近年來，從國有金融機構的數據雪崩，到超大型汽車生產線的癱瘓；從三甲醫院急診系統的停擺，到社保網絡的中斷，黑客攻擊、勒索病毒已撕碎所有行業的安全幻象。以“漏洞修復”為中心的網絡安全防御體系越來越無法適應日益復雜的網絡安全威脅，是時候跳出原有框架，重新審視傳統的網絡安全架構了！

與此同時，全球頂尖機構正積極倡導落實網絡安全向韌性體系升級：美國國家標準與技術研究院（NIST）發布的CSF2.0框架新增技術基礎設施韌性要求；國際標準化組織（ISO）與國際電工委員會（IEC）聯合制定的27031:2024標準強制要求實施韌性演練；國際船級社協會（IACS）對新建遠洋船舶實施全球統一的韌性設計規范；此外，麥肯錫、德勤、Gartner等咨詢巨頭將韌性建設列為企業安全戰略的最高優先級，這些變革標志著網絡安全正式邁入韌性時代。

作為國內最早探索并提出韌性概念的網絡安全廠商，聯軟科技早在2019年就前瞻性地提出TDNA可信數字網絡架構，倡導通過分層設計、容錯機制及主動對抗構建一體化架構，與NIST后來提出的韌性框架不謀而合，這也是聯軟韌性網絡安全理念的由來，但聯軟更多聚焦于韌性業務安全——在入侵無處不在的時代，用多層容錯方式，保障核心業務的連續性。而NIST2.0所提的韌性保護，主要是網絡分段、ACL及零信任技術，某些場景需求依然無法解決，例如，對AD域類集權系統如何保護？對軟件供應鏈如何實現韌性保護？核心敏感數據的安全又如何保障？

近日，關保聯盟對聯軟科技創始人兼CEO祝青柳先生就韌性網絡安全的話題進行了深度專訪。

祝青柳 聯軟科技CEO

中國最早一批網絡技術專家，畢業于西安電子科技大學，中歐國際工商學院EMBA。2004年創辦深圳市聯軟科技股份有限公司，長期致力于探索并實踐企業級用戶網絡與數據安全建設的最優路徑，2019年，基于深耕行業多年的深厚積淀，提出TDNA可信數字網絡架構，倡導通過分層設計、容錯機制及主動對抗的一體化架構，系統性提升網絡安全韌性，有效抵御勒索病毒大面積攻擊及大規模數據泄露風險，由此奠定了聯軟科技“韌性安全”理念的早期框架。

伴隨全球對“韌性”理念的深入共識與蓬勃推動，祝青柳于國內率先提出韌性安全技術思路，并推出涵蓋防勒索、防泄密及原生安全基座等領域的系列韌性解決方案，致力于幫助企業在復雜的網絡安全環境中守住底線風險，保障業務連續性，扭轉攻防失衡態勢，提高網絡安全業務ROI。

Q&A

Q1首先，聯軟科技是做網絡準入控制、端點安全起家的，步入“韌性安全”領域是嗅到市場先機還是趨勢使然？為何聯軟科技會將“韌性安全”提升到如此重要的戰略層面？

祝青柳：大家好。這是我們多年實踐和觀察的必然結果。近年來，我國對網絡安全越來越重視，但我們看到，依然有大型國有銀行、央企等對網絡安全十分重視的大型企業被黑客勒索，這說明當下的解決方法存在局限性，也讓我們深刻反思，傳統的安全思路和方法必須做出調整。

其實早在2019年，我們就開始研究通過“容錯”的方式來解決網絡防入侵問題。當時我們從一些黑客入侵、勒索病毒的案例中認識到，單純依靠“找漏洞、打補丁”的方式是不可持續的。我們當時提出了TDNA（可信數字網絡架構），也是我們韌性安全的由來，其核心思想就是通過容錯來防入侵。 

