《奇安信的安全认知与实践》培训课件

2021.03《奇安信的安全认知与实践》启航第92期新员工培训

解决方案中心钟君毅目录安全认知的升级变化奇安信安全认识详解内生安全的思想体系十大工程，五大任务理解威胁的本质，才能理解奇安信的新技术1安全认知的升级变化威胁形势变化倒逼产业升级阶段一1949-2000萌初时代目的不明，系统破坏磁芯大战大脑病毒莫里斯蠕虫冲击波病毒CIH爱虫红色代码……阶段二2000-2006黑客时代阶段三2006-至今黑产时代脚本小子，一切为钱流氓软件恶意插件盗号木马间谍软件恶意外挂钓鱼网站（粗糙）……阶段四2010-至今网络战时代分工明确，团队作战信息窃取钓鱼网站（精致）诈骗短信诈骗电话网络诈骗DDOS恐吓恶意SEO……国家对抗，无处不战APT网络军火工业系统破坏内部威胁政治黑客勒索病毒挖矿木马……政策春风保障行业健康发展计算机信息系统安全保护条例19941999国家信息化工作领导小组关于维护互联网安全的决定20002001重组国家信息化工作领导小组国家网络与安全信息协调小组2003等级保护管理办法2007关于加强网络信息保护的决定20122014中央网络安全和信息化领导小组没有网络安全就没有国家安全20164.19讲话国家网络安全战略公布2016《网络安全法》20172017《网络空间国际合作战略》中国共产党网络安全和信息化委员会201820184.20会议，加快推进国家网络强国建设”等保2.0核心标准开始实施2019.122020.1《密码法》开始实施分级保护管理办法2005数字化转型提升网络安全保障地位新一代信息化业务系统建设浪潮浙江杭州城市数据大脑贵阳警方“人像大数据”系统异地就医“全国一卡通”政务数据整合汇聚与共享应用综合交通出行大数据开放云平台国家电网全业务统一数据中心安全关注的转变推动toB安全市场信息Information互联网Internet网络空间CyberSpace从I到C个人Customer组织Business从C到B外部Surface内部Core从S到C每走一步，都是实践经验的总结2奇安信安全认识详解奇安信的安全思想发展历程数据驱动安全20152016协同联动人是安全的尺度2017内生安全20192018安全，从0开始2020内生安全从安全框架开始首次将互联网安全思想、大数据安全思想和西方先进理念引入中国2B市场数据驱动安全思想的自然延续，将协同思想融入产品和方案设计，初步形成与产业合作思想真正有效的协同就离不开人，首次提出把人作为安全建设的核心，数据驱动安全进入2.0时代在引入西方国家“零信任”新思想的同时，开始全面思考重构整个安全体系的必要性问题颠覆性的安全新思想，首次提出从信息化看安全的新视角，要让信息化系统具有内在的免疫力内生安全思想的落地方案，从甲方、信息化和全局视角重构安全体系，数据驱动安全进入3.0时代内生安全，从安全框架开始终端应用信息对抗（数据驱动）协同对抗（协同联动）人机对抗（人是安全的尺度）威胁内生安全内生安全奇安信的安全思想的演化逻辑单点对抗安全访问（安全从0开始）数据驱动安全数据驱动安全的基本思想——看见看得见与看不见数据驱动安全的基本思想——异常95%的人会这样做3%的人会这样做1%的人会这样做异常不一定是风险，但风险一定会引发异常数据驱动安全的基本思想——监控外部监控——威胁情报我们如何抓住一个宝石大盗内部监控——攻击回溯滑动窗口模型滑动窗口模型人是安全的尺度安全问题的根源安全运营的核心黑客APT组织内部员工外包人员安全运维人员安全分析人员安全咨询人员攻防研究人员人是安全问题的根源，也是安全运营的核心人是安全的尺度：需求指数呈现暴涨2018年11月首次突破102019年6月达到峰值人是安全的尺度：需求引导培养模式持续创新绵阳基地：运营人才速成（企业自用）X-NUCA:大学生联赛（特定人群）蓝帽杯：网警摇篮（特定需求）ChinaVis:可视化分析大赛（特定技能）DataCon:大数据安全大赛（特定技能）实战型专业教材编撰（职业技术类）四四三三三四四三三三四个假设系统一定有没被发现的漏洞一定有已发现漏洞没打补丁系统一定可以被渗透内部人员一定会犯错四新战略新战具：第三代网络安全技术新战力：数据驱动安全新战术：零信任架构新战法：人+机器安全运营三位一体高位能力中位能力低位能力三同步同步规划同步建设同步运营三方制衡用户云服务商安全公司以“四个假设”为前提保障关基安全以“四新战略”为原则设计关基安全方案以“三位一体”方法搭建关基安全体系以“三同步”思想做好关基的体系化保障以“三方制衡”机制构建综合高效系统四大安全假设假设一定有未知安全漏洞假设一定有已知未修漏洞假设系统肯定已经被渗透假设自己的员工是不可靠四新战略之新战具：第三代网络安全技术安全技术时代第一代（1987-2005）第二代（2006-2013）第三代（2014-今）时代背景病毒初生技术简单数量有限木马产业化样本海量化行为复杂化设备多样化系统复杂化攻击多源化恶意样本不再是攻击的唯一手段，甚至也不再是必要的手段核心技术特征码+黑名单白名单+云查杀+主动防御（2.5）+人工智能引擎大数据+威胁情报+人工智能+协同联动对抗对象静态样本样本与样本行为人：攻击者与攻击行为安全目标先感染，后查杀拒敌于国门之外追踪溯源，感知未知提前防御，快速响应关键特征查黑查白查行为对人的要求高较高极高几乎所有的网络安全事件都和账号、密码、电脑、手机、服务器、路由器等被控有关“零信任”架构的策略是不再信任无论内网还是外网的任何设备、任何用户、任何账号……以身份为中心为人和设备赋予数字身份为数字身份构建访问主体为访问主体设定最小权限业务安全访问全场景业务隐藏全流量加密代理全业务强制授权持续信任评估基于身份的信任评估基于环境的风险判定基于行为的异常发现动态访问控制基于属性的访问控制基线基于信任等级的分级访问基于风险感知的动态权限四新战略之新战术：零信任架构三位一体的安全能力数据情报终端安全移动安全边界安全云安全内容安全网站安全工控安全无线安全态势感知安全运营应急响应威胁情报中心补天漏洞平台云安全中心大数据中心高位能力“外脑”中位能力“大脑”低位能力“五官和四肢”安全治理低位能力指的是基础安全产品，既是安全防护能力落地的“关键节点”，也是数据采集的传感器。高位能力指的是云端的安全能力，依托海量数据生成“高价值”的威胁情报。中位能力是高位能力与低位能力相连接的“枢纽”，如同联合指挥部，从低位获取数据，从高位获取情报，进行融合分析，形成协同组织方案，并精准驱动低位能力不断提升安全防护水平。安全快一步安全快一步：奇安信的核心优势让信息化系统具有内在的免疫力3内生安全思想体系什么是内生安全建设信息化系统内在的免疫力免疫系统与免疫能力写在DNA中与每一细胞中的能力网络世界与人类世界的异同人体健康VS网络安全人口：密集流动免疫：能力强大隔离：极端措施数据：密集流动免疫：几乎为零隔离：常态措施网络世界远比人体更脆弱，更易突破安全建设思想的发展进化围墙式安全典型代表：老三样杀毒、防火墙、入侵检测外挂式安全典型代表：安全大脑云查杀、威胁情报内生安全典型代表：零信任PKS体系、一体化访问控制依赖于基础设施固有安全性数据驱动安全是技术思想，内生安全是建设思想

