5月10日,奇安信集团董事长齐向东在全国信息安全标准化技术委员会2021年第一次工作组“会议周”活动上表示,当日美国首次因为网络攻击宣布进入国家紧急状态,再次说明网络安全不是加强某个环节就能解决的,需要提升整体的防护水平,建立完整的网络安全体系。
1、唯有完整的安全体系才能应对新时代的网络安全挑战
“我们已经进入了一个新时代,新时代是数字化的时代,企业政府都把数字化转型列为头号发展战略。”齐向东表示,数字化加速发展的同时,尚未形成完整的网络安全体系正面临五大挑战:供应链安全、漏洞威胁、勒索攻击、数据泄露以及“内鬼”。
他指出,供应链安全是其中的最大挑战。供应链在开发、交付、使用三大环节均存在风险,开源软件和源代码亦暗藏危机。我国企业在开发阶段广泛应用不安全的开源软件,自主开发的程序天然存在缺陷,都对供应链安全造成巨大威胁。
齐向东表示,除了不可避免的漏洞威胁,勒索攻击泛滥成灾也是重大挑战。北京时间5月10日,受到勒索软件攻击影响,美国最大燃油运输管道商被迫暂停输送业务。美国政府宣布进入国家紧急状态,这也是美国首次因网络攻击而宣布进入国家紧急状态。
面对复杂的网络安全威胁,齐向东表示:“唯有完整的安全体系才能应对新时代的网络安全挑战。”
2、用自主网络安全体系框架护航数字化发展
当前政企机构建设完整的网络安全体系,面临着“有愿望、没思路”和“有思路、没方法”的挑战,究其本质还是缺乏自主网络安全体系框架。
齐向东指出,以“内生安全”框架为代表的自主网络安全体系框架,通过以系统工程改变过去局部整改、辅助配套的建设模式,系统化建设完整的网络安全体系,明确“思路”;通过以具体的工程和任务引导网络安全体系的规划、建设与运营,给出“方法”。随着具体工程和任务的落地,政企机构将拥有体系化网络安全能力,从而实现保障数字化业务的目标。
具体来说,可以通过“盘家底、建系统、抓运营”三个关键点来落实:“盘家底”指的是要体系化地梳理出总资产数据库和全部安全能力;“建系统”指的是将安全能力组件化,以系统、服务、软硬件资源等不同形态,科学、有序地部署到信息化环境的不同区域、节点、层级中,确保安全能力可建设、可落地、可调度;“抓运营”指的是确保安全运行的可持续性,只有强调安全运行,才能跑得赢漏洞、内鬼和黑客。
3、建议制定自主网络安全体系框架国家标准
自主网络安全体系的完整建立,还需要有相应的框架和标准,以保证其在未来可以持续性改进和发展。为推进自主网络安全体系框架国家标准的制定,齐向东提出了四点建议:
一是制定安全能力建设体系标准,需要确保安全能力的完整性和关联性、明确IT与安全的融合;
二是制定关键技术产品体系标准,实现对关键技术和产品的查缺补漏、定义产品和技术之间的互联互通关系;
三是制定安全运营体系标准,需要明确系统间联动的技术指标、实现技术和管理的融合、实现安全运营的服务规范性;
四是制定安全效果评价标准体系,围绕建设效果、运营效果、新风险跟踪三方面评价,分阶段展开。