世界正迎來百年一遇的大變局。以互聯網、5G、人工智能技術的發展與普及為代表的第四次工業革命的浪潮，把我們帶入了物聯網的時代。結合今年的主題，我今天的演講分為三個關鍵詞：進化、內生和聚合。

　　第一部分，說進化。

　　首先，我們的環境經歷了從I到C的演化。過去，我們討論網絡安全，其實說的是互聯網安全（Internet Security），但現在網絡安全的內涵和外延不斷擴大，向網絡空間安全（Cyber Security）全面升級。

　　在互聯網時代，我們主要防止數據被破壞、被泄漏和網絡癱瘓；在網絡空間安全時代，安全目標是包含設施、數據、用戶、操作在內整個網絡空間的系統安全。攻擊物聯網，就等于攻擊物理世界。自動駕駛汽車被攻擊，可能導致車毀人亡；電站被攻擊，可能導致災難性事故。

　　伴隨著從I到C的全面演進，我們必須從更高的維度、更廣的視角來審視網絡安全問題。因為在物聯網的時代，我們除了要關注信息安全，更要思考如何保障關鍵信息基礎設施和眾多物聯網設備的運行安全。

　　其次，我們面對的客戶正經歷從C到B的變化。互聯網時代，網絡攻擊的目標主要是個人，安全公司服務的客戶也是個人。我還記得，2005年左右，流氓軟件成災，受影響最嚴重的是記者、大學教授等社會高知識階層。因為工作需要，他們每天要訪問互聯網，接觸很多新創辦的陌生網站。在這個過程中，他們不斷中招流氓軟件。有位記者給我看他的電腦，中了十幾款流氓軟件，開機要半個小時，開機后鼠標還不能正常工作。所以，在TO C的時代，我們解決的是網民上網的安全問題。

　　在物聯網的時代，網絡攻擊的目標升級到了政府、企業等機構和組織，以達到破壞社會穩定的目的。比如今年5月，黑客入侵并控制了美國巴爾的摩市政府的1萬臺電腦，系統持續癱瘓了三周，政府公務員無法訪問電子郵件帳戶，普通市民無法使用基本的市政服務。所以，安全公司服務的客戶也變成了政府和企業，維護政府和企業的安全直接關系到社會穩定和國家安全。

　　在變化的安全形勢下，整個社會的安全觀也在變化。回顧過去五年的歷程，我們的安全觀經歷了從外到內的進化。

　　五年以前，首先要改變的安全觀是重視。當時，爆發了“心臟滴血”漏洞、微軟XP停服等影響深遠的網絡安全事件，當時整個社會的網絡安全意識非常淡薄，在安全上的投入非常少。我們意識到，一個正確的安全觀是確保安全的第一步，所以我強調“安全第一”。

　　四年前，安全觀從重視向看見進化。隨著眾多信息泄露事件的不斷爆發，網絡變得越來越看不清、摸不透。如果連敵人在哪里，要干什么都看不清楚，談何安全？雁過留聲、水過留痕，我在2015年提出了“數據驅動安全”，用數據來檢測和發現威脅，用大數據做到看得見、看得清網絡攻擊。僅僅看見還不夠，就像一個人如果手無寸鐵，只能眼睜睜看著罪犯明火執仗，所以2016年我又提出“協同聯動”， 動員全社會的力量，通過協同來構筑安全防線，提升安全能力。

　　兩年前，安全觀的視角從外部向內部進化。因為信息化與安全系統是剝離的，所以看見的只是局部而不是全部，能“看見”邊界的、外部的威脅，而看不見內部業務系統的狀況。因此，2017年我提出“人是安全的尺度”，開始觸及網絡安全的本質，強調人對網絡安全起著決定性作用；2018年我提出的“安全從0開始”，則是呼吁客戶不能僅僅依賴于創可貼式的安全產品和服務，要在信息化系統從0到1的建設過程中就開始考慮安全。

　　今年，我們提出了“內生安全”。我們通過實踐發現，安全能力必須在內部的業務系統上構建，才能真正解決客戶的業務安全問題。

　　第二部分，再說“內生”。

　　對于內生安全，在學術界有很多看法。有觀點認為，內生安全，指依靠網絡自身構造因素產生的安全功效；還有觀點認為，內生安全是通過增強計算機系統、網絡設備內部的安全防范能力，使攻擊根本不可能發生。

　　以往微軟和因特爾組成的Wintel聯盟，就是內生安全的一種。今天中國電子CEC打造的由飛騰（Phytium）CPU+麒麟（Kylin）操作系統組成的 “PK體系”，也是內生安全，芮曉武董事長把它稱為本質安全。沈昌祥院士十年如一日推動的可信計算、鄔江興院士十年磨一劍研制的擬態防御，孫優賢院士建立的全生命周期工業系統控制體系，也都是內生安全。

　　我今天說的是攻防過程中的內生安全。我們服務的眾多重要客戶，他們當中有政府、銀行和大型企業，大家普遍關心，如何不斷從信息化系統內生長出一種安全能力，隨業務的增長而持續提升，持續保證業務安全。

