀經(jīng)歷了從外到內(nèi)的進(jìn)化。

　　五年以前，首先要改變的安全觀是重視。當(dāng)時(shí)，爆發(fā)了“心臟滴血”漏洞、微軟XP停服等影響深遠(yuǎn)的網(wǎng)絡(luò)安全事件，當(dāng)時(shí)整個(gè)社會(huì)的網(wǎng)絡(luò)安全意識(shí)非常淡薄，在安全上的投入非常少。我們意識(shí)到，一個(gè)正確的安全觀是確保安全的第一步，所以我強(qiáng)調(diào)“安全第一”。

　　四年前，安全觀從重視向看見進(jìn)化。隨著眾多信息泄露事件的不斷爆發(fā)，網(wǎng)絡(luò)變得越來越看不清、摸不透。如果連敵人在哪里，要干什么都看不清楚，談何安全？雁過留聲、水過留痕，我在2015年提出了“數(shù)據(jù)驅(qū)動(dòng)安全”，用數(shù)據(jù)來檢測和發(fā)現(xiàn)威脅，用大數(shù)據(jù)做到看得見、看得清網(wǎng)絡(luò)攻擊。僅僅看見還不夠，就像一個(gè)人如果手無寸鐵，只能眼睜睜看著罪犯明火執(zhí)仗，所以2016年我又提出“協(xié)同聯(lián)動(dòng)”， 動(dòng)員全社會(huì)的力量，通過協(xié)同來構(gòu)筑安全防線，提升安全能力。

　　兩年前，安全觀的視角從外部向內(nèi)部進(jìn)化。因?yàn)樾畔⒒c安全系統(tǒng)是剝離的，所以看見的只是局部而不是全部，能“看見”邊界的、外部的威脅，而看不見內(nèi)部業(yè)務(wù)系統(tǒng)的狀況。因此，2017年我提出“人是安全的尺度”，開始觸及網(wǎng)絡(luò)安全的本質(zhì)，強(qiáng)調(diào)人對網(wǎng)絡(luò)安全起著決定性作用；2018年我提出的“安全從0開始”，則是呼吁客戶不能僅僅依賴于創(chuàng)可貼式的安全產(chǎn)品和服務(wù)，要在信息化系統(tǒng)從0到1的建設(shè)過程中就開始考慮安全。

　　今年，我們提出了“內(nèi)生安全”。我們通過實(shí)踐發(fā)現(xiàn)，安全能力必須在內(nèi)部的業(yè)務(wù)系統(tǒng)上構(gòu)建，才能真正解決客戶的業(yè)務(wù)安全問題。

　　第二部分，再說“內(nèi)生”。

　　對于內(nèi)生安全，在學(xué)術(shù)界有很多看法。有觀點(diǎn)認(rèn)為，內(nèi)生安全，指依靠網(wǎng)絡(luò)自身構(gòu)造因素產(chǎn)生的安全功效；還有觀點(diǎn)認(rèn)為，內(nèi)生安全是通過增強(qiáng)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備內(nèi)部的安全防范能力，使攻擊根本不可能發(fā)生。

　　以往微軟和因特爾組成的Wintel聯(lián)盟，就是內(nèi)生安全的一種。今天中國電子CEC打造的由飛騰（Phytium）CPU+麒麟（Kylin）操作系統(tǒng)組成的 “PK體系”，也是內(nèi)生安全，芮曉武董事長把它稱為本質(zhì)安全。沈昌祥院士十年如一日推動(dòng)的可信計(jì)算、鄔江興院士十年磨一劍研制的擬態(tài)防御，孫優(yōu)賢院士建立的全生命周期工業(yè)系統(tǒng)控制體系，也都是內(nèi)生安全。

　　我今天說的是攻防過程中的內(nèi)生安全。我們服務(wù)的眾多重要客戶，他們當(dāng)中有政府、銀行和大型企業(yè)，大家普遍關(guān)心，如何不斷從信息化系統(tǒng)內(nèi)生長出一種安全能力，隨業(yè)務(wù)的增長而持續(xù)提升，持續(xù)保證業(yè)務(wù)安全。