免疫功能内外兼修自我进化一个自适应的安全系统一个自主的安全系统一个自成长的安全系统一般网络攻击：自我发现自我修复自我平衡大型网络攻击：自动预测自动告警应急响应极端网络灾难关键业务不中断只有外部的安全能力，解决不了内部的安全问题只有外生的安全数据，解决不了内部的安全问题只有泛化的安全大脑，解决不了内部的安全问题核心是人的进步和成长不锤炼不可能成为强军不断发现问题解决问题安全能力伴随业务变化日渐强壮安全系统与业务系统深度融合即使是网络被攻破也能保证业务安全内生安全体系三大特征安全供需的发展进化核心安全技术日趋成熟，颠覆性技术难以再现安全需求正在向解决复杂系统的复杂问题转变安全产品一个产品、一项技术解决一个安全问题解决方案通过产品与服务的组合解决特定系统的若干问题信息化安全规划在信息化系统的规划阶段全面部署安全方案内生安全的机制保障：三同步同步规划关键与起点关口前移+预算保障确保网络安全成为信息化系统的有机组成同步建设落地与保障同步运营生命与活力方方面面在信息化建设的方方面面引入并融合安全能力充分对接在信息化运维中所有环节都要充分对接如果把网络安全类比消防建设内生安全思想中的关键词信息化系统vs信息系统信息系统：基础的IT、网络和服务系统。如有线网络、无线网络、数据库、非业务性的网站（只有内容，不能办理业务）。信息化系统，经过信息化改造的生产与办公系统，是与业务紧密结合的信息系统。如：OA系统、税务系统、自动化生产系统等。信息化系统不能独立存在，离开业务环境就没有实际意义。数据驱动安全1.0：互联网安全大数据赋能企业2.0：互联网安全大数据+企业安全大数据+人的运营3.0：互联网安全大数据+企业安全大数据+业务大数据+IT、业务、安全联合运营数据驱动安全是技术思想，内生安全是建设思想网络安全规划与建设的实践指导书4十大工程，五大任务美国的网络安全预算为什么比中国多得多关键问题：投在哪？怎么投？2019年度中美网络安全产业发展态势对比（人民币兑美元按2019年平均汇率1:6.98计算。汇率数据来源：Wind）中国美国相对比值网络安全产业规模＄83.8亿/￥585亿＄447.4亿/￥3123亿1:5.3网络安全产业规模占GDP比重0.58‰

