近年來，從國有金融機構的數(shù)據(jù)雪崩，到超大型汽車生產線的癱瘓；從三甲醫(yī)院急診系統(tǒng)的停擺，到社保網(wǎng)絡的中斷，黑客攻擊、勒索病毒已撕碎所有行業(yè)的安全幻象。以“漏洞修復”為中心的網(wǎng)絡安全防御體系越來越無法適應日益復雜的網(wǎng)絡安全威脅，是時候跳出原有框架，重新審視傳統(tǒng)的網(wǎng)絡安全架構了！

與此同時，全球頂尖機構正積極倡導落實網(wǎng)絡安全向韌性體系升級：美國國家標準與技術研究院（NIST）發(fā)布的CSF2.0框架新增技術基礎設施韌性要求；國際標準化組織（ISO）與國際電工委員會（IEC）聯(lián)合制定的27031:2024標準強制要求實施韌性演練；國際船級社協(xié)會（IACS）對新建遠洋船舶實施全球統(tǒng)一的韌性設計規(guī)范；此外，麥肯錫、德勤、Gartner等咨詢巨頭將韌性建設列為企業(yè)安全戰(zhàn)略的最高優(yōu)先級，這些變革標志著網(wǎng)絡安全正式邁入韌性時代。

作為國內最早探索并提出韌性概念的網(wǎng)絡安全廠商，聯(lián)軟科技早在2019年就前瞻性地提出TDNA可信數(shù)字網(wǎng)絡架構，倡導通過分層設計、容錯機制及主動對抗構建一體化架構，與NIST后來提出的韌性框架不謀而合，這也是聯(lián)軟韌性網(wǎng)絡安全理念的由來，但聯(lián)軟更多聚焦于韌性業(yè)務安全——在入侵無處不在的時代，用多層容錯方式，保障核心業(yè)務的連續(xù)性。而NIST2.0所提的韌性保護，主要是網(wǎng)絡分段、ACL及零信任技術，某些場景需求依然無法解決，例如，對AD域類集權系統(tǒng)如何保護？對軟件供應鏈如何實現(xiàn)韌性保護？核心敏感數(shù)據(jù)的安全又如何保障？

近日，關保聯(lián)盟對聯(lián)軟科技創(chuàng)始人兼CEO祝青柳先生就韌性網(wǎng)絡安全的話題進行了深度專訪。

祝青柳 聯(lián)軟科技CEO

中國最早一批網(wǎng)絡技術專家，畢業(yè)于西安電子科技大學，中歐國際工商學院EMBA。2004年創(chuàng)辦深圳市聯(lián)軟科技股份有限公司，長期致力于探索并實踐企業(yè)級用戶網(wǎng)絡與數(shù)據(jù)安全建設的最優(yōu)路徑，2019年，基于深耕行業(yè)多年的深厚積淀，提出TDNA可信數(shù)字網(wǎng)絡架構，倡導通過分層設計、容錯機制及主動對抗的一體化架構，系統(tǒng)性提升網(wǎng)絡安全韌性，有效抵御勒索病毒大面積攻擊及大規(guī)模數(shù)據(jù)泄露風險，由此奠定了聯(lián)軟科技“韌性安全”理念的早期框架。

伴隨全球對“韌性”理念的深入共識與蓬勃推動，祝青柳于國內率先提出韌性安全技術思路，并推出涵蓋防勒索、防泄密及原生安全基座等領域的系列韌性解決方案，致力于幫助企業(yè)在復雜的網(wǎng)絡安全環(huán)境中守住底線風險，保障業(yè)務連續(xù)性，扭轉攻防失衡態(tài)勢，提高網(wǎng)絡安全業(yè)務ROI。

Q&A

Q1首先，聯(lián)軟科技是做網(wǎng)絡準入控制、端點安全起家的，步入“韌性安全”領域是嗅到市場先機還是趨勢使然？為何聯(lián)軟科技會將“韌性安全”提升到如此重要的戰(zhàn)略層面？

祝青柳：大家好。這是我們多年實踐和觀察的必然結果。近年來，我國對網(wǎng)絡安全越來越重視，但我們看到，依然有大型國有銀行、央企等對網(wǎng)絡安全十分重視的大型企業(yè)被黑客勒索，這說明當下的解決方法存在局限性，也讓我們深刻反思，傳統(tǒng)的安全思路和方法必須做出調整。

其實早在2019年，我們就開始研究通過“容錯”的方式來解決網(wǎng)絡防入侵問題。當時我們從一些黑客入侵、勒索病毒的案例中認識到，單純依靠“找漏洞、打補丁”的方式是不可持續(xù)的。我們當時提出了TDNA（可信數(shù)字網(wǎng)絡架構），也是我們韌性安全的由來，其核心思想就是通過容錯來防入侵。 