走到今天，面對日益嚴峻的勒索病毒事件，我們欣喜地看到，NIST在2024年發布的CSF 2.0版本中，將原來的IPDRR（識別、保護、檢測、響應、恢復）模型擴展為GIPDRR，其中新增的“G”（治理）強調要從更高層面重視網絡安全建設，并在“P”（保護）環節明確增加了對“韌性”的要求。這與我們的思路不謀而合，所以我們學習并借用了“韌性（Resilience）”這個詞匯，以便于行業交流和學習。

我們倡導韌性安全，是希望安全能真正回歸業務本質，不僅能助力業務發展，更能實現底線風險的有效管控，保證關鍵核心業務系統的平穩運行。即使發生安全事件，也能讓業務安全地持續下去。 

希望在未來20年，聯軟科技能為大型to B市場客戶提供韌性安全的解決方案，讓用戶用更少的投資實現更好的安全效果。 

Q2說到“韌性”，不同的廠商可能有不同的理解，聯軟科技所定義的“韌性”，與其他廠商的提法有何不同？

祝青柳：確實，現在很多廠商都在談韌性。聯軟對韌性的理解，與行業內一些主流看法既有相通之處，也有明顯的區別。

“韌性”目前在全球都是一個非常火熱的概念，被普遍提升到了變革的高度。例如，去年7月1日開始，國際船級社協會（IACS）要求超過500噸的船舶都必須符合韌性安全要求。當前，行業內談及韌性，很多是依據NIST網絡安全框架（CSF）或ISO 27031標準（2024年刷新），主要強調通過網絡分段、零信任等技術來實現網絡訪問的最小化授權。

聯軟認為，這些手段在特定場景下確實能實現最小化授權，但真正的韌性安全，其范疇遠不止于此。舉個例子，如果有人在網絡中的一臺主機上安裝了遠程桌面軟件，并將其發布到互聯網上，那么無論你之前做的零信任或網絡分段有多嚴密，攻擊者依然可以繞過這些防御直接訪問進來。

因此，聯軟講的韌性，第一，是從權限最小化的角度出發，但覆蓋范圍更廣，不僅局限于網絡訪問，還包括軟件管理、主機訪問等多個維度。第二，我們特別強調多重容錯保護。現有的CSF 2.0或者是ISO 27031里雖然提到了容錯，但我們認為它缺乏對重點目標、重點業務系統的針對性容錯保護，也沒有對重點風險來源進行有效區分。

所以，雖然大家都在談韌性，但我們的理解和實踐路徑會有些區別。我們更關注如何從業務的視角出發，確保核心業務的連續性。

我再舉一個例子，在很多銀行或大型企業，都會為核心業務系統建立雙活數據中心或“兩地三中心”的容災架構。但普遍存在一個問題：這些主系統和備用系統，通常采用的是同樣的硬件、同樣的操作系統、同樣的中間件，甚至是由同一個開發商寫的同一套代碼。

這意味著，如果主系統上存在一個漏洞，那么備用系統上幾乎百分之百也存在同樣的漏洞。攻擊者一旦能攻陷主系統，同樣也能攻陷備用系統。在這種情況下，僅僅依靠網絡分段和零信任，是無法解決主、備系統同時被黑，導致“雙活”或“三中心”架構整體失效的問題的。

所以，我們講的韌性，更多是從業務角度出發，思考如何能保證在遭受各類安全攻擊時，我的業務系統、軟件系統都能夠支撐業務的連續性需求。也許我們的系統也會被攻擊，甚至局部癱瘓，但我們能夠比別人更快地恢復起來，這也是實現韌性的一種方式。我們的目標是從預防、檢測、發現、處置、恢復，實現端到端的“業務掰不斷”。

Q3在激烈的市場競爭下，聯軟科技構建的韌性體系，其技術壁壘是什么？ 

祝青柳：技術壁壘并非一日之功。聯軟從2018、2019年就開始深入研究如何通過容錯來防入侵。回過頭看，我們感到非常幸運，因為公司自成立以來開發的核心產品和技術，很多都天然符合韌性安全的思路。 