　　內(nèi)生安全能力應(yīng)該具有自適應(yīng)、自主、自生長三個(gè)特點(diǎn)。

　　第一，內(nèi)生安全的自適應(yīng)特點(diǎn)，很像一個(gè)強(qiáng)壯的免疫系統(tǒng)。我們都知道，人體的免疫系統(tǒng)是在人體戰(zhàn)場上構(gòu)筑的堅(jiān)不可摧的防病抗病體系，免疫力是最好的醫(yī)生，是防衛(wèi)病毒入侵最有效的武器。

　　自適應(yīng)的內(nèi)生安全系統(tǒng)，有“一方有難、八方支援”的免疫功能。比如，有細(xì)菌進(jìn)入到人體后，免疫系統(tǒng)會(huì)指揮吞噬細(xì)胞和它作斗爭，如果沒把它消滅掉，多種類型的淋巴細(xì)胞會(huì)來支援。在自適應(yīng)的內(nèi)生安全里，當(dāng)有網(wǎng)絡(luò)攻擊到系統(tǒng)內(nèi)的時(shí)候，它會(huì)根據(jù)預(yù)先設(shè)定的方案，啟動(dòng)終端和服務(wù)器的防護(hù)措施，甚至采取隔離等極端措施；為防止攻擊蔓延和降低損失，還會(huì)自動(dòng)通知防火墻、交換機(jī)、路由器等邊界、網(wǎng)絡(luò)安全設(shè)備進(jìn)行反擊。與此同時(shí)，調(diào)整相應(yīng)業(yè)務(wù)系統(tǒng)的授權(quán)，嚴(yán)格限制對敏感數(shù)據(jù)的操作。終端、網(wǎng)絡(luò)和業(yè)務(wù)的聯(lián)合抗擊行動(dòng)，很像免疫功能。

　　自適應(yīng)的內(nèi)生安全系統(tǒng)，有 “明察秋毫、防微杜漸”的告警免疫功能。當(dāng)人體不能實(shí)時(shí)消滅病毒達(dá)到健康平衡的時(shí)候，免疫系統(tǒng)就會(huì)通過過敏、頭暈、耳鳴、疼痛等身體不適癥狀進(jìn)行告警，強(qiáng)制人通過多休息來減少能量消耗，為它對抗外來病毒提供幫助。在自適應(yīng)的內(nèi)生安全里，網(wǎng)絡(luò)安全態(tài)勢感知就是類似的告警系統(tǒng)。

　　自適應(yīng)的內(nèi)生安全系統(tǒng)，有“不惜一切代價(jià)，消滅入侵之?dāng)场钡拿庖吖δ堋！靶菘睡煼ā笔巧鐣?huì)管理和經(jīng)濟(jì)管理學(xué)中向免疫系統(tǒng)學(xué)習(xí)的典范，免疫系統(tǒng)在極端失衡時(shí)，它會(huì)通過讓人體高燒、昏迷等極端休克措施，來對抗入侵的病毒，直至把病毒殺死。在自適應(yīng)的內(nèi)生安全系統(tǒng)里，認(rèn)為人、設(shè)備、賬號始終處于零信任的環(huán)境，因此需要進(jìn)行持續(xù)信任評估。當(dāng)系統(tǒng)判斷一個(gè)設(shè)備的安全風(fēng)險(xiǎn)很高，就會(huì)自動(dòng)降低對這個(gè)設(shè)備的授權(quán)，直至取消授權(quán)；當(dāng)系統(tǒng)發(fā)現(xiàn)在遭受大面積攻擊時(shí)，會(huì)自動(dòng)關(guān)閉掉不重要的業(yè)務(wù)系統(tǒng)，而集中資源來進(jìn)行應(yīng)急響應(yīng)，直至恢復(fù)到安全的狀態(tài)。

　　總結(jié)起來，內(nèi)生安全的自適應(yīng)就是指信息化系統(tǒng)具有針對一般性網(wǎng)絡(luò)攻擊自我發(fā)現(xiàn)、自我修復(fù)、自我平衡的能力；具有針對大型網(wǎng)絡(luò)攻擊自動(dòng)預(yù)測、自動(dòng)告警和應(yīng)急響應(yīng)的能力；具有應(yīng)對極端網(wǎng)絡(luò)災(zāi)難、保證關(guān)鍵業(yè)務(wù)不中斷的能力。