走到今天，面對日益嚴峻的勒索病毒事件，我們欣喜地看到，NIST在2024年發(fā)布的CSF 2.0版本中，將原來的IPDRR（識別、保護、檢測、響應、恢復）模型擴展為GIPDRR，其中新增的“G”（治理）強調要從更高層面重視網(wǎng)絡安全建設，并在“P”（保護）環(huán)節(jié)明確增加了對“韌性”的要求。這與我們的思路不謀而合，所以我們學習并借用了“韌性（Resilience）”這個詞匯，以便于行業(yè)交流和學習。

我們倡導韌性安全，是希望安全能真正回歸業(yè)務本質，不僅能助力業(yè)務發(fā)展，更能實現(xiàn)底線風險的有效管控，保證關鍵核心業(yè)務系統(tǒng)的平穩(wěn)運行。即使發(fā)生安全事件，也能讓業(yè)務安全地持續(xù)下去。 

希望在未來20年，聯(lián)軟科技能為大型to B市場客戶提供韌性安全的解決方案，讓用戶用更少的投資實現(xiàn)更好的安全效果。 

Q2說到“韌性”，不同的廠商可能有不同的理解，聯(lián)軟科技所定義的“韌性”，與其他廠商的提法有何不同？

祝青柳：確實，現(xiàn)在很多廠商都在談韌性。聯(lián)軟對韌性的理解，與行業(yè)內一些主流看法既有相通之處，也有明顯的區(qū)別。

“韌性”目前在全球都是一個非常火熱的概念，被普遍提升到了變革的高度。例如，去年7月1日開始，國際船級社協(xié)會（IACS）要求超過500噸的船舶都必須符合韌性安全要求。當前，行業(yè)內談及韌性，很多是依據(jù)NIST網(wǎng)絡安全框架（CSF）或ISO 27031標準（2024年刷新），主要強調通過網(wǎng)絡分段、零信任等技術來實現(xiàn)網(wǎng)絡訪問的最小化授權。

聯(lián)軟認為，這些手段在特定場景下確實能實現(xiàn)最小化授權，但真正的韌性安全，其范疇遠不止于此。舉個例子，如果有人在網(wǎng)絡中的一臺主機上安裝了遠程桌面軟件，并將其發(fā)布到互聯(lián)網(wǎng)上，那么無論你之前做的零信任或網(wǎng)絡分段有多嚴密，攻擊者依然可以繞過這些防御直接訪問進來。

因此，聯(lián)軟講的韌性，第一，是從權限最小化的角度出發(fā)，但覆蓋范圍更廣，不僅局限于網(wǎng)絡訪問，還包括軟件管理、主機訪問等多個維度。第二，我們特別強調多重容錯保護。現(xiàn)有的CSF 2.0或者是ISO 27031里雖然提到了容錯，但我們認為它缺乏對重點目標、重點業(yè)務系統(tǒng)的針對性容錯保護，也沒有對重點風險來源進行有效區(qū)分。

所以，雖然大家都在談韌性，但我們的理解和實踐路徑會有些區(qū)別。我們更關注如何從業(yè)務的視角出發(fā)，確保核心業(yè)務的連續(xù)性。

我再舉一個例子，在很多銀行或大型企業(yè)，都會為核心業(yè)務系統(tǒng)建立雙活數(shù)據(jù)中心或“兩地三中心”的容災架構。但普遍存在一個問題：這些主系統(tǒng)和備用系統(tǒng)，通常采用的是同樣的硬件、同樣的操作系統(tǒng)、同樣的中間件，甚至是由同一個開發(fā)商寫的同一套代碼。

這意味著，如果主系統(tǒng)上存在一個漏洞，那么備用系統(tǒng)上幾乎百分之百也存在同樣的漏洞。攻擊者一旦能攻陷主系統(tǒng)，同樣也能攻陷備用系統(tǒng)。在這種情況下，僅僅依靠網(wǎng)絡分段和零信任，是無法解決主、備系統(tǒng)同時被黑，導致“雙活”或“三中心”架構整體失效的問題的。

所以，我們講的韌性，更多是從業(yè)務角度出發(fā)，思考如何能保證在遭受各類安全攻擊時，我的業(yè)務系統(tǒng)、軟件系統(tǒng)都能夠支撐業(yè)務的連續(xù)性需求。也許我們的系統(tǒng)也會被攻擊，甚至局部癱瘓，但我們能夠比別人更快地恢復起來，這也是實現(xiàn)韌性的一種方式。我們的目標是從預防、檢測、發(fā)現(xiàn)、處置、恢復，實現(xiàn)端到端的“業(yè)務掰不斷”。

