网络安全北向技术和方法探究-大潘.pdf

资源描述

1、网络安全的北回归线网络安全北向技术和方法探究潘柱廷潘柱廷启明星辰启明星辰(002439)首席战略官首席战略官中国计算机学会中国计算机学会CCF常务理事常务理事 2015年年7月月9日日 2 北回归线北回归线战略战略、架构架构、管理管理第一次提出北向的观点在第一次提出北向的观点在2015华云庵春分雅集上华云庵春分雅集上 3 南北南北国家政策国家政策国际关系国际关系战略战略 IT架构架构管理管理/治理治理供应链供应链产业环境产业环境开发过程开发过程底层技术底层技术渗透技术渗透技术漏洞挖掘漏洞挖掘装备和工具装备和工具运行和执行运行

2、和执行心理心理/心智心智资本资本资金资金芯片技术芯片技术算法模型算法模型 4 北向有哪些方面北向有哪些方面北北战略战略架构架构咨询咨询智库智库基础基础方向方向人才人才效益效益经济经济生态生态环境环境心智心智5 北北战略战略架构架构咨询咨询智库智库基础基础方向方向人才人才效益效益经济经济生态生态环境环境心智心智战略问题在北极的顶端战略问题在北极的顶端国家战略国家战略对内、对外机构战略机构战略对内、对外6 十六字十六字战略战略清晰清晰技术技术先进先进产业产业领先领先攻防攻防兼备兼备7 国家战略层面国家战略层面大大的话大大的话战略清晰、技术先进、产

3、业领先、攻防兼备大势出发、整体布局、统筹各方、创新发展对于博弈各方的情况对于博弈各方的情况、战略的系列化战略的系列化全面研究全面研究，单个公司难于完全覆盖单个公司难于完全覆盖 X战略战略8 X X战略战略【战略范围扩大战略范围扩大】【】【战略泛化战略泛化】原先好像只有国家层面的核心部分才原先好像只有国家层面的核心部分才认为是战略组成认为是战略组成，而现在要把保密和不保密的都纳入战略范畴而现在要把保密和不保密的都纳入战略范畴【战略的专项多领域战略的专项多领域】军事军事、经济（企业界）经济（企业界）、技术技术IETF、社会社会【战略立场和诉求战略立场和诉求】博弈平衡博弈平衡，多元向心多元向

4、心，跨越发展跨越发展，产业支撑产业支撑，人人类福祉类福祉【战略动态化战略动态化】打破五年周期打破五年周期，变成五年规划变成五年规划、年度策略年度策略、季季度度review、常规会商常规会商【战略人力资源格局扁平化战略人力资源格局扁平化】民间战略力量的民间战略力量的，智库智库-社群社群【战略的多干系方专家代表化战略的多干系方专家代表化】关键利益方关键利益方，多元向心的利益趋同多元向心的利益趋同【战略利益的多元化战略利益的多元化】多元向心力多元向心力，不能只关注国家利益不能只关注国家利益，重新定义重新定义国家利益极其组成国家利益极其组成【战略的超前模拟战略的超前模拟】【战略执行敏捷化战略执行敏捷

5、化】多干系方的脑控系统和神经反应相结合多干系方的脑控系统和神经反应相结合【战略的宣示战略的宣示】战略的保密和不保密的战略的保密和不保密的，对于相关的问题进行宣传和对于相关的问题进行宣传和传播传播，比如对方的攻击比如对方的攻击、我们的能力我们的能力 9 国家战略层面国家战略层面大大的话大大的话战略清晰、技术先进、产业领先、攻防兼备大势出发、整体布局、统筹各方、创新发展对于博弈各方的情况对于博弈各方的情况、战略的系列化战略的系列化全面研究全面研究，单个公司难于完全覆盖单个公司难于完全覆盖 X战略战略建议建议：建立跨界的民间联合智库建立跨界的民间联合智库 10 网缘博弈网缘博弈，四缘博弈

6、的一个方面四缘博弈的一个方面网缘网缘人缘经缘地缘系统和网络系统和网络操作和服务操作和服务数据和内容数据和内容宗教宗教、意识形态意识形态社会组织社会组织、舆论舆论文化文化贸易贸易、市场市场金融金融、货币货币地理地理交通和物流交通和物流 11 北北战略战略架构架构咨询咨询智库智库基础基础方向方向人才人才效益效益经济经济生态生态环境环境心智心智战略问题在北极的顶端战略问题在北极的顶端战略是指导整个北向范畴战略是指导整个北向范畴的总体方针的总体方针战略会通过架构影响装备战略会通过架构影响装备运行层面和南向技术层面运行层面和南向技术层面战略会通过资金的分配来战略会通过资

7、金的分配来左右南边的资源侧重左右南边的资源侧重战略会通过管理来调集人战略会通过管理来调集人员和组织员和组织战略会影响技术并左右执行战略会影响技术并左右执行 12 极端北向技术之间是相通的极端北向技术之间是相通的极端南向技术之间也是相通的极端南向技术之间也是相通的 13 一个机构一个机构、一个战略一个战略、一个体系一个体系一个机构只有一个战略一个机构只有一个战略。安全战略如果不能融入业务战略，那么就是一个难于被执行的战略一个机构只有一个管理体系一个机构只有一个管理体系。 9000、14000、20000、27000等等这些体系应当成为一个体系，否则就仅仅是一个被认证体系14 南

