深信服科技股份有限公司創(chuàng)始人�、CEO何朝曦主題分享
今年9月1日起�,《關鍵信息基礎設施安全保護條例》正式開始實施,這是網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的重要里程碑��,也是網(wǎng)絡安全護航國計民生的重要落腳點。關鍵信息基礎設施����,涉及公共通信和信息服務、金融�����、國防科技工業(yè)等重要行業(yè)和領域���,關系到社會的穩(wěn)定運行和健康發(fā)展�����,一旦遭到破壞或者數(shù)據(jù)泄露���,可能嚴重危害國家安全、國計民生�、公共利益。
2021年7月30日�,國務院總理李克強簽署中華人民共和國國務院令第745號:《關鍵信息基礎設施安全保護條例》
“作為國內(nèi)網(wǎng)絡安全的代表廠商之一,深信服非常幸運能夠身處其中��,享受到產(chǎn)業(yè)發(fā)展帶來的紅利����,”何朝曦表示�����,“這也使我們更加意識到自身應該肩負的責任�����?!?020年��,深信服積極參與了關鍵信息基礎設施安全保護相關標準的制定工作����,而對于關鍵信息基礎設施安全保護中非常重要的風險評估和應急響應環(huán)節(jié),深信服不僅是國家級應急服務支撐單位�����,還是一級信息安全風險評估和一級信息安全應急處理服務資質(zhì)單位�����,積累充分的風險評估和應急響應能力�。
隨著《關鍵信息基礎設施安全保護條例》的實施,關鍵信息基礎設施安全標準和建設步入規(guī)范化與專業(yè)化��,關鍵信息基礎設施保護思路更應該與時俱進����,開拓創(chuàng)新。
關鍵信息基礎設施保護應該“攻防”����、“隔離和訪問控制”并重
目前,網(wǎng)絡安全領域的很多新技術(shù)仍然聚焦在攻防領域�。然而,現(xiàn)實世界里面的安保工作����,并不完全是攻防視角的保護。常見的包括門禁��,保險箱�、安全區(qū),這些都是基于控制的��、甚至是隔離的措施����,先確保攻擊者無法接觸到被保護的目標�。何朝曦認為�����,基于攻防的措施與基于有效的隔離和訪問控制的措施是并重的�����。在關鍵信息基礎設施保護當中���,沒有誰可以完全確保系統(tǒng)沒有漏洞����,也很難有工具做到對所有攻擊都能檢測和防御�,但有一些關鍵信息基礎設施就是不容有失的。這時�,有效的隔離和訪問控制可能就是好的辦法之一。所以在關鍵信息基礎設施保護方面��,要比其他場景更加重視隔離和訪問控制措施���?����!澳懿宦?lián)互聯(lián)網(wǎng)的就不聯(lián)網(wǎng)�,不得不聯(lián)網(wǎng)的一定要縮小信息交換的范圍��,并作嚴格的檢查���?���!焙纬卣f�����,“同時��,基于攻防的保護措施也同樣要采用��,這兩種保護模式應該像擰麻花一樣���,相互交錯����,才能將關鍵信息基礎設施保護效果進一步提升?!?/p>
必須提高關鍵信息基礎設施用戶所使用的安全產(chǎn)品和服務的保護效果
目前,大多數(shù)廠商都是用大包大攬的方式提供整體安全方案�,導致產(chǎn)品和服務同質(zhì)化嚴重,品質(zhì)不高��。何朝曦認為�,可以從關鍵信息基礎設施用戶開始,促進供給側(cè)改革����,把產(chǎn)品做精做強。比如針對關鍵信息基礎設施用戶用到的安全產(chǎn)品和服務�,實現(xiàn)統(tǒng)一的接口和日志標準。這樣�,在大部分方案中,每一種安全產(chǎn)品和服務的替代性就很強��,用戶就有條件選擇最好的產(chǎn)品和服務��。然后在關鍵信息基礎設施用戶當中再建立公開的評價機制��,最終通過用戶來促進廠商把產(chǎn)品和服務質(zhì)量提升上去�。
應用安全的提升需要安全廠商,應用開發(fā)商和監(jiān)管部門多方共同努力來達成
網(wǎng)絡安全問題的源頭很大程度就是漏洞�,而大部分漏洞都是各種應用的漏洞���。何朝曦認為,提升了應用安全�,就很大程度提升了關鍵信息基礎設施用戶的整體安全。目前關鍵信息基礎設施用戶大多數(shù)使用自研或者行業(yè)應用開發(fā)商開發(fā)的應用����,這些應用開發(fā)人員雖然對用戶的需求理解十分透徹����,但是大部分開發(fā)人員和廠商對安全開發(fā)的重視度都不夠,甚至有些開發(fā)商對SDL根本不了解���。何朝曦建議���,安全廠商可以考慮如何提供工具和服務來賦能應用開發(fā)人員實現(xiàn)安全左移,即在應用的設計編碼階段就保證安全性��。
“當然����,應用安全的提升更需要安全廠商、應用開發(fā)商和監(jiān)管部門多方共同努力來達成����,”何朝曦說���,“我們可以考慮制定一個我們國家的安全開發(fā)能力成熟度模型,用政策牽引關鍵信息基礎設施用戶與安全開發(fā)能力強的軟件廠商合作����,促進關鍵信息基礎設施應用的開發(fā)者不斷提高應用的安全開發(fā)能力?��!?/p>
9月26日��,國家領導人在向2021年世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會的致賀信中指出:“數(shù)字技術(shù)正以新理念�����、新業(yè)態(tài)�、新模式全面融入人類經(jīng)濟�����、政治�、文化、社會�����、生態(tài)文明建設各領域和全過程,給人類生產(chǎn)生活帶來廣泛而深刻的影響����。當前,世界百年變局和世紀疫情交織疊加���,國際社會迫切需要攜起手來���,順應信息化����、數(shù)字化、網(wǎng)絡化�、智能化發(fā)展趨勢,抓住機遇��,應對挑戰(zhàn)����。”數(shù)字技術(shù)的新時代已經(jīng)來臨�,關鍵信息基礎設施安全保護工作任重道遠����,深信服將不斷探索��、持續(xù)創(chuàng)新���,肩負起共同構(gòu)建安全網(wǎng)絡環(huán)境的責任�����,和其他安全廠商一道為切實做好國家關鍵信息基礎設施安全保護貢獻智慧與力量���。