Q3在激烈的市場競爭下，聯(lián)軟科技構建的韌性體系，其技術壁壘是什么？ 

祝青柳：技術壁壘并非一日之功。聯(lián)軟從2018、2019年就開始深入研究如何通過容錯來防入侵。回過頭看，我們感到非常幸運，因為公司自成立以來開發(fā)的核心產品和技術，很多都天然符合韌性安全的思路。 

比如說我們的“安渡”（UniNXG安全數(shù)據(jù)交換系統(tǒng)），它可以讓不同安全域的主機和系統(tǒng)很方便地進行數(shù)據(jù)交換。但其底層邏輯是，任何兩個通過安渡交換數(shù)據(jù)的系統(tǒng)之間，都沒有IP協(xié)議棧的直接連通，這兩個系統(tǒng)甚至都不需要開放任何端口。并且，在交換數(shù)據(jù)時，指令通道和數(shù)據(jù)通道是分離的。

可以說，我們碰巧在過去的20年里，開發(fā)了一系列專門用于做訪問權限最小化控制、做暴露面更好收斂的產品和方案。我們的暴露面收斂，不僅僅是網(wǎng)絡分段和零信任，還包括跨域隔離、軟件管理、高危訪問路徑收斂等一系列技術。就像蓋房子一樣，我們先造了磚、門、梁、頂……慢慢地拼成了一座符合韌性理念的“房子”。我們的運氣比較好，正好踩對了點，走對了路。

Q4從需求側來看，您認為什么樣的企業(yè)最需要構建韌性網(wǎng)絡？

祝青柳：我認為，所有信息化系統(tǒng)或計算機網(wǎng)絡系統(tǒng)在其業(yè)務運營中扮演著至關重要角色的企業(yè)，或者業(yè)務系統(tǒng)長期中斷、數(shù)據(jù)泄露會對業(yè)務造成巨大影響的企業(yè)，都非常需要這套韌性安全的方法論和解決方案。

Q5那么在關鍵信息基礎設施領域，聯(lián)軟科技是否有成熟的落地案例可以分享？

祝青柳：有的。聯(lián)軟最早的客戶就來自證券行業(yè)，包括深圳證券交易所和上海證券交易所。我們在證券、基金、銀行等金融領域有深厚的積累，目前像中、農、工、建、交等大型銀行都與我們在相關產品和方案上有著不同程度的合作。

我們的方案主要是基于“減少暴露面”和“訪問權限最小化”等相關技術去解決客戶的實際問題。因此，大多數(shù)與我們合作的客戶都采納了我們韌性方案中的一部分。要說方案使用相對最完整的，是證券和銀行行業(yè)。此外，在一些大型制造業(yè)企業(yè)，也有廣泛的合作。

Q6很多單位會擔心，構建韌性安全網(wǎng)絡，是否意味著成本會大幅增加？

祝青柳：恰恰相反。過去大家做安全的思路是“找漏洞、打補丁”，擔心被攻擊，所以投入大量的人力去7x24小時值守。一個擁有1000臺主機的網(wǎng)絡，其潛在的漏洞可能有幾萬甚至幾十萬個，不停地尋找和修復，成本是極其高昂的。

而通過韌性安全的思路，例如我們用類似零信任的方式做暴露面收斂，將主機隱藏在可信訪問網(wǎng)關之后，那么主機漏洞的修復就從一個主要矛盾變成了一個次要矛盾。所以通過韌性安全的思路，可以大幅減少企業(yè)在其他安全環(huán)節(jié)上的投入，同時達到一個更好的安全效果。

Q7對于那些對韌性安全感興趣，但可能受限于資源和人力的關鍵信息基礎設施單位，聯(lián)軟科技能否提供高性價比的構建方案？

祝青柳：當然可以。例如，我們?yōu)榇筱y行和大型運營商提供了一套“原生安全基座”的方案。客戶在用了這套方案后，基本不用擔心核心業(yè)務系統(tǒng)被入侵，值守的成本大幅下降，對業(yè)務的潛在影響也更小。更重要的是，我們的方案能夠幫助客戶降低開發(fā)成本，簡化后期運維。對客戶來說，采用我們這套方案，不僅是減少了安全事件，甚至可以用更少的預算，解決比以前更多的問題，同時還能提升員工效率。 

Q8如今AI驅動網(wǎng)絡安全，AI賦能網(wǎng)絡安全的話題很火，聯(lián)軟如何看待AI在提升網(wǎng)絡韌性方面的作用？

祝青柳：我一直密切關注AI相關技術。毫無疑問，AI在網(wǎng)絡安全領域有非常重要的作用，尤其是在威脅檢測、安全意識培訓等方面，能起到很好的輔助效果。

但是，AI有一個致命的問題，就是存在“幻覺”。一個會產生幻覺的技術，絕對不能直接用來做訪問控制。一旦用于控制，當它阻斷或放行一個訪問時，它可能說不清決策的依據(jù)。所以，我們認為AI不是能直接、徹底解決網(wǎng)絡安全或數(shù)據(jù)安全的“解藥”。

