近年来，从国有金融机构的数据雪崩，到超大型汽车生产线的瘫痪；从三甲医院急诊系统的停摆，到社保网络的中断，黑客攻击、勒索病毒已撕碎所有行业的安全幻象。以“漏洞修复”为中心的网络安全防御体系越来越无法适应日益复杂的网络安全威胁，是时候跳出原有框架，重新审视传统的网络安全架构了！

与此同时，全球顶尖机构正积极倡导落实网络安全向韧性体系升级：美国国家标准与技术研究院（NIST）发布的CSF2.0框架新增技术基础设施韧性要求；国际标准化组织（ISO）与国际电工委员会（IEC）联合制定的27031:2024标准强制要求实施韧性演练；国际船级社协会（IACS）对新建远洋船舶实施全球统一的韧性设计规范；此外，麦肯锡、德勤、Gartner等咨询巨头将韧性建设列为企业安全战略的最高优先级，这些变革标志着网络安全正式迈入韧性时代。

作为国内最早探索并提出韧性概念的网络安全厂商，联软科技早在2019年就前瞻性地提出TDNA可信数字网络架构，倡导通过分层设计、容错机制及主动对抗构建一体化架构，与NIST后来提出的韧性框架不谋而合，这也是联软韧性网络安全理念的由来，但联软更多聚焦于韧性业务安全——在入侵无处不在的时代，用多层容错方式，保障核心业务的连续性。而NIST2.0所提的韧性保护，主要是网络分段、ACL及零信任技术，某些场景需求依然无法解决，例如，对AD域类集权系统如何保护？对软件供应链如何实现韧性保护？核心敏感数据的安全又如何保障？

近日，关保联盟对联软科技创始人兼CEO祝青柳先生就韧性网络安全的话题进行了深度专访。

祝青柳 联软科技CEO

中国最早一批网络技术专家，毕业于西安电子科技大学，中欧国际工商学院EMBA。2004年创办深圳市联软科技股份有限公司，长期致力于探索并实践企业级用户网络与数据安全建设的最优路径，2019年，基于深耕行业多年的深厚积淀，提出TDNA可信数字网络架构，倡导通过分层设计、容错机制及主动对抗的一体化架构，系统性提升网络安全韧性，有效抵御勒索病毒大面积攻击及大规模数据泄露风险，由此奠定了联软科技“韧性安全”理念的早期框架。

伴随全球对“韧性”理念的深入共识与蓬勃推动，祝青柳于国内率先提出韧性安全技术思路，并推出涵盖防勒索、防泄密及原生安全基座等领域的系列韧性解决方案，致力于帮助企业在复杂的网络安全环境中守住底线风险，保障业务连续性，扭转攻防失衡态势，提高网络安全业务ROI。

Q&A

Q1首先，联软科技是做网络准入控制、端点安全起家的，步入“韧性安全”领域是嗅到市场先机还是趋势使然？为何联软科技会将“韧性安全”提升到如此重要的战略层面？

祝青柳：大家好。这是我们多年实践和观察的必然结果。近年来，我国对网络安全越来越重视，但我们看到，依然有大型国有银行、央企等对网络安全十分重视的大型企业被黑客勒索，这说明当下的解决方法存在局限性，也让我们深刻反思，传统的安全思路和方法必须做出调整。

其实早在2019年，我们就开始研究通过“容错”的方式来解决网络防入侵问题。当时我们从一些黑客入侵、勒索病毒的案例中认识到，单纯依靠“找漏洞、打补丁”的方式是不可持续的。我们当时提出了TDNA（可信数字网络架构），也是我们韧性安全的由来，其核心思想就是通过容错来防入侵。 

走到今天，面对日益严峻的勒索病毒事件，我们欣喜地看到，NIST在2024年发布的CSF 2.0版本中，将原来的IPDRR（识别、保护、检测、响应、恢复）模型扩展为GIPDRR，其中新增的“G”（治理）强调要从更高层面重视网络安全建设，并在“P”（保护）环节明确增加了对“韧性”的要求。这与我们的思路不谋而合，所以我们学习并借用了“韧性（Resilience）”这个词汇，以便于行业交流和学习。

我们倡导韧性安全，是希望安全能真正回归业务本质，不仅能助力业务发展，更能实现底线风险的有效管控，保证关键核心业务系统的平稳运行。即使发生安全事件，也能让业务安全地持续下去。 

希望在未来20年，联软科技能为大型to B市场客户提供韧性安全的解决方案，让用户用更少的投资实现更好的安全效果。 

Q2说到“韧性”，不同的厂商可能有不同的理解，联软科技所定义的“韧性”，与其他厂商的提法有何不同？

祝青柳：确实，现在很多厂商都在谈韧性。联软对韧性的理解，与行业内一些主流看法既有相通之处，也有明显的区别。

“韧性”目前在全球都是一个非常火热的概念，被普遍提升到了变革的高度。例如，去年7月1日开始，国际船级社协会（IACS）要求超过500吨的船舶都必须符合韧性安全要求。当前，行业内谈及韧性，很多是依据NIST网络安全框架（CSF）或ISO 27031标准（2024年刷新），主要强调通过网络分段、零信任等技术来实现网络访问的最小化授权。