　　內生安全能力應該具有自適應、自主、自生長三個特點。

　　第一，內生安全的自適應特點，很像一個強壯的免疫系統。我們都知道，人體的免疫系統是在人體戰場上構筑的堅不可摧的防病抗病體系，免疫力是最好的醫生，是防衛病毒入侵最有效的武器。

　　自適應的內生安全系統，有“一方有難、八方支援”的免疫功能。比如，有細菌進入到人體后，免疫系統會指揮吞噬細胞和它作斗爭，如果沒把它消滅掉，多種類型的淋巴細胞會來支援。在自適應的內生安全里，當有網絡攻擊到系統內的時候，它會根據預先設定的方案，啟動終端和服務器的防護措施，甚至采取隔離等極端措施；為防止攻擊蔓延和降低損失，還會自動通知防火墻、交換機、路由器等邊界、網絡安全設備進行反擊。與此同時，調整相應業務系統的授權，嚴格限制對敏感數據的操作。終端、網絡和業務的聯合抗擊行動，很像免疫功能。

　　自適應的內生安全系統，有 “明察秋毫、防微杜漸”的告警免疫功能。當人體不能實時消滅病毒達到健康平衡的時候，免疫系統就會通過過敏、頭暈、耳鳴、疼痛等身體不適癥狀進行告警，強制人通過多休息來減少能量消耗，為它對抗外來病毒提供幫助。在自適應的內生安全里，網絡安全態勢感知就是類似的告警系統。

　　自適應的內生安全系統，有“不惜一切代價，消滅入侵之敵”的免疫功能。“休克療法”是社會管理和經濟管理學中向免疫系統學習的典范，免疫系統在極端失衡時，它會通過讓人體高燒、昏迷等極端休克措施，來對抗入侵的病毒，直至把病毒殺死。在自適應的內生安全系統里，認為人、設備、賬號始終處于零信任的環境，因此需要進行持續信任評估。當系統判斷一個設備的安全風險很高，就會自動降低對這個設備的授權，直至取消授權；當系統發現在遭受大面積攻擊時，會自動關閉掉不重要的業務系統，而集中資源來進行應急響應，直至恢復到安全的狀態。

　　總結起來，內生安全的自適應就是指信息化系統具有針對一般性網絡攻擊自我發現、自我修復、自我平衡的能力；具有針對大型網絡攻擊自動預測、自動告警和應急響應的能力；具有應對極端網絡災難、保證關鍵業務不中斷的能力。

　　第二，內生安全的自主性特點，很像“我的安全我做主”。換句話說，安全是買不來的，如果只依靠購買外部的安全能力，而沒有自主的安全能力，是不能解決安全問題的。因為在業務安全第一的時代，每一個客戶的業務和支撐業務的網絡都是不同的，它們的薄弱環節是不同的，應對網絡攻擊的方法和手段也是不同的。尤其多數APT攻擊都是通過模擬正常業務行為，來實現對業務的破壞，完全依靠外部的安全能力很難區分一個業務行為是否正常。

　　比如一個女孩兒，她的安全手冊里肯定有很重要的一條是深夜不能獨自去偏僻的地方；一位富翁的安全手冊里應該會有一條是對自己的住所加強保衛；一個小朋友的安全手冊里肯定會強調不能獨自出門、過馬路。同樣的，每個組織的安全手冊也一定是不同的，必須針對自己的業務特性，立足于自己的安全需求，建設自主的安全能力。

　　只有外生的安全大數據，解決不了內部的安全問題。我們說，數據驅動安全 ，是指業務場景的數據是安全能力的驅動力。就像一個人疑似得了流感，必須去醫院做檢查，通過抽血等手段，掌握有針對性的、精細化的內生數據，才能確切知道問題出在哪兒，如果醫生只參考咳嗽、頭暈等流感癥狀這樣的外生數據，這個病是沒法治的。要了解核電站的安全情況，必須對核電站正常運行時期、非正常運行時期、不同內外部環境下、不同業務指令下的數據足夠了解。

　　安全大腦的作用不能被泛化地夸大。如果人只有大腦這一個器官，連生活都不能自理。和業務系統相結合的是安全內腦，來自外部的情報是安全外腦。從哲學上說，內因是第一位的，外因是第二位的，外因必須通過內因起作用。所以，空有泛化的安全大腦不能解決安全問題，而這個具化的安全內腦就是內生安全的自主能力。

　　第三，內生安全的自成長特點，就像“魔高一尺道高一丈”。指的是對安全能力動態提升的要求。因為當信息化系統和安全系統升級換代的時候，業務系統流程再造的時候，安全能力應該能動態提升，它的核心是人的進步和成長。

　　對一個組織來說，盡管遭受網絡攻擊的手段難以預測，但我們還是可以盡量多地窮舉，比如通過網絡風暴演習、滲透測試等手段，不斷去發現問題、解決問題，讓網絡安全人才在網絡攻防的對抗中成長起來。不斷成長的人才隊伍，才能滿足系統自成長的內生安全需要。

