深信服科技股份有限公司創(chuàng)始人、CEO何朝曦主題分享
今年9月1日起�,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式開始實施,這是網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的重要里程碑��,也是網(wǎng)絡(luò)安全護(hù)航國計民生的重要落腳點(diǎn)�����。關(guān)鍵信息基礎(chǔ)設(shè)施�,涉及公共通信和信息服務(wù)、金融��、國防科技工業(yè)等重要行業(yè)和領(lǐng)域�����,關(guān)系到社會的穩(wěn)定運(yùn)行和健康發(fā)展�,一旦遭到破壞或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全�����、國計民生����、公共利益。
2021年7月30日�,國務(wù)院總理李克強(qiáng)簽署中華人民共和國國務(wù)院令第745號:《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》
“作為國內(nèi)網(wǎng)絡(luò)安全的代表廠商之一,深信服非常幸運(yùn)能夠身處其中����,享受到產(chǎn)業(yè)發(fā)展帶來的紅利,”何朝曦表示���,“這也使我們更加意識到自身應(yīng)該肩負(fù)的責(zé)任���。”2020年��,深信服積極參與了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)相關(guān)標(biāo)準(zhǔn)的制定工作�,而對于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中非常重要的風(fēng)險評估和應(yīng)急響應(yīng)環(huán)節(jié)�����,深信服不僅是國家級應(yīng)急服務(wù)支撐單位�,還是一級信息安全風(fēng)險評估和一級信息安全應(yīng)急處理服務(wù)資質(zhì)單位���,積累充分的風(fēng)險評估和應(yīng)急響應(yīng)能力�。
隨著《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的實施����,關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)和建設(shè)步入規(guī)范化與專業(yè)化,關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)思路更應(yīng)該與時俱進(jìn)�,開拓創(chuàng)新。
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)應(yīng)該“攻防”�����、“隔離和訪問控制”并重
目前���,網(wǎng)絡(luò)安全領(lǐng)域的很多新技術(shù)仍然聚焦在攻防領(lǐng)域���。然而,現(xiàn)實世界里面的安保工作,并不完全是攻防視角的保護(hù)�。常見的包括門禁,保險箱����、安全區(qū)����,這些都是基于控制的、甚至是隔離的措施���,先確保攻擊者無法接觸到被保護(hù)的目標(biāo)���。何朝曦認(rèn)為,基于攻防的措施與基于有效的隔離和訪問控制的措施是并重的���。在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)當(dāng)中��,沒有誰可以完全確保系統(tǒng)沒有漏洞���,也很難有工具做到對所有攻擊都能檢測和防御,但有一些關(guān)鍵信息基礎(chǔ)設(shè)施就是不容有失的�。這時,有效的隔離和訪問控制可能就是好的辦法之一。所以在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面�����,要比其他場景更加重視隔離和訪問控制措施�。“能不聯(lián)互聯(lián)網(wǎng)的就不聯(lián)網(wǎng)�,不得不聯(lián)網(wǎng)的一定要縮小信息交換的范圍,并作嚴(yán)格的檢查��?����!焙纬卣f�,“同時,基于攻防的保護(hù)措施也同樣要采用����,這兩種保護(hù)模式應(yīng)該像擰麻花一樣,相互交錯�����,才能將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)效果進(jìn)一步提升��。”
必須提高關(guān)鍵信息基礎(chǔ)設(shè)施用戶所使用的安全產(chǎn)品和服務(wù)的保護(hù)效果
目前����,大多數(shù)廠商都是用大包大攬的方式提供整體安全方案,導(dǎo)致產(chǎn)品和服務(wù)同質(zhì)化嚴(yán)重��,品質(zhì)不高�����。何朝曦認(rèn)為���,可以從關(guān)鍵信息基礎(chǔ)設(shè)施用戶開始,促進(jìn)供給側(cè)改革���,把產(chǎn)品做精做強(qiáng)���。比如針對關(guān)鍵信息基礎(chǔ)設(shè)施用戶用到的安全產(chǎn)品和服務(wù),實現(xiàn)統(tǒng)一的接口和日志標(biāo)準(zhǔn)��。這樣����,在大部分方案中,每一種安全產(chǎn)品和服務(wù)的替代性就很強(qiáng),用戶就有條件選擇最好的產(chǎn)品和服務(wù)���。然后在關(guān)鍵信息基礎(chǔ)設(shè)施用戶當(dāng)中再建立公開的評價機(jī)制��,最終通過用戶來促進(jìn)廠商把產(chǎn)品和服務(wù)質(zhì)量提升上去�����。
應(yīng)用安全的提升需要安全廠商�,應(yīng)用開發(fā)商和監(jiān)管部門多方共同努力來達(dá)成
網(wǎng)絡(luò)安全問題的源頭很大程度就是漏洞����,而大部分漏洞都是各種應(yīng)用的漏洞。何朝曦認(rèn)為���,提升了應(yīng)用安全���,就很大程度提升了關(guān)鍵信息基礎(chǔ)設(shè)施用戶的整體安全。目前關(guān)鍵信息基礎(chǔ)設(shè)施用戶大多數(shù)使用自研或者行業(yè)應(yīng)用開發(fā)商開發(fā)的應(yīng)用��,這些應(yīng)用開發(fā)人員雖然對用戶的需求理解十分透徹����,但是大部分開發(fā)人員和廠商對安全開發(fā)的重視度都不夠����,甚至有些開發(fā)商對SDL根本不了解�。何朝曦建議,安全廠商可以考慮如何提供工具和服務(wù)來賦能應(yīng)用開發(fā)人員實現(xiàn)安全左移���,即在應(yīng)用的設(shè)計編碼階段就保證安全性����。
“當(dāng)然���,應(yīng)用安全的提升更需要安全廠商、應(yīng)用開發(fā)商和監(jiān)管部門多方共同努力來達(dá)成�����,”何朝曦說��,“我們可以考慮制定一個我們國家的安全開發(fā)能力成熟度模型����,用政策牽引關(guān)鍵信息基礎(chǔ)設(shè)施用戶與安全開發(fā)能力強(qiáng)的軟件廠商合作,促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)用的開發(fā)者不斷提高應(yīng)用的安全開發(fā)能力��。”
9月26日���,國家領(lǐng)導(dǎo)人在向2021年世界互聯(lián)網(wǎng)大會烏鎮(zhèn)峰會的致賀信中指出:“數(shù)字技術(shù)正以新理念�、新業(yè)態(tài)��、新模式全面融入人類經(jīng)濟(jì)�、政治、文化���、社會���、生態(tài)文明建設(shè)各領(lǐng)域和全過程,給人類生產(chǎn)生活帶來廣泛而深刻的影響��。當(dāng)前��,世界百年變局和世紀(jì)疫情交織疊加����,國際社會迫切需要攜起手來,順應(yīng)信息化����、數(shù)字化�����、網(wǎng)絡(luò)化����、智能化發(fā)展趨勢��,抓住機(jī)遇�����,應(yīng)對挑戰(zhàn)�。”數(shù)字技術(shù)的新時代已經(jīng)來臨�����,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作任重道遠(yuǎn)����,深信服將不斷探索�、持續(xù)創(chuàng)新,肩負(fù)起共同構(gòu)建安全網(wǎng)絡(luò)環(huán)境的責(zé)任�,和其他安全廠商一道為切實做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)貢獻(xiàn)智慧與力量���。
