11月1日,全国信息安全标准化技术委员会(以下简称:信安标委)2023年第二次“标准周”全体会议在湖北武汉召开。湖北省委宣传部副部长、省委网信办主任谢双林致欢迎词。全国信安标委主任委员赵泽良,中央网信办网络安全协调局局长、全国信安标委副主任委员高林,全国政协委员、全国工商联副主席、奇安信集团董事长齐向东等网络安全专家及企业代表受邀出席并发表主题演讲。会议由电子标准院党委书记、全国信安标委秘书长杨建军主持。
齐向东表示,数智时代,安全挑战前所未有,防护体系化作为迎接网络安全挑战的“金钥匙”,需要通过标准让防护体系真正发挥防护能力。
数智时代 网络安全面临五大挑战
随着政企机构数字化、智能化转型的深入,网络世界和现实世界的边界被打破,网络安全暴露面扩大,安全挑战升级,可以总结出五大安全挑战。
一是漏洞和后门的挑战。齐向东提出了关于漏洞的“四个假设”:假设系统一定有未被发现的漏洞、假设一定有已发现但仍未修补的漏洞、假设系统已经被渗透、假设内部人员不可靠。随着数智化的深入,漏洞越来越成为黑客进行网络攻击的重要手段,借助漏洞能一举打穿网络安全防护网,直指核心资源。
二是万物互联的挑战。万物互联背景下,物联网设备供应链复杂,黑客只要攻破一个设备,就能长驱直入,造成大范围的安全风险,对企业生产、社会稳定产生巨大影响。
三是数据集中和交易的挑战。一方面,数据存储方式从分散到集中,“特权账户监守自盗”“数据资源一失万无”“假冒身份蚂蚁搬家”三大难题防不胜防;另一方面,数据使用边界从封闭到开放,数据交易过程暗雷重重,一个单点失陷就可能造成海量数据泄露,造成严重后果。
四是业务连续性的挑战。过去,解决网络数据安全都是从IT视角出发,业务系统和安全系统各自为战;随着数字经济和实体经济深度融合,从业务视角看安全,黑客的攻击行为往往导致业务中断。
五是安全生产的挑战。企业生产业务系统向外打开,生产系统越来越智能,一旦出现安全事故,生产必然会受到影响。
防护体系化是迎接网络安全挑战的金钥匙
如何应对层出不穷的网络安全挑战?齐向东指出,防护体系化是迎接安全挑战的“金钥匙”,具体要从四方面落实。
第一是纵深防御体系化。要从规划、建设、体系运行到实战结果,再用实战结果评估指导新的规划、建设、体系运行,在螺旋式上升的循环中,保卫网络安全,着重打造纵深防御的内生安全体系。
第二是行为管控体系化。数智时代的信任基础不再是单一的、静态的,要从关注“人”的视角出发,采用零信任架构,确保身份可信、环境可靠、权限可控、行为合规。
第三是数据保护体系化。针对当前数据安全面临的安全风险难看清、“内鬼”难管好、外部攻击难防住这三个问题,奇安信发布了天盾数据安全保护系统,以数据资产为核心,形成一个集“事件监测、风险分析、策略调整、访问控制”为一体的全链条闭环体系,全面地对数据访问进行安全检测与防护。
第四是安全运营体系化。齐向东表示,安全是高度对抗性的,任何打仗都需要来自于上层的支持和来自于一线战士的坚强抵抗,共同构成牢不可破的安全保障。所以我们需要在数智世界里构建三级联动的网络安全运营指挥体系。奇安信构建的“三级联动”运营指挥体系经受住了冬奥的实战检验,是网络安全“零事故”的重要支撑。
标准是推动防护体系变成防护能力的催化剂
有了防护体系,还需要不断升级的行业框架和标准作为“催化剂”,使其真正形成安全防护能力。齐向东表示,网络安全作为数字时代的底板工程,更需要高标准来为高质量提供保证,并总结出了标准的五条重要作用。
一是标准让能力建设久久为功。网络安全能力建设不在“一朝一夕” ,全在“日积月累”。形成体系化的网络安全能力,需要标准引导久久为功,包括提供建设指南、建立技术框架、规范管理模式等。
二是标准让能力建设集百家之所长。网络安全是全局性、整体性工作,要求安全厂商具备产品生产、系统设计和安全服务一条龙的能力,但“大而全”的厂商在网络安全行业是少数。因此,统一的产品、系统和技术标准,运营、服务和结果评价标准对于打通安全能力至关重要。
三是标准让体系日臻完善。网络安全体系建设没有“一劳永逸”,需要不断成长。持续性、渐进性建设安全体系,需要标准规范,引领原有网络安全组件进行能力提升、打通安全能力“堵点”、稳步消除防护盲点。
四是标准让内生安全“百毒不侵”。“内生安全”是把安全能力内置到信息化环境中,让网络安全系统像人的免疫系统一样,实现自适应、自主和自成长。在内生安全框架和安全能力的运营过程中,必须不断调整安全组件,让能力越来越强。“在这个过程如果不遵守统一的安全标准,是没办法实现的。”齐向东表示。
五是标准让三级联动梦想成真。网络安全不能靠“单线作战”,要实现协同联动。而明确的标准是实现组织、功能、能力三级联动的第一步,包括明确组织协同标准、功能评价标准、能力接入标准。
齐向东表示,奇安信将坚持扎根网络安全实践一线,动牵头、参与标准制定,助力信息安全标准化工作不断取得新进展!