　　就像一個拳擊手，需要不斷地與不同的拳擊手對打，才有可能成長為一代拳王。還有，歷史上任何強大的軍隊，都是在戰爭中成長起來的。現在，我們面臨網絡戰的威脅，不經過錘煉是不可能成為強軍的。

　　第三部分，最后說聚合。

　　聚合是實現內生安全的手段。前面講到我們期望內生出的安全能力，能和人體的免疫系統一樣，力量足夠強大、應變足夠靈敏。

　　人體的免疫系統是天生的，依靠這套與生俱來的生理功能，人體能識別“自己”和“非己”，抵抗或防止病毒感染與入侵。

　　而之前的網絡安全防護都是外生的，立足于邊界防護，就像是給人戴上了口罩，極其脆弱。現在安全要做出改變，從外生安全變成內生安全。

　　如何內生？靠聚合。前面我談到，內生安全的三個能力，是自適應、自主和自生長，它們靠聚合產生：信息化系統和安全系統的聚合，產生自適應安全能力；業務數據和安全數據的聚合，產生自主安全能力；IT人才和安全人才的聚合，產生自成長的安全能力。

　　第一個聚合，是信息化系統與安全系統的聚合。

　　要實現自適應，需要把信息化系統與安全系統聚合起來。這種聚合需要信息化系統把網、云、數據、應用、端分層解耦，以便把安全能力插入其中；為了讓安全能識別業務，還需要把接口、協議、數據標準化，即便異構也能兼容。

　　這種聚合要求安全系統也要解耦，把安全能力資源化、目錄化，通過標準接口進行協同，實現這種聚合，安全能力就融入到了業務系統的各環節之中，就好比業務系統內生出了一種安全能力。

　　這種聚合拉通了網絡控制系統和業務控制系統，當網絡檢測到攻擊，業務控制系統會自動收緊安全訪問控制權限；當業務檢測出異常，網絡會自動采取措施來嚴防死守。

　　我們在某大型部委的大數據體系試點建設中，就實現了這種聚合，網、云、大數據、安全等多個廠商共同解決了數據分離、認證、應用、交換等各類業務場景問題。

　　第二個聚合，是業務數據和安全數據的聚合。

　　數據既是業務的核心，也是解決安全問題的核心。以往安全關注的是網絡運行數據，但要建立自主的內生安全，還必須關注相關的業務數據。這些業務數據包括業務元數據、業務訪問行為數據等。

　　網絡安全數據，像流量數據、終端數據、漏洞數據、系統日志等，更多的用以描述網絡行為。但在攻防對抗中，攻擊者都會隱藏、偽裝網絡行為。

　　只有把業務數據和網絡數據聚合起來，將網絡威脅與業務異常結合起來進行分析，才能更準確地發現攻擊者。

　　聚合這兩種數據，我們需要建立起業務與安全統一的實體關系數據模型，把不同的數據聚合成一個完整的安全數據視圖，通過檢索、AI及更廣泛的知識來發現隱藏在多層關系背后的安全問題。這里解釋一下“實體關系”，“實體”是指客觀的對象，如身份賬號、IP、域名、URL、證書等，“關系”是表示對象和對象之間的聯系、事件、行為。

　　在實際的應用中，把零信任體系和用戶實體行為分析結合起來的數據安全管控平臺，就是很好的例子。在這個案例中網絡攻防數據、身份數據、業務訪問行為數據，甚至物理環境的數據都會成為數據聚合的關鍵，從而不僅能夠感知網絡層面的威脅，而且能感知數據濫用與泄漏竊取。

　　第三個聚合，是IT人才和安全人才的聚合。

　　網絡安全體系中，人是不可或缺的角色。在一個具體的安全業務場景中，我們既需要懂金融、工業等專業知識的IT人才，也需要具備打補丁、配置安全策略等專業能力的安全人才。只有聚合起IT人才和安全人才，才能真正讓安全運轉起來。

　　在軍事中，有一個重要的原則是為了達到總的戰役目標，各軍種、兵種和專業兵分隊必須聚合起來，實施協調一致的行動。

　　再比如，以某個大型實網攻防演習為例，需要匯聚組織方、攻擊方和防守方三支隊伍，才能完成對系統安全性和運維保障有效性的檢驗。在這樣的演習中，防守隊的組成，并不僅僅由目標系統運營單位獨立承擔，而是由系統運營單位、攻防專家、安全廠商、軟件開發商、網絡運維隊伍、云提供商等多方人才聚合組成的防守隊伍。

　　所以，企業與組織在建設自身安全體系時，不能只想到技術體系的IT人才建設，安全人才的投資建設也非常關鍵。在規劃階段，提前進行安全人才儲備，將IT人才和安全人才聚合起來，是后續安全發展的根基。

　　概括地說，我們提出的“內生安全 聚合應變”，就是為安全而生，應安全而變，通過信息化系統和安全系統的聚合、業務數據和安全數據的聚合、IT人才和安全人才的聚合，點聚為線再合為面，建設屬于自己的安全能力，達到自適應、自主、自成長。