外滩大会：原生安全范式重塑企业网络安全治理，需更多共建

9 月 8 日，2023 外滩大会网络安全分论坛在上海举行。论坛由蚂蚁集团和信息安全研究》杂志社联合主办，以"开启原生安全范式，护航网络空间安全"为主题。会上蚂蚁集团与浙江大学网络空间安全学院重磅首发了一项引领性网络安全成果"原生安全范式框架 v1.0"。这是探寻网络安全本源的技术思想和方法体系的集成，主要包括"OVTP 可溯范式"和"NbSP 零越范式"两大安全范式，一大技术创新"安全平行切面"。

"现代化数字企业已经成为不断演变和进化的数字生命体，其架构复杂性会爆炸式增长，正在加据企业内部数字化风险。网络安全保障，本源还是要回到访问是否合法的问题。我们希望通过原生安全范式框架，为企业安全架构设计提供指引，让原生安全从宏观要求，走向可落地实践"。从事多年重要网络安全保障工作，蚂蚁集团副总裁、首席技术安全官韦韬，对网络安全的新态势和安全工作的本质有深刻见解。

（图：蚂蚁集团副总裁、首席技术安全官韦韬发表主题演讲）

面对网络安全新挑战，蚂蚁集团从 2019 年开始便探索了原生安全范式，并通过迭代升级，实践验证不断完善，凝聚成了"原生安全范式框架 v1.0"。主要包括两大安全范式、一大技术创新。两大安全范式包括"OVTP 可溯范式"（Operator-Voucher-Traceable Paradigm，即 OVTP) 和"NbSP 零越范式"（Non-bypassable Security Paradigm，即 NbSP)。一大技术创新主要是"安全平行切面技术"体系，是从两大安全范式出发创新的方法体系。二者相辅相成，让原生安全理念得以落地。

（图：原生安全范式框架 v1.0）

两大安全范式在原生安全思想下，对网络安全访问问题提出了创新解法。简单来看，OVTP 就是确保网络访问敏感操作可追溯可研判，如客服人员调用客户信息时依赖的服务工单，不致产生越权漏洞；而 NbSP 就是类似机场安检，攻击者不会通过各种漏洞形成的隐蔽通道（比如下水道或者通风管）绕过安检点。

蚂蚁首创的"安全平行切面"可以为现代数字化机构实现 OVTP 可溯范式与 NbSP 零越范式提供高效的方法体系与基础平台，实现了网络安全治理效果和效能跨越式提升。例如，2021 年双十二大促期间，针对 log4j2 漏洞攻击，蚂蚁集团安全平行切面体系实现了小时级全站止血，安全应急人力从 fastjson 应急时的 6000 人日降低到 30 人日，效能提升达到百倍，止血加固双管齐下，业务 0 打扰化解危机。

在论坛上，围绕"开启原生安全范式，护航网络空间安全"，奇安信、平安集团、之江实验室、北京炼石网络、北京知其安科技、Certik 公司等单位的嘉宾也分享了行业实践和最新研究。

中国电子科技委副主任、奇安信集团总裁吴云坤认为，现代企业网络安全是从业务出发的内生安全，这样的安全防护体系具备三个关键要素：第一，从关注业务出发，构建内生安全体系；第二，从关注"人"出发，将安全机制内置于数据全链条；三，从关注运营出发，构建实战安全运营体系。这些能力帮助奇安信"零事故"完成了 2022 年北京冬奥会网络安全保障，吴云坤介绍。

（图：中国电子科技委副主任、奇安信集团总裁吴云坤发表主题演讲）

平安集团首席信息安全总监陈建分享了原生安全典型实践 DevSecOps：代码即安全，在编写代码的过程中将安全性视为一个核心要素，以确保开发出的软件应用程序在安全方面具有高度的可信度和防御性；上线即安全，在应用程序上线之前，必须确保应用程序具有高度的安全性和可靠性，减少后期修复漏洞和问题的成本；运营即安全，在软件系统和业务运营的过程中，将安全性视为一个持续的需求，确保在运营阶段保持高水平安全性，降级遭受攻击风险。

北京炼石网络创始人、CEO 白小勇介绍，基于安全平行切面技术，炼石网络在数据流动的切面上重建安全规则，实现了安全与业务在技术上解耦、能力上融合。"免改造应用落地原生数据安全，兼容多、交付快、防护好、省成本"，白小勇表示。

公安部第三研究所副所长金波，第十三届全国政协委员、上海市信息安全行业协会名誉会长谈剑锋，对于原生安全范式开启的网络安全治理表达了殷切期待。

原生安全范式的核心思想是让安全能力融入业务的毛细血管，这一思想也正在重塑现代企业安全治理。论坛参会嘉宾一致认为，原生安全范式这一高效能的安全实践，强依赖于范式认知与安全基础设施的演进，需要更多的企业、机构参与技术共建、应用探索，共同打造高安全水平的网络空间。