比如說我們的“安渡”（UniNXG安全數據交換系統），它可以讓不同安全域的主機和系統很方便地進行數據交換。但其底層邏輯是，任何兩個通過安渡交換數據的系統之間，都沒有IP協議棧的直接連通，這兩個系統甚至都不需要開放任何端口。并且，在交換數據時，指令通道和數據通道是分離的。

可以說，我們碰巧在過去的20年里，開發了一系列專門用于做訪問權限最小化控制、做暴露面更好收斂的產品和方案。我們的暴露面收斂，不僅僅是網絡分段和零信任，還包括跨域隔離、軟件管理、高危訪問路徑收斂等一系列技術。就像蓋房子一樣，我們先造了磚、門、梁、頂……慢慢地拼成了一座符合韌性理念的“房子”。我們的運氣比較好，正好踩對了點，走對了路。

Q4從需求側來看，您認為什么樣的企業最需要構建韌性網絡？

祝青柳：我認為，所有信息化系統或計算機網絡系統在其業務運營中扮演著至關重要角色的企業，或者業務系統長期中斷、數據泄露會對業務造成巨大影響的企業，都非常需要這套韌性安全的方法論和解決方案。

Q5那么在關鍵信息基礎設施領域，聯軟科技是否有成熟的落地案例可以分享？

祝青柳：有的。聯軟最早的客戶就來自證券行業，包括深圳證券交易所和上海證券交易所。我們在證券、基金、銀行等金融領域有深厚的積累，目前像中、農、工、建、交等大型銀行都與我們在相關產品和方案上有著不同程度的合作。

我們的方案主要是基于“減少暴露面”和“訪問權限最小化”等相關技術去解決客戶的實際問題。因此，大多數與我們合作的客戶都采納了我們韌性方案中的一部分。要說方案使用相對最完整的，是證券和銀行行業。此外，在一些大型制造業企業，也有廣泛的合作。

Q6很多單位會擔心，構建韌性安全網絡，是否意味著成本會大幅增加？

祝青柳：恰恰相反。過去大家做安全的思路是“找漏洞、打補丁”，擔心被攻擊，所以投入大量的人力去7x24小時值守。一個擁有1000臺主機的網絡，其潛在的漏洞可能有幾萬甚至幾十萬個，不停地尋找和修復，成本是極其高昂的。

而通過韌性安全的思路，例如我們用類似零信任的方式做暴露面收斂，將主機隱藏在可信訪問網關之后，那么主機漏洞的修復就從一個主要矛盾變成了一個次要矛盾。所以通過韌性安全的思路，可以大幅減少企業在其他安全環節上的投入，同時達到一個更好的安全效果。

Q7對于那些對韌性安全感興趣，但可能受限于資源和人力的關鍵信息基礎設施單位，聯軟科技能否提供高性價比的構建方案？

祝青柳：當然可以。例如，我們為大銀行和大型運營商提供了一套“原生安全基座”的方案。客戶在用了這套方案后，基本不用擔心核心業務系統被入侵，值守的成本大幅下降，對業務的潛在影響也更小。更重要的是，我們的方案能夠幫助客戶降低開發成本，簡化后期運維。對客戶來說，采用我們這套方案，不僅是減少了安全事件，甚至可以用更少的預算，解決比以前更多的問題，同時還能提升員工效率。 

Q8如今AI驅動網絡安全，AI賦能網絡安全的話題很火，聯軟如何看待AI在提升網絡韌性方面的作用？

祝青柳：我一直密切關注AI相關技術。毫無疑問，AI在網絡安全領域有非常重要的作用，尤其是在威脅檢測、安全意識培訓等方面，能起到很好的輔助效果。

但是，AI有一個致命的問題，就是存在“幻覺”。一個會產生幻覺的技術，絕對不能直接用來做訪問控制。一旦用于控制，當它阻斷或放行一個訪問時，它可能說不清決策的依據。所以，我們認為AI不是能直接、徹底解決網絡安全或數據安全的“解藥”。

