​以“零事故”为目标,护航数智时代警务建设

2023-09-15 12:42

齐向东在香港警务署网络警政国际论坛上发表讲话,全文如下:

各位领导、嘉宾、国际友人们大家好!我是中华全国工商业联合会副主席、奇安信集团董事长齐向东。今天我的演讲主要分为四个部分

网络警政国际论坛

第一部分:从北京冬奥会零事故,看网络安全是现代警务的重要能力

奥运会、洲际运动会、国家运动会是令人瞩目的体育赛事,历来都是举办国的重大活动,关注人数多、影响力非常巨大,保卫赛事安全也就理所应当的成为各个国家警务部门的头等大事。粤港澳三地也即将联合承办第15届全运会,预计有十余项赛事会在香港举办,毫无疑问,警务部门面临着网络安全保卫的巨大挑战。

以奥运会为例,它既是全球顶尖远动员的竞技场,也是全球顶尖黑客的竞技场,全球很多顶尖黑客,都以能成功攻击奥运会系统并产生影响“为荣”。从伦敦奥运会以来,没有任何一届奥运会能够实现网络安全“零事故”。

齐向东

2012年伦敦奥运会开幕式时,奥林匹克场馆电力系统遭受了约40分钟大规模DDoS 攻击,多家媒体机构遭到了有国家背景支持的攻击组织发动的针对性网络攻击;2014年索契冬奥会中,出现了金融欺诈、虚假网站售票、黑客攻击导致网站关闭等风险;2016年里约奥运会期间,全球黑客活动极其踊跃,政府和与奥运相关的组织,例如反兴奋剂机构数据遭到泄漏,针对政府和奥林匹克赞助商网站的DDoS攻击,峰值高达300Gbps-500Gbps;2018年平昌冬奥会在开幕式上遭遇大规模网络攻击,不仅出现转播故障,更导致票务系统等多项服务中断,造成世界级网络安全事故;2021年延期一年举办的东京奥运会,依然遭遇了约4.5亿次网络攻击,造成包括奥运官网在内的众多网站瘫痪1小时,工作人员信息遭到大规模泄露……这些安全事件给奥运会带来了不同程度的破坏,造成了很大的负面影响。

北京冬奥会也成为了黑客攻击的重点目标。为东京奥运会提供电信服务和网络安全保障的NTT公司就曾预计,北京冬奥会将至少遭遇5亿次网络攻击事件;在北京冬奥会开幕前2周,美国FBI也在一份内部通知中警告称,网络攻击可能会搅乱北京冬奥会开幕式和冬残奥会。

北京冬奥会筹备和赛事期间,网络安全面临两个挑战,一是全球疫情反复,俄乌冲突的爆发,国际形势异常严峻,网络空间安全系数大幅下降,二是北京冬奥的特色是“科技冬奥”,人工智能、物联网、5G、云计算、大数据等新技术大量应用,网络环境更加开放,数据集中共享,任何一台终端没有保护到位,任何一类威胁没有防御到位,任何一种隐患没有排查到位,都可能导致冬奥系统被攻破。保证北京冬奥的网络安全成为不折不扣的高难度命题。

为落实好中国共产党总书记习近平提出的 “简约、安全、精彩”的办赛要求,作为北京2022年冬奥会和冬残奥会官方网络安全服务商,奇安信做出了保卫北京冬奥网络安全零事故的承诺,承担完全的、彻底的、端到端的安全责任。

在整个冬奥期间,北京冬奥会网络信息系统共计产生操作运行日志1850亿条,日均日志超37亿条,奇安信网络安全保障团队共计监测到各类网络攻击3.8亿次,累计发现、修复安全漏洞约37908个,跟踪、研判、处置涉奥威胁事件132件,发现并处置多个国家级APT组织针对北京冬奥会网络信息系统的攻击行为,创造了奥运会网络安全“零事故”的世界记录。

北京冬奥会之所以能取得零事故的好成绩,是因为全面地采用了奇安信研发设计的“全层面管控、全网络防护、全领域覆盖、全周期保障、全线索闭环、全兵种协同”的网络安全保障框架体系。这套体系是奇安信系统总结了100多次为中国有关政府部门提供的国家级重大活动网络安全保障的经验,针对奥运会特点和北京冬奥会网络安全防护需求设计研发的。