　　第二，內(nèi)生安全的自主性特點(diǎn)，很像“我的安全我做主”。換句話說，安全是買不來的，如果只依靠購買外部的安全能力，而沒有自主的安全能力，是不能解決安全問題的。因?yàn)樵跇I(yè)務(wù)安全第一的時(shí)代，每一個(gè)客戶的業(yè)務(wù)和支撐業(yè)務(wù)的網(wǎng)絡(luò)都是不同的，它們的薄弱環(huán)節(jié)是不同的，應(yīng)對網(wǎng)絡(luò)攻擊的方法和手段也是不同的。尤其多數(shù)APT攻擊都是通過模擬正常業(yè)務(wù)行為，來實(shí)現(xiàn)對業(yè)務(wù)的破壞，完全依靠外部的安全能力很難區(qū)分一個(gè)業(yè)務(wù)行為是否正常。

　　比如一個(gè)女孩兒，她的安全手冊里肯定有很重要的一條是深夜不能獨(dú)自去偏僻的地方；一位富翁的安全手冊里應(yīng)該會(huì)有一條是對自己的住所加強(qiáng)保衛(wèi)；一個(gè)小朋友的安全手冊里肯定會(huì)強(qiáng)調(diào)不能獨(dú)自出門、過馬路。同樣的，每個(gè)組織的安全手冊也一定是不同的，必須針對自己的業(yè)務(wù)特性，立足于自己的安全需求，建設(shè)自主的安全能力。

　　只有外生的安全大數(shù)據(jù)，解決不了內(nèi)部的安全問題。我們說，數(shù)據(jù)驅(qū)動(dòng)安全 ，是指業(yè)務(wù)場景的數(shù)據(jù)是安全能力的驅(qū)動(dòng)力。就像一個(gè)人疑似得了流感，必須去醫(yī)院做檢查，通過抽血等手段，掌握有針對性的、精細(xì)化的內(nèi)生數(shù)據(jù)，才能確切知道問題出在哪兒，如果醫(yī)生只參考咳嗽、頭暈等流感癥狀這樣的外生數(shù)據(jù)，這個(gè)病是沒法治的。要了解核電站的安全情況，必須對核電站正常運(yùn)行時(shí)期、非正常運(yùn)行時(shí)期、不同內(nèi)外部環(huán)境下、不同業(yè)務(wù)指令下的數(shù)據(jù)足夠了解。

　　安全大腦的作用不能被泛化地夸大。如果人只有大腦這一個(gè)器官，連生活都不能自理。和業(yè)務(wù)系統(tǒng)相結(jié)合的是安全內(nèi)腦，來自外部的情報(bào)是安全外腦。從哲學(xué)上說，內(nèi)因是第一位的，外因是第二位的，外因必須通過內(nèi)因起作用。所以，空有泛化的安全大腦不能解決安全問題，而這個(gè)具化的安全內(nèi)腦就是內(nèi)生安全的自主能力。

　　第三，內(nèi)生安全的自成長特點(diǎn)，就像“魔高一尺道高一丈”。指的是對安全能力動(dòng)態(tài)提升的要求。因?yàn)楫?dāng)信息化系統(tǒng)和安全系統(tǒng)升級換代的時(shí)候，業(yè)務(wù)系統(tǒng)流程再造的時(shí)候，安全能力應(yīng)該能動(dòng)態(tài)提升，它的核心是人的進(jìn)步和成長。

　　對一個(gè)組織來說，盡管遭受網(wǎng)絡(luò)攻擊的手段難以預(yù)測，但我們還是可以盡量多地窮舉，比如通過網(wǎng)絡(luò)風(fēng)暴演習(xí)、滲透測試等手段，不斷去發(fā)現(xiàn)問題、解決問題，讓網(wǎng)絡(luò)安全人才在網(wǎng)絡(luò)攻防的對抗中成長起來。不斷成長的人才隊(duì)伍，才能滿足系統(tǒng)自成長的內(nèi)生安全需要。

