中电科网络安全科技股份有限公司副总经理张剑 演讲

张剑：各位专家领导上午好，很荣幸代表中电科网安和各位分享我们对于网络安全运营的一些思考。首先还是拿一些数据来表达一下我们对于当下安全形势的理解，这个领导们也能在其它的渠道看到，在当下的形势当中通过CNsert和CNVD给到的一些数据可以看到，在当下的国际形势之下，包括随着信息技术的不断演变，漏洞的情况实际上越来越严重，包括恶意程序的增长会越来越多，包括在CNsert当中能够看到目前国内被控主机的数量其实是非常惊人的，而且还出现了一些全新所谓APT的攻击方式，包括国外APT一些组织。 

同时今天我们也讲到了很多跟云和数据相关的一些发展思考，但是随着云和数据不断出现，包括业务上云、数据入户，其实从做安全的角度来讲，往往会表达成另外一个概念就是会有鸡蛋放在一个篮子里的感觉，在这样一个形势之下，实际上安全重要性或者安全所面对的挑战反而会日趋严峻，大家也都知道这两年国家也不断的出台跟我们的数据安全、网络安全包括密码相关的法律，而且从当下整个形势来讲，攻击者已经不是原来小打小闹的个人攻击者，而是有组织化的包括国家间的一些攻击会越来越多。 

包括攻击方式也从原来我们说的很容易发现的所谓的病毒、恶意程序，出现了我们刚刚所说到的APT类似于这样的攻击情况，所以我们会在智慧民航的发展中，其实也对安全提出了非常明确的要求，要建立行业网络的安全监测、预警和共享平台，提高重要生产运营系统的网络安全的应急处置能力，加强容灾备份。 

领导们如果关注到公安部所表达的关键基础设施的定义的时候，可以很明确的看到，其实对于我们重要的生产运营系统很明确是属于国家的关键基础设施，而关键基础设施在国家间的对抗中所面对的安全挑战是不言而喻的，我们简单的来表达一下在过往整个作为做一个做安全的企业所看到的在我们所说的这样一个对抗中看到的一些问题，可以简单的归类为四类这样的问题。 

第一，资产的底数不清、风险的识别不足。 

这个实际上也是我们在整体对抗中会越来越明确的感受到的一个问题，就是所谓资产，因为资产实际上是攻击者的目标，但是从原来局部的、单点的攻击来讲，我们不会对企业整体资产的底数有那么强烈的关注，但是随着现在所谓的整体对抗作为一个企业整体安全责任人来讲，其实摸清资产会是一个非常重要的问题。 

第二，防护单点被动，缺乏纵深防御。 

这个因为我们在过往规划安全体系时候，包括网络安全责任制落实的时候，我们在一些大央企、大集团实际上往往是分层管理或者是局部管理，在这样一个过程中，对于一个企业整体的安全防护体系往往缺乏顶层的考虑，所以纵深防御很难落实。 

第三，监测薄弱，威胁情报滞后。 

大家通过这个问题可以看到我们所说的安全已经不再是原来的合规，而是在类似于军事作战这样一个概念中出现的网络安全，只有在这个逻辑中，我们会那么关注情报，关注所谓的监测，因为在这个逻辑中，及时的发现敌方，及时地知道我们攻击的薄弱环节是非常重要的。 

第四，安全机制的欠缺包括事件缺乏闭环。 

这个和我们的组织力以及管理能力反而是更相关的，而不是对抗当中的技术能力。 

第二个部分对照刚刚所说的问题，我们看到的运营一些思路，给到凝练或者聚焦以后的想法，我们认为应该构建企业、机场、航司的网络安全运营中心，当然从概念上来讲这个很抽象了，我们希望能够成为我们抓好网络安全对抗中作为安全防守方的重要的抓手，在这样一个重要抓手中通过运营中心去承载我们的团队，压实我们的流程，包括构建所谓的面对整个企业的智慧平台和监测平台。 

这样一个过程中归纳了四个一。 

第一，资产一张图，动态的采集； 

第二，情报一条线，全域能够实现同步； 

第三，指挥一盘棋，减少指挥中的层层环节； 

第四，动作一致化和标准作业的过程。 

简单阐述一下这四个一，首先是资产一张图或者情报一条线，其实从概念来讲非常容易理解，但是我们认为在具体落地的过程中，在资产侧应该主动和被动的结合，技术和人工的结合来构建企业完整一张资产视图。 

从情报来讲，实际上有各种不同的情报来源，怎样得到一个最全面、最广泛的情报，并且能让这样一个情报同步到你的企业每一个点位，每一个层级，实际上是最重要的。 

指挥逻辑中我们认为现在对抗中可能最重要的一个点，因为我们做技术的人会认为，对抗取决于防和攻的技术能力，但是真正在实战中会发现，往往是最短那个板，决定你在对抗中真正的效果，所以怎么拉平短板，反而变成最重要的，而拉平短板中最重要的一个点反而是指挥和管理，所以我们希望通过这样三个平台监测分析、安全运维和指挥管理所谓的三平台来构建一个面对整个企业那么多层次、那么多点位，那么多不同岗位人的整个指挥体系，而且这个指挥体系应该做到尽量扁平化、有效并且能够贯彻出你的流程和管理思路。 

最后我们认为应该有一个标准化作业流程，这个作业流程中归结了所谓六项不同标准化作业流程，包括资产的动态管理，整个攻击到来时候的通报预警，全网或者全系统统一的监控防护，在防护过程中常态化、主动的探测和巡查事件的协同处置以及网络安全考核。 

这里稍微啰嗦一点，我们认为考核其实很重要，尤其是对于我们做过大量的央企政府这样一个不同性质客户的时候会发现网络安全责任制的落实通过考核机制的进一步量化、指标化并且贯彻到对抗和防护中才能够真的拉齐指挥最后的效果，所以怎么建立一个真正有效的网络安全考核机制，反而变成非技术但是又那么重要的一件事情。 

最后简单的抛抛我们所谓的思考。 

第一，在整个网络安全中应该强调的是管理和标准化，有一点叫作跟一个做安全的技术企业不那么相匹配，我们觉得安全到底是技术说了算还是管理说了算，我们通过那么多年的护网以及对抗，包括对于央企和政府的保护，最后的实践来说，我们觉得管理和标准化反而那么的重要。 

第二，强调组织度，像我刚刚说的，其实短板反而是最重要的，怎么拉平短板，而不是做成长板，让全部每一个点位每一个层级，通过你的组织度把它拉起来反而很重要。 

第三，与时间赛跑，为什么强调六项作业流程，实际上要建立一个常态化机制，而不是只在护网，只在众保中才来做安全，你能够比攻击者提早一步，其实就赢了，所以与时间赛跑。 

第四，业务信息系统都在不断的发生变化，绝不是还在原来的传统架构里做安全，还是要结合云、结合数据、结合数字化转型来做最后的网络安全运营。 

当然电科网安通过我们长期的服务于政府和央企，也归纳了自己成熟的从服务内容到运营体系包括构建了覆盖全国的五大运营中心，希望能为智慧民航的发展贡献的力量。 

我的分享就是这样，谢谢各位！