奇安信通过部署具备完全自主知识产权、自主研发的9大类55个型号共813台套安全产品,构建了坚实的“纵深防御”防护体系。一是从数字化身份层面,通过零信任架构、数字身份安全与密码技术等技术,来识别谁在什么任务的情况下,才能访问什么样的冬奥业务系统;二是从网络层面,收拢互联网出口、网内细致的分区隔离、云内核心业务系统做细粒度区隔,掌握所有的流量走向,做到全程全网的监测;三是从终端、服务器主机层面,进行操作系统级的防护,不论是终端软件的操作,还是文件的处理,异常行为都被能被及时掌控;四是从网络诱骗层面,构建了以蜜点、蜜庭、蜜网、蜜罐组成的体系,对攻击意图进行逐层探查,实现全方位的感知;五是从数据访问与操作层面,针对不同敏感级别的数据进行不同层级的加密与监测。这些防线各司其职,再结合奇安信的攻击情报研判系统,分析查找攻击来源,共同完成处置。

奇安信还构建了“三级联动”的运营指挥体系,将冬奥网络安全保障融入国家网络安全指挥体系,为冬奥业务信息网络的8大类客户、60多种业务系统提供了强大的安全能力保障。第一级是冬奥网络安全监控与运营支撑平台,采用双中心模式,部署在冬奥运行中心及奇安信备份运行中心,构建最关键的“低位”能力,覆盖冬奥网络中心、数据中心,45个场馆,259个服务站,实现安全事件的快速发现、告警、及时响应、处置,形成闭环机制;第二级是冬奥网络安全态势感知平台,部署在组委会和奇安信,是掌握全局的协同工作平台,除了收集一级平台的安全数据外,还会汇集外围的官网票务、邮件、CDN、供应商的所有这些网络安全的事件和数据,掌握全局的态势;第三级是部署于监管、警务部门的网络安全指挥协调平台,指挥协同相关重保责任单位与技术支撑单位,共同参与保障,由警务部门对发现的犯罪线索及时进行研判与反制,实现了三级平台的无缝衔接。

三级联动的运营指挥体系结合“白泽”分析研判系统,通过技术手段与执法手段的综合运用,可以从多个不同维度,对攻击者做多角度刻画,实时监测攻击团伙轨迹,并进行反制,形成“去噪音、找异常、补数据、做研判、下指令”的闭环,针对不同的攻击源,进行不同的清零策略,不再一味被动防守,能主动出击,进行管控、打击或震慑,让攻击事件从开赛第一天到最后一天下降了100倍。

奇安信还首创3道防线自查机制,举行4次技术演练、15次攻防演习和3场沙盘推演,发掘系统弱点并针对性改进,全过程、全周期、全维度保障冬奥网络安全。其中,攻防演习没有任何预先通知,随时开展,通过演习、演练,形成每个网络安全相关岗位及IT岗位的“肌肉记忆”,实现网络安全应急处置全流程控制在10分钟以内。

齐向东发言

第二部分 从IT时代到DT时代的数据变化看,网络犯罪将成为未来违法犯罪的主要类型

我们已经从IT时代进入了DT时代。DT时代的核心,是D,data,也就是数据。IT时代,企业机构只是把各类数据储存起来,主要用于实现无纸化办公。而进入DT时代,数据呈现海量化趋势,数字化在社会各个环节的应用逐步深入,数据成为企业机构进行生产、交易、服务的战略性资产,重要性显着提升。

DT时代下,数据海量化发生三个明显的变化。

第一个变化,数据从“死”到“活”,在复杂的流动中产生更大风险。以往数据是相对静止、缺少流动的,单纯存储在服务器中,价值没有得到充分利用。如今,数据时刻在流动,并在全生命周期的流转中持续创造价值。以某大型能源国企为例,从勘探生产环节中采集数据的那一刻,数据就作为核心生产要素开始流转,流转环节场景非常复杂,交互极其频繁,每个环节都暗藏风险。

第二个变化,数据从“虚”到“实”,攻击暴露面越来越大。过去,数据主要存在于网络共建,基本不会影响现实世界。现在,数据和实体经济深度结合,现实世界和网络空间的界限越来越模糊。这也意味着,攻击暴露面将被无限放大。