8、向技术需要北向体系南向技术需要北向体系一个南向的技术一个南向的技术，如果不被北向体系所如果不被北向体系所容纳容纳，那么就只能仅仅是一项技术而已那么就只能仅仅是一项技术而已。南向技术如何获得北向支持南向技术如何获得北向支持有南北通吃的大才南向主动与北向沟通南向达到极致，北向自然找过来15 在组织上落实北向工作在组织上落实北向工作建议建议：有明确角色（职位）负责北向的工作一位高管或者一个Team 反思反思：目前机构最迫切需要的是多一个张飞、还是多一个鲁肃16 北北战略战略架构架构咨询咨询智库智库基础基础方向方向人才人才效益效益经济经济生态生态环境环境心智心智架构是对战略的

9、解构和结构架构是对战略的解构和结构 17 对大机构的博弈层面观察对大机构的博弈层面观察国家政策国家政策产业生态产业生态运行对抗运行对抗技术母体技术母体首席信息安全官首席信息安全官参谋长联席会议模式参谋长联席会议模式跨界智库跨界智库以情报为核心以情报为核心不要过度攫取产业资源不要过度攫取产业资源威胁情报和运营威胁情报和运营常规对抗和应急常规对抗和应急靶场靶场、演练演练技术创新和试验场技术创新和试验场18 北北战略战略架构架构咨询咨询智库智库基础基础方向方向人才人才效益效益经济经济生态生态环境环境心智心智没有效益和效果没有效益和效果，安全难以持久安全难以持久合规效

10、益效果 19 输赢输赢、合规合规、效益三视角效益三视角合规视角合规视角融合现有合规体系从一刀切合规想适应性合规过度输赢视角输赢视角就是攻防视角、对抗视角。失效分析、安全预期效益视角效益视角安全效果可视化安全投资收益合规效益效果 20 没有效益和效果没有效益和效果，安全难以持久安全难以持久有多少钱办多少事儿有多少钱办多少事儿合规是一个底线要求合规是一个底线要求从合规安全走向对从合规安全走向对抗安全抗安全，追求成效追求成效从有效果从有效果，变得更变得更加经济加经济合规效益效果 21 北北战略战略架构架构咨询咨询智库智库基础基础方向方向人才人才效益效益经济

11、经济生态生态环境环境心智心智北向管理的延伸北向管理的延伸战略、目标、范围时间、周期、历史、预测成本、财务、核算质量、鲁棒性人力资源、沟通、展示物质资源、环境集成管理、敏捷、风险22 数据安全的北向视角数据安全的北向视角北北战略战略架构架构咨询咨询智库智库基础基础方向方向人才人才效益效益经济经济生态生态环境环境心智心智23 大数据的应用领域大数据的应用领域 24 非互联网大数据的应用还很不够非互联网大数据的应用还很不够互联网大数据的价值互联网大数据的价值兑现能力太强兑现能力太强，其他其他领域还难以企及领域还难以企及自然科学大数据更是自然科学大数据更是难见市场价值难见市场价值

12、大数据的成本需要尽快大数据的成本需要尽快找到市场出口或战略支持找到市场出口或战略支持北战略架构咨询智库基础方向人才效益效益经济经济生态生态环境环境心智25 数据产业的经济和国家安全地位数据产业的经济和国家安全地位意义价值权属资源数据资源化商品私有-市场公有-福利阳光空气环境保护战略物资国家安全商品经济新支柱商品经济新支柱网络空间安全支柱网络空间安全支柱26 数据产业的经济和国家安全地位数据产业的经济和国家安全地位意义价值权属资源数据资源化商品私有-市场公有-福利阳光空气环境保护战略物资国家安全商品经济新支柱商品经济新支柱网络空间安全支柱网络空间安全支柱27 数据资源观点和数据矿藏积

13、累数据资源观点和数据矿藏积累数据资源政策数据资源政策数据的出口限制数据的进口优惠数据矿藏项目数据矿藏项目有些数据流逝过去就不可再生了数据产业数据产业数据资源产业是其支柱之一北战略战略架构咨询智库基础基础方向方向人才效益效益经济经济生态生态环境环境心智28 数据价值挖掘模式数据价值挖掘模式传统结构化传统结构化数据资源数据资源非传统结构非传统结构数据资源数据资源已知目标结构结构化数据中检索基于已知目标结构的检索漫游未知目标结构未知的数据关联和异常的发现北战略架构架构咨询智库基础基础方向方向人才效益经济生态环境心智29 基础性和理论性工作基础性和理论性工作数据物种积累和分