联软认为，这些手段在特定场景下确实能实现最小化授权，但真正的韧性安全，其范畴远不止于此。举个例子，如果有人在网络中的一台主机上安装了远程桌面软件，并将其发布到互联网上，那么无论你之前做的零信任或网络分段有多严密，攻击者依然可以绕过这些防御直接访问进来。

因此，联软讲的韧性，第一，是从权限最小化的角度出发，但覆盖范围更广，不仅局限于网络访问，还包括软件管理、主机访问等多个维度。第二，我们特别强调多重容错保护。现有的CSF 2.0或者是ISO 27031里虽然提到了容错，但我们认为它缺乏对重点目标、重点业务系统的针对性容错保护，也没有对重点风险来源进行有效区分。

所以，虽然大家都在谈韧性，但我们的理解和实践路径会有些区别。我们更关注如何从业务的视角出发，确保核心业务的连续性。

我再举一个例子，在很多银行或大型企业，都会为核心业务系统建立双活数据中心或“两地三中心”的容灾架构。但普遍存在一个问题：这些主系统和备用系统，通常采用的是同样的硬件、同样的操作系统、同样的中间件，甚至是由同一个开发商写的同一套代码。

这意味着，如果主系统上存在一个漏洞，那么备用系统上几乎百分之百也存在同样的漏洞。攻击者一旦能攻陷主系统，同样也能攻陷备用系统。在这种情况下，仅仅依靠网络分段和零信任，是无法解决主、备系统同时被黑，导致“双活”或“三中心”架构整体失效的问题的。

所以，我们讲的韧性，更多是从业务角度出发，思考如何能保证在遭受各类安全攻击时，我的业务系统、软件系统都能够支撑业务的连续性需求。也许我们的系统也会被攻击，甚至局部瘫痪，但我们能够比别人更快地恢复起来，这也是实现韧性的一种方式。我们的目标是从预防、检测、发现、处置、恢复，实现端到端的“业务掰不断”。

Q3在激烈的市场竞争下，联软科技构建的韧性体系，其技术壁垒是什么？ 

祝青柳：技术壁垒并非一日之功。联软从2018、2019年就开始深入研究如何通过容错来防入侵。回过头看，我们感到非常幸运，因为公司自成立以来开发的核心产品和技术，很多都天然符合韧性安全的思路。 

比如说我们的“安渡”（UniNXG安全数据交换系统），它可以让不同安全域的主机和系统很方便地进行数据交换。但其底层逻辑是，任何两个通过安渡交换数据的系统之间，都没有IP协议栈的直接连通，这两个系统甚至都不需要开放任何端口。并且，在交换数据时，指令通道和数据通道是分离的。

可以说，我们碰巧在过去的20年里，开发了一系列专门用于做访问权限最小化控制、做暴露面更好收敛的产品和方案。我们的暴露面收敛，不仅仅是网络分段和零信任，还包括跨域隔离、软件管理、高危访问路径收敛等一系列技术。就像盖房子一样，我们先造了砖、门、梁、顶……慢慢地拼成了一座符合韧性理念的“房子”。我们的运气比较好，正好踩对了点，走对了路。

Q4从需求侧来看，您认为什么样的企业最需要构建韧性网络？

祝青柳：我认为，所有信息化系统或计算机网络系统在其业务运营中扮演着至关重要角色的企业，或者业务系统长期中断、数据泄露会对业务造成巨大影响的企业，都非常需要这套韧性安全的方法论和解决方案。

Q5那么在关键信息基础设施领域，联软科技是否有成熟的落地案例可以分享？

祝青柳：有的。联软最早的客户就来自证券行业，包括深圳证券交易所和上海证券交易所。我们在证券、基金、银行等金融领域有深厚的积累，目前像中、农、工、建、交等大型银行都与我们在相关产品和方案上有着不同程度的合作。

我们的方案主要是基于“减少暴露面”和“访问权限最小化”等相关技术去解决客户的实际问题。因此，大多数与我们合作的客户都采纳了我们韧性方案中的一部分。要说方案使用相对最完整的，是证券和银行行业。此外，在一些大型制造业企业，也有广泛的合作。

Q6很多单位会担心，构建韧性安全网络，是否意味着成本会大幅增加？

祝青柳：恰恰相反。过去大家做安全的思路是“找漏洞、打补丁”，担心被攻击，所以投入大量的人力去7x24小时值守。一个拥有1000台主机的网络，其潜在的漏洞可能有几万甚至几十万个，不停地寻找和修复，成本是极其高昂的。

而通过韧性安全的思路，例如我们用类似零信任的方式做暴露面收敛，将主机隐藏在可信访问网关之后，那么主机漏洞的修复就从一个主要矛盾变成了一个次要矛盾。所以通过韧性安全的思路，可以大幅减少企业在其他安全环节上的投入，同时达到一个更好的安全效果。