第三个变化,数据从“贱”到“贵”,价值越来越高,损失也越来越难以承受。以往的数据商业价值有限,数智时代下数据包含了企业的领域知识、行业经验、科研成果、生产技术等,是驱动企业、社会、国家发展的核心资产。这必然引起国家级力量和顶级黑客组织的攻击,防护难度倍增。

有句话叫“钱在哪里,黑客就在哪里”,经济利益是黑客犯罪的最主要动力。从DT时代数据的三大变化看,网络犯罪将成为未来违法犯罪的主要类型,根据奇安信深度配合警务部门打击网络犯罪的实战经验,我总结了四个字。

第一个字是“诈”。相对比传统的短信电话类诈骗,网络诈骗的目标更加精准。各类隐私数据的交易为诈骗提供了目标的多元信息,也为犯罪分子提供了低成本隐匿自身的手段。丢失的隐私数据低成本转化为电话卡、虚拟身份、支付渠道等,犯罪调查的成本随之大幅提升。电信诈骗已经形成了完整产业链,涉及十几个环节。交易类、冒充类、金融类占比较大,而且网络诈骗呈现出“与时俱进”的特点。

比如,市民王女士接到“167”开头的陌生电话,对方自称是京东工作人员,以要关闭京东金条为由,让其下载一款APP。在对方的诱导下,王女士向其指定账户分多次转账共计 30多万元。

第二个字是“抢”。“网络抢劫”摒弃了传统抢劫犯罪的时空局限性,抢劫的目标也变成了“算力”(如挖矿僵尸)、“流量”(如引流、DDOS网络)甚至更加简单粗暴,劫持关键资料索要钱财(如勒索病毒),最终通过加密货币直接变现并躲避追查。

2022年1月,印尼央行遭 Conti 勒索软件袭击,内部十余个网络系统感染勒索病毒。据勒索团伙称,已成功窃取超过 13GB 的内部文件,如印尼央行不支付赎金,将公开泄露数据。

第三个字是“偷”。有别于传统的偷窃,网络时代下的偷窃变得更加的多元化;偷窃的目标不再局限于传统的“金银细软”,而更是扩大到了各类隐私数据、资源算力等。窃取后的赃物流入黑产市场,成为各类其他黑产犯罪的关键“生产资料”。

今年5月,美国网络服务商T-Mobile宣布遭受了2023年的第二次数据泄露,黑客泄露了800多名客户的 PIN、全名和电话号码。今年1月,T-Mobile发现恶意行为者于去年11月获得了对其系统的访问权限,并窃取了超过3700万客户的个人信息,如姓名、电子邮件和生日。

第四个字是“伪”。人工智能具有强大的数据收集、分析以及信息生成能力。随之而生的虚假信息、欺诈信息将会侵蚀社会的诚信体系,甚至还会对国家的政治安全、经济安全和社会稳定造成负面影响。

去年3月,俄乌冲突不久,一则乌克兰总统泽连斯基宣布投降的“深度伪造”视频,出现在社交媒体平台,随后被疯传,造成严重影响。去年,某地警方打掉了一个伪造人脸视频的犯罪团伙,查获了十几个G的人脸数据。不法分子只需要一张照片,输入软件后数十秒,就能变成动态视频,人物还可以根据指令眨眼、张嘴、摇头、读数字等,非常逼真。

第三部分,关基设施成为数智时代重要攻击对象,数字警务保卫目标发生三大变化

随着数字化、智能化程度的不断提高,关基设施成为了支撑数字社会有序运转的关键堡垒,一旦遭到攻击就会引发设施瘫痪、数据泄漏、社会停服,是网络攻击的首要目标。今年5月,美国德州达拉斯市遭勒索,攻击者对数据进行了加密,包括达拉斯警局网站在内的多项市政服务被迫中断;还有去年11月,由于遭到网络攻击,丹麦最大的铁路运营商业务受阻,多列火车出现停运,严重干扰社会正常运行。

当前不少关基运营商在网络安全防护上普遍存在的三个短板:一是网络安全防护体系建设不到位,无法实现安全能力的全面覆盖,在防护上仍然存在“盲区”;二是网络和数据安全管控相对松散,事件处置不及时,发现可疑行为后,任由网络攻击者在系统内部“自由活动”;三是对网络安全重视程度不高,部分政企机构在安全防护上仍然抱有侥幸心理,事件发生后不披露、不上报,往往容易酿成大祸。在网络空间安全态势日益严峻的当下,警务部门的重点保卫目标发生了三大变化:

