网络安全的北回归线 网络安全北向技术和方法探究 潘柱廷 　 启明星辰(002439)　首席战略官 中国计算机学会CCF　常务理事 　 2015年7月9日  北回归线 战略、架构、管理… … 第一次提出北向的观点在 2015华云庵春分雅集上 2 南北 资本 国际关系 战略 国家政策 IT架构 资金 管理/治理 供应链 心理/心智 产业环境 装备和工具 运行和执行 开发过程 底层技术 3 芯片技术 渗透技术 漏洞挖掘 算法模型 北向有哪些方面 战略  架构  心智  生态 环境  北 效益 经济  4 人才  咨询 智库  基础 方向  战略问题在北极的顶端 •  国家战略 战略  架构  心智  生态 环境  北 效益 经济  5 人才  Ø 对内、对外 咨询 智库  基础 方向  •  机构战略 Ø 对内、对外  十六字 战略 清晰  攻防 兼备  技术 先进  产业 领先  6 国家战略层面 •  大大的话 Ø 战略清晰、技术先进、产业领先、攻防兼备 Ø 大势出发、整体布局、统筹各方、创新发展 •  对于博弈各方的情况、战略的系列化 全面研究，单个公司难于完全覆盖 •  X战略  7 X战略 【战略范围扩大】【战略泛化】原先好像只有国家层面的核心部分才 认为是战略组成，而现在要把保密和不保密的都纳入战略范畴  【战略的专项多领域】军事、经济（企业界）、技术IETF、社会  【战略立场和诉求】博弈平衡，多元向心，跨越发展，产业支撑，人 类福祉  【战略动态化】打破五年周期，变成五年规划、年度策略、季 度review、常规会商  【战略人力资源格局扁平化】民间战略力量的，智库-社群  【战略的多干系方专家代表化】关键利益方，多元向心的利益趋同  【战略利益的多元化】多元向心力，不能只关注国家利益，重新定义 国家利益极其组成  【战略的超前模拟】 【战略执行敏捷化】多干系方的脑控系统和神经反应相结合  【战略的宣示】战略的保密和不保密的，对于相关的问题进行宣传和 传播，比如对方的攻击、我们的能力   8 国家战略层面 •  大大的话 Ø 战略清晰、技术先进、产业领先、攻防兼备 Ø 大势出发、整体布局、统筹各方、创新发展 •  对于博弈各方的情况、战略的系列化 全面研究，单个公司难于完全覆盖 •  X战略 •  建议：建立跨界的民间联合智库 9 网缘博弈，四缘博弈的一个方面 地理 交通和物流 … 网缘  地缘  系统和网络 操作和服务 数据和内容 … 经缘 人缘  贸易、市场 金融、货币… 10 宗教、意识形态 社会组织、舆论 文化… 战略问题在北极的顶端 战略  架构  心智  生态 环境  北 效益 经济  11 人才  咨询 智库  基础 方向  •  战略是指导整个北向范畴 的总体方针 •  战略会通过架构影响装备 运行层面和南向技术层面 •  战略会通过资金的分配来 左右南边的资源侧重 •  战略会通过管理来调集人 员和组织 •  战略会影响技术并左右执行  极端北向技术之间是相通的 极端南向技术之间也是相通的 12 一个机构、一个战略、一个体系 •  一个机构只有一个战略。 Ø 安全战略如果不能融入业务战略，那么就 是一个难于被执行的战略 •  一个机构只有一个管理体系。 Ø 9000、14000、20000、27000等等这些体 系应当成为一个体系，否则就仅仅是一个 被认证体系  13 南向技术需要北向体系 •  一个南向的技术，如果不被北向体系所 容纳，那么就只能仅仅是一项技术而已。 •  南向技术如何获得北向支持 Ø 有南北通吃的大才 Ø 南向主动与北向沟通 Ø 南向达到极致，北向自然找过来  14 在组织上落实北向工作 •  建议： Ø 有明确角色（职位）负责北向的工作 Ø 一位高管或者一个Team •  反思： Ø 目前机构最迫切需要的是多一个张飞、还 是多一个鲁肃  15 架构是对战略的解构和结构 战略  架构  心智  生态 环境  北 效益 经济  16 人才  咨询 智库  基础 方向  对大机构的博弈层面观察 国家政策  产业生态  运行对抗  技术母体  17 •  首席信息安全官 •  参谋长联席会议模式 •  •  •  •  •  •  •  跨界智库 以情报为核心 不要过度攫取产业资源 威胁情报和运营 常规对抗和应急 靶场、演练 技术创新和试验场  没有效益和效果，安全难以持久 战略  架构  心智  生态 环境  北 效益 经济  18 人才  合规 咨询 智库  基础 方向  效果 效益 输赢、合规、效益三视角 •  合规视角 Ø  融合现有合规体系 Ø  从一刀切合规想适应性合 规过度 合规 •  输赢视角 Ø  就是攻防视角、对抗视角 。失效分析、安全预期 •  效益视角 Ø  安全效果可视化 Ø  安全投资收益  19 效果 效益 没有效益和效果，安全难以持久 •  有多少钱办多少事儿 •  合规是一个底线要求 •  从合规安全走向对 抗安全，追求成效 •  从有效果，变得更 加经济 合规 效果 20 效益