Q7对于那些对韧性安全感兴趣，但可能受限于资源和人力的关键信息基础设施单位，联软科技能否提供高性价比的构建方案？

祝青柳：当然可以。例如，我们为大银行和大型运营商提供了一套“原生安全基座”的方案。客户在用了这套方案后，基本不用担心核心业务系统被入侵，值守的成本大幅下降，对业务的潜在影响也更小。更重要的是，我们的方案能够帮助客户降低开发成本，简化后期运维。对客户来说，采用我们这套方案，不仅是减少了安全事件，甚至可以用更少的预算，解决比以前更多的问题，同时还能提升员工效率。 

Q8如今AI驱动网络安全，AI赋能网络安全的话题很火，联软如何看待AI在提升网络韧性方面的作用？

祝青柳：我一直密切关注AI相关技术。毫无疑问，AI在网络安全领域有非常重要的作用，尤其是在威胁检测、安全意识培训等方面，能起到很好的辅助效果。

但是，AI有一个致命的问题，就是存在“幻觉”。一个会产生幻觉的技术，绝对不能直接用来做访问控制。一旦用于控制，当它阻断或放行一个访问时，它可能说不清决策的依据。所以，我们认为AI不是能直接、彻底解决网络安全或数据安全的“解药”。

安全最终还是需要通过韧性、体系化、一体化的设计来解决。AI可以作为一种强大的工具融合进来，帮助我们降低成本。打仗最终打的是经济账，谁的武器性能越好、成本越低才能打赢，而不是只是追求武器性能。 

Q9近年来，“安全出海”成为热词。您认为这是破解国内市场“内卷”的有效出路吗？联软在海外市场是否有布局？ 

祝青柳： 我认为出海的根本动因不应该是为了“破内卷”，而是因为你的产品真正具备了国际竞争力。到了海外，你的竞争对手不再是国内厂商，而是国际一流厂商，你必须在技术、产品、服务上比得过他们。

就像华为的5G是靠技术领先，中国的电动车也不仅仅是价格领先，更是综合性价比和性能的领先。所以，安全厂商首先要做的还是练好内功。

目前联软的体量还比较小，我们采取的出海策略是先从港澳和东南亚市场开始。目前也取得了一些不错的效果，在香港、澳门、印尼、新加坡我们都有了客户。但应该说，这只是刚刚试水，离取得真正的成绩还很远。

Q10展望未来，在韧性网络安全领域，您理想中的完美韧性网络方案是什么样子的？我们距离这个目标还有多远？

祝青柳：一个完美的韧性网络安全方案，应该是一个完整的体系。从外部视角来看，它需要全面覆盖从外部到内部的暴露面收敛，覆盖终端和云端（公有云、私有云），还要解决容灾备份中“同构系统”如何避免被同时攻陷的问题，最终目标是让系统和业务都能在攻击后快速恢复。 

坦白说，联软离一个完美的韧性网络方案还有很长路要走，我们还在路上。我们希望有更多的中国企业，特别是大型的关键信息基础设施单位能加入进来，与我们共同探索，走出一条具有中国特色的韧性网络安全建设之路，为全球网络安全提供一个更体系化、更高效的中国方案和更好选择。

Q11建设韧性网络确实不能单打独斗。作为关保联盟的重要成员单位，联软科技接下来期待与联盟在哪些方面展开更深入的合作？

祝青柳：联软从2004年开始就为深圳证券交易所、上海证券交易所及各大券商提供网络安全服务，由于证券行业天然对网络安全的重视，从那时起，我们就积累了很多真正从业务需求出发、解决实际问题的落地实践方案。例如，面对最近大家热议的“银狐”等高级持续性威胁，我们依赖的不是单一的杀毒软件或EDR，而是一整套体系化的方案。

我们非常希望能够把联软在过去20年里，在金融等关键行业积累下来的、基于韧性思路的实践经验，通过关保联盟这个优秀的平台，在中国更好地传播和分享，共同为把我们国家建设成为网络安全强国贡献一份力量。

关于关保联盟

中关村华安关键信息基础设施安全保护联盟(以下简称:关保联盟)于2023年8月正式注册成立的社会组织。

关保联盟由北京中关村实验室担任理事长单位，中国科学院冯登国院士担任总顾问，有关部委、中央企业、国有企事业单位、研究机构、高等院校、大型互联网企业和网络安全企业

担任副理事长单位和理事单位，联盟会员涵盖网络安全领域有关国有企事业单位、网络安全企业、互联网企业、高等院校、科研机构、检测机构等。关保联盟专家组与联盟成员单位共同研究关键信息基础设施安全的保护和保障等方面内容，创新安全保护的策略、技术、方法和解决方案，促进网络安全新技术、新产品的研发，服务关键信息基础设施运营者，为国家关键信息基础设施安全保护提供全方位支撑。