【网络安全是整体的而不是割裂的、网络安全是动态的而不是静态的、网络安全是开放的而不是封闭的、网络安全是共同的而不是孤立】这是我国高层对网络安全的重要认识和指示,从业者需要认真思考并贯彻落实。本文重点探讨一下网络安全在建设过程中如何开放?开放到什么程度?
作者观点:基础标准部分要完全开放,应用部分要相对开放,产品层面要市场开放。一切开放的前提是必须有清晰完整的管理抓手,做到管理可控。
网络安全发展到当下,相关标准和规范比较完善,网络安全在基础层面追求创新或封闭(国家政策要求除外)是错误的,基础标准部分对于应用者完全开放才能保障与标准同步,与国家或行业同步,才能共享整体进步。基于此,在网络安全工作中只要涉及基础部分,无须深究,在无条件遵循的前提下开放即可。
网络安全能否发挥作用,如何应用好是关键因素之一,基础部分不建议创新,但是应用部分是需要创新的。网络安全应用是集应用者智慧的,是涉及应用者相关安全信息的,如果不开放势必导致相互依存,进步性和发展性差,如果完全开放势必对应用单位构成一定安全风险,所以网络安全的应用部分在有条件的进行相对开放是最好的选择。
网络安全最终的落地都需要借助产品和服务,而产品和服务的选择对于应用单位,需把握基础标准完全开放和应用相对开放的前提下,交给市场选择是最好的策略。这个原则无需深入探讨。
网络安全基础部分也好、应用部分也好、产品市场竞争选择也好,如何能选好、用好、管好才是最重要的。网络安全不是单一存在的,需要整体把握,所以对于应用单位需要借助管理抓手解决网络安全基础部分是否达标、应用部分是否满足、应用过程是否正确,另外开放后彼此孰对孰错、应用效果如何、自身情况咋样等问题。解决这些问题就需要应用者要有管理智慧和方法,在开放的前提下,在管理上做到可管、可控,这既是业务和安全的需要,也是单位职能的需要。作者特别强调,在管理上需要关注对下级单位的指导和服务上,相关内容可查阅作者以往的文章。
鉴于网络安全涉及的范围比较广泛,各个层次的差异性也较大,所以至于开放程度问题,要视具体网络安全情况而定,不建议一刀切,幸运的是随着网络安全在我国近些年的发展,有很多的成功案例经验可以借鉴,也有很多失败的教训可以总结,需要的仅是要有清晰的思路和明确的态度。
网络安全很重要,网络安全建设的原则对于从业者需要深入思考,切勿人云亦云或被误导。
把握开放是方向、相对开放是智慧、管理可控是核心,就能在网络安全建设中走得正、走得对、走得远。
【注:本文思想源于作者对诸多案例的分析,大家有选择的借鉴】
参考文章
如何做到管理可控,是信创工作的核心,也是最大的难点
信创工作既要有战略认识,更要有战术智慧
政府的网络安全建设,还应该这样。。。
请注意:网络安全行业尚处在起步阶段
“放管服”是对政务信息化深层次的自我革命