14、数据物种积累和分类研究类研究物种分类是生物学和进化论的基础元素周期的发现彻底改变了化学每一个数据物种都有其最适合的运算；所谓非结构化数据就是其存在结构与适运算结构的错位北战略架构咨询智库基础基础方向方向人才效益经济生态环境心智30 哪些数据分类应该重视哪些数据分类应该重视 31 北战略架构架构咨询咨询智库智库基础方向人才效益经济生态环境心智 DAMA类的思考和类的思考和方法方法从数据库和数据仓库系统建设的管理咨询中脱胎而来从数据的生命周期来看数据从数据的属性来看数据数据的管理咨询数据的管理咨询 32 北战略架构架构咨询咨询智库智库基础基础方向方向人才效益经济生态环境心

15、智数据质量数据质量 33 数据质量与数据实体安全数据质量与数据实体安全数据规范数据规范 (data specification)数据完整性准则数据完整性准则 (data integrity fundamentals)重复重复 (duplication)准确性准确性 (accuracy)一致性和同步一致性和同步 (consistency and synchronization)及时性和可用性及时性和可用性 (timeliness and availability)易用性和可维护性易用性和可维护性 (ease of use and maintainability)数据覆盖度数据覆盖度 (da

16、ta coverage)表达质量表达质量 (presentation quality)可理解性可理解性、相关性和可信度相关性和可信度 (perception, relevance and trust)数据衰变数据衰变 (data decay)效用性效用性 (transactability)数据质量的12个维度，摘自数据质量工程实践 34 北战略架构架构咨询咨询智库智库基础基础方向方向人才效益经济生态环境心智数据质量和数据安数据质量和数据安全是不同的视角全是不同的视角何为好数据何为好数据、坏数据坏数据数据质量观数据质量观数据安全观不同于数据安全观不同于系统安全观系统安全观数据质量数据

17、质量 35 北战略战略架构架构咨询智库基础方向人才效益经济生态生态环境环境心智大数据安全是从效益效果走出来的大数据安全是从效益效果走出来的合规效益效果 36 业务模式、资金人才、组织商会主管机构测评认证媒体客户群落需求价值核心技术子市场空间产业环境层面产业环境层面 37 北战略战略架构架构咨询智库基础方向人才效益经济生态生态环境环境心智大数据安全是从效益效果走出来的大数据安全是从效益效果走出来的产业中产业中，应用会冲应用会冲在前面在前面；而监管会非常滞后而监管会非常滞后安全挑战严峻安全挑战严峻，机机会多多会多多38 谈安全涉及到的方方面面谈安全涉及到的

18、方方面面加密加密强认证强认证防火墙防火墙入侵检测入侵检测国家战略国家战略攻击检测攻击检测渗透测试渗透测试组织体系组织体系制度制度/规则规则多功能网关多功能网关 UTM 工作流工作流审计审计管理平台管理平台风险评估风险评估等级保护等级保护体系结构体系结构规划规划/计划计划云模式云模式项目管理项目管理监控监控/预警预警冗余冗余/备份备份应急响应应急响应合规性要求合规性要求大数据方法大数据方法量化量化/指标化指标化合作合作/外包外包管理理念管理理念涉密系统安全涉密系统安全病毒病毒/蠕虫蠕虫分布式分布式拒绝服务攻击拒绝服务攻击办公安全办公安

19、全网上银行网上银行骨干网骨干网网站安全网站安全 ERP 服务器安全服务器安全火灾火灾/水灾水灾设备故障设备故障内部人员作案内部人员作案网络渗透网络渗透网络嗅探网络嗅探核心业务核心业务电磁泄漏电磁泄漏终端安全终端安全文档安全文档安全误操作误操作垃圾信息垃圾信息安全事件安全事件漏洞漏洞/脆弱性脆弱性黑客黑客大数据业务大数据业务卫星通讯卫星通讯业务大集中业务大集中数据中心数据中心线路中断线路中断 39 涉密系统安全涉密系统安全病毒病毒/蠕虫蠕虫分布式分布式拒绝服务攻击拒绝服务攻击办公安全办公安全网上银行网上银行骨干网骨干网网站安全网站安全 E

20、RP 服务器安全服务器安全火灾火灾/水灾水灾设备故障设备故障内部人员作案内部人员作案网络渗透网络渗透网络嗅探网络嗅探核心业务核心业务电磁泄漏电磁泄漏终端安全终端安全文档安全文档安全误操作误操作垃圾信息垃圾信息安全事件安全事件漏洞漏洞/脆弱性脆弱性黑客黑客大数据业务大数据业务卫星通讯卫星通讯业务大集中业务大集中数据中心数据中心线路中断线路中断从南到北的全面博弈从南到北的全面博弈加密加密强认证强认证防火墙防火墙入侵检测入侵检测国家战略国家战略攻击检测攻击检测渗透测试渗透测试组织体系组织体系制度制度/规则规则多功能网关多功能网关 UTM 工作流工作流审计审计管理平台管理平台风险评估风险评估等级保护等级保护体系结构体系结构规划规划/计划计划云模式云模式项目管理项目管理监控监控/预警预警冗余冗余/备份备份应急响应应急响应合规性要求合规性要求大数据方法大数据方法量化量化/指标化指标化合作合作/外包外包管理理念管理理念资产资产威胁威胁措施措施网络安全的北回归线网络安全北向技术和方法探究北战略架构咨询智库基础方向人才效益经济生态环境心智

展开阅读全文