一是避免关基设施业务中断成为重点目标。过去,我们解决网络数据安全是从IT视角出发的,重点解决的是网络边界、网络终端、网络应用的正常运行,安全部门并不关注应用系统中的业务,业务系统和安全系统各自为战。这种状况引发了业务系统最大的安全漏洞:业务异常、访问异常总是被忽略。现在,数据从“虚”到“实”,数据和业务的联系更加紧密,数据安全问题往往会导致业务事故,所以我们必须从生产视角、研发视角、管理视角出发,维护好业务安全。

二是避免关基设施核心数据泄漏成为重点目标。关基设施当中包含大量重要数据,一旦被窃取、被泄露,会严重危害百姓隐私,国家安全。数据从死到活,导致人在使用数据的过程产生两个问题:一种是攻击者披着合法人的外衣干坏事,比如盗取合法的账号和权限,操控设备、窃取数据等;另一种就是合法的人作恶,利用合法身份盗取数据。这提示我们,保障关基设施的数据不出事,重点要从关注“人”的视角出发。过去,对设备信任的基础是账号、IP地址、主机信息等,设备只要通过认证,就能持续访问数据。现在信任的基础不再是单一的、静态的,我们要通过身份分析、环境感知持续对“人”的行为进行监测分析和控制,确保身份可信、环境可靠、权限可控、行为合规。

三是指导监督关基设施网络数据安全合规成为重要目标。合规是网络安全建设的“起跑线”,合规工作做不好,就好比给关基设施的网络安全防护埋下一颗定时炸弹。而数据从贱到贵,必然引来国家级力量和顶级黑客组织的攻击,防护难度倍增,防守方无法准确预测攻击者的武器、方法,使用固有的防护手段以“不变应万变”是不行的。我们必须采用“防守利器”加“运营应变”、以运营为主的策略,根据合规要求随时对网络安全防护方法、能力进行调整,只有这样才能提高胜算,逼近万无一失。

第四部分:打铁还要自身硬,要保证警务数字化系统网络安全“零事故”

时代的发展变化,给警务数字化系统的安全能力提出了更高的要求。警务的数字化系统只有确保“零事故”,才能有效打击网络违法犯罪活动,维护好国家社会稳定、人民生命财产安全。按照网络安全“零事故”标准,我建议警务机构应该重点做好五件事。

一是把纵深防御的内生安全体系融入警务系统建设。警务工作信息化、数字化建设越深入,数据规模越庞大,事故的大小就越难为人所控制。因此,必须要进行体系化的规划建设和运营,构建纵深防御的内生安全体系。内生安全指的是,把安全能力内置到网络的全链条中,内置到业务系统中,及时识别攻击行为;纵深防御指的是,构建多层、异构的网络安全防线,一道防线被突破,还有下一道防线来阻止威胁。比如说,被防火墙漏掉的攻击,要被终端安全软件拦截;终端安全软件漏掉的攻击,要被威胁分析的工程师发现;在外网边界上被漏掉的攻击,要被内网边界安全设备检出。

二是筑牢全链条的数据安全防线,让警务部门能真正看清风险、防住攻击、管好“内鬼”。当前数字安全风险挑战大,防护要求高,传统数据安全套件防护不能胜任。今年上半年,我们发布了“奇安信天盾”,以数据资产为核心,形成了一个集“事件监测、风险分析、策略调整、访问控制”为一体的全链条闭环体系,一个系统就能解决所有安全问题,真正实现了数据安全风险能看清、攻击能防住、“内鬼”能管好的“三能”目标。

就拿“内鬼”来说,“内鬼”问题实际上是权限的滥用、盗用问题,也就是信任问题。奇安天盾采用零信任架构,在认证主体角色的基础上,叠加IP、设备、安全环境和时间、位置等属性,对主体身份进行动态授权管理,从而确保主体身份可信。同时,还会通过对访问活动的持续信任评估,确保合适的人、在合适的时间、以合适的方式,访问合适的数据,真正实现了对“三员”权限和操作行为的精细化管理,为数据安全筑起了坚实的防线。