　　就像一個(gè)拳擊手，需要不斷地與不同的拳擊手對打，才有可能成長為一代拳王。還有，歷史上任何強(qiáng)大的軍隊(duì)，都是在戰(zhàn)爭中成長起來的。現(xiàn)在，我們面臨網(wǎng)絡(luò)戰(zhàn)的威脅，不經(jīng)過錘煉是不可能成為強(qiáng)軍的。

　　第三部分，最后說聚合。

　　聚合是實(shí)現(xiàn)內(nèi)生安全的手段。前面講到我們期望內(nèi)生出的安全能力，能和人體的免疫系統(tǒng)一樣，力量足夠強(qiáng)大、應(yīng)變足夠靈敏。

　　人體的免疫系統(tǒng)是天生的，依靠這套與生俱來的生理功能，人體能識(shí)別“自己”和“非己”，抵抗或防止病毒感染與入侵。

　　而之前的網(wǎng)絡(luò)安全防護(hù)都是外生的，立足于邊界防護(hù)，就像是給人戴上了口罩，極其脆弱。現(xiàn)在安全要做出改變，從外生安全變成內(nèi)生安全。

　　如何內(nèi)生？靠聚合。前面我談到，內(nèi)生安全的三個(gè)能力，是自適應(yīng)、自主和自生長，它們靠聚合產(chǎn)生：信息化系統(tǒng)和安全系統(tǒng)的聚合，產(chǎn)生自適應(yīng)安全能力；業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的聚合，產(chǎn)生自主安全能力；IT人才和安全人才的聚合，產(chǎn)生自成長的安全能力。

　　第一個(gè)聚合，是信息化系統(tǒng)與安全系統(tǒng)的聚合。

　　要實(shí)現(xiàn)自適應(yīng)，需要把信息化系統(tǒng)與安全系統(tǒng)聚合起來。這種聚合需要信息化系統(tǒng)把網(wǎng)、云、數(shù)據(jù)、應(yīng)用、端分層解耦，以便把安全能力插入其中；為了讓安全能識(shí)別業(yè)務(wù)，還需要把接口、協(xié)議、數(shù)據(jù)標(biāo)準(zhǔn)化，即便異構(gòu)也能兼容。

　　這種聚合要求安全系統(tǒng)也要解耦，把安全能力資源化、目錄化，通過標(biāo)準(zhǔn)接口進(jìn)行協(xié)同，實(shí)現(xiàn)這種聚合，安全能力就融入到了業(yè)務(wù)系統(tǒng)的各環(huán)節(jié)之中，就好比業(yè)務(wù)系統(tǒng)內(nèi)生出了一種安全能力。

　　這種聚合拉通了網(wǎng)絡(luò)控制系統(tǒng)和業(yè)務(wù)控制系統(tǒng)，當(dāng)網(wǎng)絡(luò)檢測到攻擊，業(yè)務(wù)控制系統(tǒng)會(huì)自動(dòng)收緊安全訪問控制權(quán)限；當(dāng)業(yè)務(wù)檢測出異常，網(wǎng)絡(luò)會(huì)自動(dòng)采取措施來嚴(yán)防死守。

　　我們在某大型部委的大數(shù)據(jù)體系試點(diǎn)建設(shè)中，就實(shí)現(xiàn)了這種聚合，網(wǎng)、云、大數(shù)據(jù)、安全等多個(gè)廠商共同解決了數(shù)據(jù)分離、認(rèn)證、應(yīng)用、交換等各類業(yè)務(wù)場景問題。

　　第二個(gè)聚合，是業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的聚合。

　　數(shù)據(jù)既是業(yè)務(wù)的核心，也是解決安全問題的核心。以往安全關(guān)注的是網(wǎng)絡(luò)運(yùn)行數(shù)據(jù)，但要建立自主的內(nèi)生安全，還必須關(guān)注相關(guān)的業(yè)務(wù)數(shù)據(jù)。這些業(yè)務(wù)數(shù)據(jù)包括業(yè)務(wù)元數(shù)據(jù)、業(yè)務(wù)訪問行為數(shù)據(jù)等。

