企業動態

“制定自主網絡安全體系框架的國家標準迫在眉睫。”5月10日，奇安信集團董事長齊向東在全國信息安全標準化技術委員會2021年第一次工作組“會議周”活動上表示，當日美國首次因為網絡攻擊宣佈進入國家緊急狀態，再次説明網絡安全不是加強某個環節就能解決的，需要提升整體的防護水平，建立完整的網絡安全體系。

1、唯有完整的安全體系才能應對新時代的網絡安全挑戰

“我們已經進入了一個新時代，新時代是數字化的時代，企業政府都把數字化轉型列為頭號發展戰略。”齊向東表示，數字化加速發展的同時，尚未形成完整的網絡安全體系正面臨五大挑戰：供應鏈安全、漏洞威脅、勒索攻擊、數據泄露以及“內鬼”。

他指出，供應鏈安全是其中的最大挑戰。供應鏈在開發、交付、使用三大環節均存在風險，開源軟件和源代碼亦暗藏危機。我國企業在開發階段廣泛應用不安全的開源軟件，自主開發的程序天然存在缺陷，都對供應鏈安全造成巨大威脅。

齊向東表示，除了不可避免的漏洞威脅，勒索攻擊氾濫成災也是重大挑戰。北京時間5月10日，受到勒索軟件攻擊影響，美國最大燃油運輸管道商被迫暫停輸送業務。美國政府宣佈多州進入緊急狀態，這也是美國首次因網絡攻擊而宣佈進入緊急狀態。

面對複雜的網絡安全威脅，齊向東表示：“唯有完整的安全體系才能應對新時代的網絡安全挑戰。”

2、用自主網絡安全體系框架護航數字化發展

當前政企機構建設完整的網絡安全體系，面臨着“有願望、沒思路”和“有思路、沒方法”的挑戰，究其本質還是缺乏自主網絡安全體系框架。

齊向東指出，以“內生安全”框架為代表的自主網絡安全體系框架，通過以系統工程改變過去局部整改、輔助配套的建設模式，系統化建設完整的網絡安全體系，明確“思路”；通過以具體的工程和任務引導網絡安全體系的規劃、建設與運營，給出“方法”。隨着具體工程和任務的落地，政企機構將擁有體系化網絡安全能力，從而實現保障數字化業務的目標。

具體來説，可以通過“盤家底、建系統、抓運營”三個關鍵點來落實:

“盤家底”指的是要體系化地梳理出總資產數據庫和全部安全能力；

“建系統”指的是將安全能力組件化，以系統、服務、軟硬件資源等不同形態，科學、有序地部署到信息化環境的不同區域、節點、層級中，確保安全能力可建設、可落地、可調度；

“抓運營”指的是確保安全運行的可持續性，只有強調安全運行，才能跑得贏漏洞、內鬼和黑客。

3、建議制定自主網絡安全體系框架國家標準

自主網絡安全體系的完整建立，還需要有相應的框架和標準，以保證其在未來可以持續性改進和發展。為推進自主網絡安全體系框架國家標準的制定，齊向東提出了四點建議：

一是制定安全能力建設體系標準，需要確保安全能力的完整性和關聯性、明確IT與安全的融合；

二是制定關鍵技術產品體系標準，實現對關鍵技術和產品的查缺補漏、定義產品和技術之間的互聯互通關係；

三是制定安全運營體系標準，需要明確系統間聯動的技術指標、實現技術和管理的融合、實現安全運營的服務規範性；

四是制定安全效果評價標準體系，圍繞建設效果、運營效果、新風險跟蹤三方面評價，分階段展開。