安全最終還是需要通過韌性、體系化、一體化的設計來解決。AI可以作為一種強大的工具融合進來，幫助我們降低成本。打仗最終打的是經濟賬，誰的武器性能越好、成本越低才能打贏，而不是只是追求武器性能。 

Q9近年來，“安全出海”成為熱詞。您認為這是破解國內市場“內卷”的有效出路嗎？聯(lián)軟在海外市場是否有布局？ 

祝青柳： 我認為出海的根本動因不應該是為了“破內卷”，而是因為你的產品真正具備了國際競爭力。到了海外，你的競爭對手不再是國內廠商，而是國際一流廠商，你必須在技術、產品、服務上比得過他們。

就像華為的5G是靠技術領先，中國的電動車也不僅僅是價格領先，更是綜合性價比和性能的領先。所以，安全廠商首先要做的還是練好內功。

目前聯(lián)軟的體量還比較小，我們采取的出海策略是先從港澳和東南亞市場開始。目前也取得了一些不錯的效果，在香港、澳門、印尼、新加坡我們都有了客戶。但應該說，這只是剛剛試水，離取得真正的成績還很遠。

Q10展望未來，在韌性網(wǎng)絡安全領域，您理想中的完美韌性網(wǎng)絡方案是什么樣子的？我們距離這個目標還有多遠？

祝青柳：一個完美的韌性網(wǎng)絡安全方案，應該是一個完整的體系。從外部視角來看，它需要全面覆蓋從外部到內部的暴露面收斂，覆蓋終端和云端（公有云、私有云），還要解決容災備份中“同構系統(tǒng)”如何避免被同時攻陷的問題，最終目標是讓系統(tǒng)和業(yè)務都能在攻擊后快速恢復。 

坦白說，聯(lián)軟離一個完美的韌性網(wǎng)絡方案還有很長路要走，我們還在路上。我們希望有更多的中國企業(yè)，特別是大型的關鍵信息基礎設施單位能加入進來，與我們共同探索，走出一條具有中國特色的韌性網(wǎng)絡安全建設之路，為全球網(wǎng)絡安全提供一個更體系化、更高效的中國方案和更好選擇。

Q11建設韌性網(wǎng)絡確實不能單打獨斗。作為關保聯(lián)盟的重要成員單位，聯(lián)軟科技接下來期待與聯(lián)盟在哪些方面展開更深入的合作？

祝青柳：聯(lián)軟從2004年開始就為深圳證券交易所、上海證券交易所及各大券商提供網(wǎng)絡安全服務，由于證券行業(yè)天然對網(wǎng)絡安全的重視，從那時起，我們就積累了很多真正從業(yè)務需求出發(fā)、解決實際問題的落地實踐方案。例如，面對最近大家熱議的“銀狐”等高級持續(xù)性威脅，我們依賴的不是單一的殺毒軟件或EDR，而是一整套體系化的方案。

我們非常希望能夠把聯(lián)軟在過去20年里，在金融等關鍵行業(yè)積累下來的、基于韌性思路的實踐經驗，通過關保聯(lián)盟這個優(yōu)秀的平臺，在中國更好地傳播和分享，共同為把我們國家建設成為網(wǎng)絡安全強國貢獻一份力量。

關于關保聯(lián)盟

中關村華安關鍵信息基礎設施安全保護聯(lián)盟(以下簡稱:關保聯(lián)盟)于2023年8月正式注冊成立的社會組織。

關保聯(lián)盟由北京中關村實驗室擔任理事長單位，中國科學院馮登國院士擔任總顧問，有關部委、中央企業(yè)、國有企事業(yè)單位、研究機構、高等院校、大型互聯(lián)網(wǎng)企業(yè)和網(wǎng)絡安全企業(yè)

擔任副理事長單位和理事單位，聯(lián)盟會員涵蓋網(wǎng)絡安全領域有關國有企事業(yè)單位、網(wǎng)絡安全企業(yè)、互聯(lián)網(wǎng)企業(yè)、高等院校、科研機構、檢測機構等。關保聯(lián)盟專家組與聯(lián)盟成員單位共同研究關鍵信息基礎設施安全的保護和保障等方面內容，創(chuàng)新安全保護的策略、技術、方法和解決方案，促進網(wǎng)絡安全新技術、新產品的研發(fā)，服務關鍵信息基礎設施運營者，為國家關鍵信息基礎設施安全保護提供全方位支撐。