　　網(wǎng)絡(luò)安全數(shù)據(jù)，像流量數(shù)據(jù)、終端數(shù)據(jù)、漏洞數(shù)據(jù)、系統(tǒng)日志等，更多的用以描述網(wǎng)絡(luò)行為。但在攻防對抗中，攻擊者都會(huì)隱藏、偽裝網(wǎng)絡(luò)行為。

　　只有把業(yè)務(wù)數(shù)據(jù)和網(wǎng)絡(luò)數(shù)據(jù)聚合起來，將網(wǎng)絡(luò)威脅與業(yè)務(wù)異常結(jié)合起來進(jìn)行分析，才能更準(zhǔn)確地發(fā)現(xiàn)攻擊者。

　　聚合這兩種數(shù)據(jù)，我們需要建立起業(yè)務(wù)與安全統(tǒng)一的實(shí)體關(guān)系數(shù)據(jù)模型，把不同的數(shù)據(jù)聚合成一個(gè)完整的安全數(shù)據(jù)視圖，通過檢索、AI及更廣泛的知識(shí)來發(fā)現(xiàn)隱藏在多層關(guān)系背后的安全問題。這里解釋一下“實(shí)體關(guān)系”，“實(shí)體”是指客觀的對象，如身份賬號、IP、域名、URL、證書等，“關(guān)系”是表示對象和對象之間的聯(lián)系、事件、行為。

　　在實(shí)際的應(yīng)用中，把零信任體系和用戶實(shí)體行為分析結(jié)合起來的數(shù)據(jù)安全管控平臺(tái)，就是很好的例子。在這個(gè)案例中網(wǎng)絡(luò)攻防數(shù)據(jù)、身份數(shù)據(jù)、業(yè)務(wù)訪問行為數(shù)據(jù)，甚至物理環(huán)境的數(shù)據(jù)都會(huì)成為數(shù)據(jù)聚合的關(guān)鍵，從而不僅能夠感知網(wǎng)絡(luò)層面的威脅，而且能感知數(shù)據(jù)濫用與泄漏竊取。

　　第三個(gè)聚合，是IT人才和安全人才的聚合。

　　網(wǎng)絡(luò)安全體系中，人是不可或缺的角色。在一個(gè)具體的安全業(yè)務(wù)場景中，我們既需要懂金融、工業(yè)等專業(yè)知識(shí)的IT人才，也需要具備打補(bǔ)丁、配置安全策略等專業(yè)能力的安全人才。只有聚合起IT人才和安全人才，才能真正讓安全運(yùn)轉(zhuǎn)起來。

　　在軍事中，有一個(gè)重要的原則是為了達(dá)到總的戰(zhàn)役目標(biāo)，各軍種、兵種和專業(yè)兵分隊(duì)必須聚合起來，實(shí)施協(xié)調(diào)一致的行動(dòng)。

　　再比如，以某個(gè)大型實(shí)網(wǎng)攻防演習(xí)為例，需要匯聚組織方、攻擊方和防守方三支隊(duì)伍，才能完成對系統(tǒng)安全性和運(yùn)維保障有效性的檢驗(yàn)。在這樣的演習(xí)中，防守隊(duì)的組成，并不僅僅由目標(biāo)系統(tǒng)運(yùn)營單位獨(dú)立承擔(dān)，而是由系統(tǒng)運(yùn)營單位、攻防專家、安全廠商、軟件開發(fā)商、網(wǎng)絡(luò)運(yùn)維隊(duì)伍、云提供商等多方人才聚合組成的防守隊(duì)伍。

　　所以，企業(yè)與組織在建設(shè)自身安全體系時(shí)，不能只想到技術(shù)體系的IT人才建設(shè)，安全人才的投資建設(shè)也非常關(guān)鍵。在規(guī)劃階段，提前進(jìn)行安全人才儲(chǔ)備，將IT人才和安全人才聚合起來，是后續(xù)安全發(fā)展的根基。

　　概括地說，我們提出的“內(nèi)生安全 聚合應(yīng)變”，就是為安全而生，應(yīng)安全而變，通過信息化系統(tǒng)和安全系統(tǒng)的聚合、業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的聚合、IT人才和安全人才的聚合，點(diǎn)聚為線再合為面，建設(shè)屬于自己的安全能力，達(dá)到自適應(yīng)、自主、自成長。