（GDP:＄14.4万亿）2.09‰

（GDP:＄21.4万亿）1:3.6网络安全产业规模占数字经济（DE）比重1.78‰（DE：＄4.7万亿）3.64‰

（DE：＄12.3万亿）1:2.0网络安全预算占IT预算比重1.84%4.78%1:2.6网络安全产业规模同比增速22.3%7.0%3.2:1内生安全：从框架开始从局部整改为主的外挂式建设模式走向深度融合的体系化建设模式；面向新基建建设、数字化业务，以系统工程方法论结合内生安全理念，形成新一代网络安全建设框架；以“十大工程、五大任务”指导网络安全体系的规划、建设与运行；新一代网络安全框架，来指导政企网络安全建设，输出体系化、全局化、实战化的网络安全架构，以“内生安全”理念建立数字化环境内部无处不在的“免疫力”，构建出动态综合的网络安全防御体系。新一代网络安全框架（内生安全框架）规划与发展新一代身份安全重构企业级网络纵深防御数字化终端及接入环境安全面向云的数据中心安全防护面向大数据应用的数据安全防护面向实战化的全局态势感知体系面向资产/漏洞/配置/补丁的系统安全工业生产网安全防护内部威胁防控体系密码专项实战化安全运行能力建设应用安全能力支撑安全人员能力支撑物联网安全能力支撑业务安全能力支撑十大工程五大任务内生安全框架落地的“十大工程、五大任务”甲方视角、信息化视角、全景视角内生安全框架落地的“十大工程、五大任务”十大工程、五大任务的提出背景2020年是十三五规划的最后一年。年内各大行业，各大机构都会开始制定自己十四五规划。对于大型政企机构及国家关键信息基础设施建设来说，预算规划是以5年为周期的。很多大型机构之所以无法在信息化或网络安全建设方面投入巨资，一个重要的原因就是4年前，他们没有做出足够的网络安全的投入规划，或者没有进行某些方面安全规划，如，安全运营人员的采购。