三是打造三级联动的网络安全运营中心,用一个中心解决各个警务机构的安全问题。目前,各行业、各单位、各部门的数字化系统运营相对分散。面对高水平的网络安全攻击,分散运营无法形成合力,防护效率低下,安全效果没法最大化,必须要开展三级联动的网络安全运营。对于未来香港的警务工作来说,就是把六大总区的警务系统汇聚到各自的区域安全运营中心里面,再将六大区域性安全运营中心汇聚到总部,实现安全态势的全城监管、安全能力的全城覆盖、联防联控的协同防御、第一时间的应急响应。

目前,奇安信创新形成“三级联动”的网络安全运营中心,已经在北京、广州、德阳等20多个城市落地应用,打造出了省、市、县、区、关键单位等各个层级的标杆案例。比如,广东网信办数据安全监管平台、长沙城市级安全运营中心、北京市西城区电子政务外网的一体化网络安全运营中心、中国电子数据安全治理项目等等。

四是用好智能化手段,精准打击网络犯罪。违法犯罪活动的手段在升级,警务工作的防范和打击手段也要升级。奇安信紧贴公安部“快勘、快采、快录、快比、快反、快抓”的要求,推出了一系列智能化设备,包括提升现场勘查、电子取证、溯源分析能力等等,对打击网络诈骗等犯罪活动起到了至关重要的作用。同时,奇安信盘古石打通了提取、数据分析、物证报告这一整个流程,大幅提高了强对抗环境下的网络犯罪侦查取证能力,精准打击了网络犯罪。从部委、省、市,再到区县、派出所,奇安信广泛利用涉案样本自动化分析溯源技术打击网络犯罪。近年来,奇安信总计协助全国公安做了30多万的涉案APP分析,成为协助破获网络犯罪案件的“好帮手”。

另外,形成事中取证+事后鉴定的全流程案件支撑能力,离不开专业的团队。我们的虎贲小队依托现勘技术、线索挖掘和数据分析技术、远勘技术、定制化赋能服务,形成了全方位的实战化技术服务团队。另外,我们的盘石司法鉴定所是国内唯一一家具备全链条支撑能力的司法鉴定机构,参与制定多个司法鉴定行业相关标准;网神洞鉴司法鉴定所是国内首家具备展厅性质的司法鉴定所,业务范围覆盖各部委及华北、东北等区域;洞鉴云侦司法鉴定所是西部首家奇安信体系司法鉴定所,业务范围覆盖了西北、西南区域。

五是重点探索“AI+安全”,促进警务工作提质增效。去年年底,OpenAI发布的ChatGPT取得了令人震惊的成果,人工智能毫无疑问成为了当前第四次工业革命的核心技术,它将极大提高生产力,影响将超过前三次工业革命,会改变整个社会。所以我们看到,现在国内外正在进行一场“大模型竞赛”,都是为了向AI要生产力。上个月,我们针对各个行业的客户普遍存在告警疲劳、专家稀缺、效率瓶颈这三大痛点,创新发布了Q-GPT安全机器人,这是我国首个工业级大模型安全人工智能产品,1台机器人效率相当于60多位网络安全专家,极大提升了告警的分析研判效率,推动了网络安全行业生产力的再提升,可以有效赋能警务系统的安全防护工作。

我们也要看到,目前适用于警务工作的垂直类AI已经研发出来,未来这种AI还会越来越多。虽然能大幅度提高生产力,但也会带来不可忽视的安全隐患。所以,奇安信还创新发布了大模型卫士,它集安全风险发现、大模型访问控制、数据泄露管控、违法违规行为溯源、大模型应用分析等为一体,能帮助客户安心使用大模型产品,无需担心数据泄露、数据非法访问等安全隐患,踏实地向大模型要生产力。

去年11月,香港警务处联合奇安信开展了粤港澳网络攻防菁英培训,大大激发了网络安全人才活力、行业活力。未来,奇安信希望能进一步发挥自身的技术、产品、服务优势,继续和香港警务处携手,夯实网络安全底板,共同开辟香港警务工作的新篇章!谢谢大家!

以上内容归星岛新闻集团所有,未经许可不得擅自转载引用

相关阅读
热门文章