安全最終還是需要通過韌性、體系化、一體化的設計來解決。AI可以作為一種強大的工具融合進來，幫助我們降低成本。打仗最終打的是經濟賬，誰的武器性能越好、成本越低才能打贏，而不是只是追求武器性能。 

Q9近年來，“安全出海”成為熱詞。您認為這是破解國內市場“內卷”的有效出路嗎？聯軟在海外市場是否有布局？ 

祝青柳： 我認為出海的根本動因不應該是為了“破內卷”，而是因為你的產品真正具備了國際競爭力。到了海外，你的競爭對手不再是國內廠商，而是國際一流廠商，你必須在技術、產品、服務上比得過他們。

就像華為的5G是靠技術領先，中國的電動車也不僅僅是價格領先，更是綜合性價比和性能的領先。所以，安全廠商首先要做的還是練好內功。

目前聯軟的體量還比較小，我們采取的出海策略是先從港澳和東南亞市場開始。目前也取得了一些不錯的效果，在香港、澳門、印尼、新加坡我們都有了客戶。但應該說，這只是剛剛試水，離取得真正的成績還很遠。

Q10展望未來，在韌性網絡安全領域，您理想中的完美韌性網絡方案是什么樣子的？我們距離這個目標還有多遠？

祝青柳：一個完美的韌性網絡安全方案，應該是一個完整的體系。從外部視角來看，它需要全面覆蓋從外部到內部的暴露面收斂，覆蓋終端和云端（公有云、私有云），還要解決容災備份中“同構系統”如何避免被同時攻陷的問題，最終目標是讓系統和業務都能在攻擊后快速恢復。 

坦白說，聯軟離一個完美的韌性網絡方案還有很長路要走，我們還在路上。我們希望有更多的中國企業，特別是大型的關鍵信息基礎設施單位能加入進來，與我們共同探索，走出一條具有中國特色的韌性網絡安全建設之路，為全球網絡安全提供一個更體系化、更高效的中國方案和更好選擇。

Q11建設韌性網絡確實不能單打獨斗。作為關保聯盟的重要成員單位，聯軟科技接下來期待與聯盟在哪些方面展開更深入的合作？

祝青柳：聯軟從2004年開始就為深圳證券交易所、上海證券交易所及各大券商提供網絡安全服務，由于證券行業天然對網絡安全的重視，從那時起，我們就積累了很多真正從業務需求出發、解決實際問題的落地實踐方案。例如，面對最近大家熱議的“銀狐”等高級持續性威脅，我們依賴的不是單一的殺毒軟件或EDR，而是一整套體系化的方案。

我們非常希望能夠把聯軟在過去20年里，在金融等關鍵行業積累下來的、基于韌性思路的實踐經驗，通過關保聯盟這個優秀的平臺，在中國更好地傳播和分享，共同為把我們國家建設成為網絡安全強國貢獻一份力量。

關于關保聯盟

中關村華安關鍵信息基礎設施安全保護聯盟(以下簡稱:關保聯盟)于2023年8月正式注冊成立的社會組織。

關保聯盟由北京中關村實驗室擔任理事長單位，中國科學院馮登國院士擔任總顧問，有關部委、中央企業、國有企事業單位、研究機構、高等院校、大型互聯網企業和網絡安全企業

擔任副理事長單位和理事單位，聯盟會員涵蓋網絡安全領域有關國有企事業單位、網絡安全企業、互聯網企業、高等院校、科研機構、檢測機構等。關保聯盟專家組與聯盟成員單位共同研究關鍵信息基礎設施安全的保護和保障等方面內容，創新安全保護的策略、技術、方法和解決方案，促進網絡安全新技術、新產品的研發，服務關鍵信息基礎設施運營者，為國家關鍵信息基礎設施安全保護提供全方位支撐。