“4•19”讲话八周年 网安产业在机遇与挑战中踔厉奋发
2016年4月19日,网络安全和信息化工作座谈会在京召开。会议讲话主张推进网络强国建设,推动我国网信事业发展,让互联网更好造福国家和人民。
在“4·19”讲话精神及总体国家安全观的指引下,我国网络安全产业快速发展,顶层设计、技术创新等相关工作扎实推进,取得显著进步和成绩。值此重要讲话发表八周年之际,我们围绕部分论述,一同回顾践行网络强国的切实行动,以及面临新风险形势的应对举措。
关于
加快构建关基安全保障体系
金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。
——“4.19”讲话
国际战略格局演变不停,围绕关基设施的攻防较量已成为网络空间高烈度对抗的主战场。绿盟科技在接受安全419采访时表示,随着技术应用的日新月异发展和安全风险的日益严峻,关基安全建设面临的痛点也与日俱增,可主要归纳为以下三个方面:
技术的可信任问题
在数字化环境中强化关键信息基础设施保护,需要紧密依靠技术手段,而关键信息基础设施对国家网络安全乃至国家安全的重要性,则直接决定了技术必须具备可信任的属性。这种信任不仅包括能力可信任、访问可信任,也包括供应链可信任。
产品的覆盖度问题
重要领域关键信息基础设施覆盖范围广泛,其运行状态各异、防护需求更是千差万别。这就要求关基安全产品和方案需要越来越体现全领域、全要素、全类型的特征。
安全服务的有效性问题
服务比重逐步提升是网络安全产业发展的趋势和规律,而信息技术与关键信息基础设施行业应用的深度融合则决定了网络安全服务的最终衡量指标必然是实战化。即,关键信息基础设施网络安全服务应当满足以战领建、按需调度、高效攻防等基本特征。
美创科技高级总监丁斐对此认为,关基运营者面临如何搭建网络安全体系、安全运营体系、安全人员能力建设、管理制度体系等维度的建设难点,同时面临威胁多样化和升级、安全投入不足、技术更新和升级困难、人才短缺和培训不足、合规压力增加等建设痛点。具体表现在:
威胁多样化和升级
关键信息基础设施常年面临来自内部和外部的各种威胁,包括勒索软件、供应链攻击、APT等,这些威胁不断演变和升级,增加了安全建设的难度。
安全投入不足
一些关键信息基础设施运营者在安全方面的投入可能不足,导致安全设施和人员配备不足,无法有效应对复杂的安全威胁。
技术更新和升级困难
一些关键信息基础设施存在技术更新和升级困难的问题,可能是由于系统复杂性、历史遗留问题或者对业务连续性的担忧。
人才短缺和培训不足
安全领域的专业人才相对稀缺,且安全技术更新迅速,运营者可能面临人才招聘和培训不足的问题。
合规压力增加
随着法规和标准对关键信息基础设施安全的要求不断提高,运营者可能面临来自监管机构和行业标准的合规压力。
谈及合规及监管趋势,2021年9月,《关键信息基础设施安全保护条例》(以下简称《关保条例》)实施,明确了关键信息基础设施安全保护的具体要求和措施。随后,我国首个关键信息基础设施安全保护标准《信息安全技术 关键信息基础设施安全保护要求》(以下简称《关保要求》)于2023年5月实施,进一步推动各领域全面开展关键信息基础设施安全保障工作。
美创科技高级总监丁斐分析指出,上述政策规定了从分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等六方面的安全要求,为关基运营者开展安全保护工作提供重要依据和安全体系建设方法论。
首先是依法管理,《关保条例》和《关保要求》均强调依法管理关键信息基础设施安全,运营者应当依法履行信息安全管理的责任和义务;其次是分类分级,根据关键信息基础设施的重要性和敏感程度,实施分类分级管理,采取相应的安全防护措施,以确保安全等级与威胁风险相匹配;再者是风险评估,进行全面、科学的安全风险评估和安全治理,识别关键信息基础设施面临的各种安全威胁和风险,为制定有效的安全防护措施提供依据。
绿盟科技进一步指出,《关保要求》在《关保条例》基础上,对于关基运营者提出了更加细化和突出重点的保护要求。一方面,强化了关基保护与等保要求的衔接:如《保护要求》提出的总体建设思路与等保制度的“三化六防”中某些理念一脉相承。另一方面,进一步明确了重点保护措施:在满足“合规性”防护的基础上,重点加强关键信息基础设施关键业务的风险识别、监测预警、主动防御等方面能力建设。
面对关基安全建设的痛点和与日俱增的合规压力,安全专家们也对关基运营者提供了切实可行的建议。
基于前述《关保条例》和《关保要求》的依法管理、分类分级、风险评估的重要原则,美创科技高级总监丁斐提出,关基运营者应加强安全投入、建立完善的安全管理体系、加强技术更新与升级、加强合规管理等方面的应对措施,以提升关键信息基础设施的安全保障能力:
1
加强安全投入
运营者应增加对关键信息基础设施安全的投入,包括技术设备更新、安全人员培训等,以提升安全防护能力。
2
建立完善的安全管理体系
根据《关保要求》的要求,建立健全的信息安全管理体系,包括安全策略与规划、安全组织与人员、安全技术与设备、安全运行与维护、安全监测与应急处置等方面。
3
加强技术更新与升级
运营者应及时对关键信息基础设施进行技术更新和升级,采用最新的安全技术和设备,提高系统的安全性和可靠性。
4
加强合规管理
运营者应及时对关键信息基础设施进行技术更新和升级,采用最新的安全技术和设备,提高系统的安全性和可靠性。
绿盟科技建议关基运营者可从三个方面建立健全体系化的应对举措:
1
构建“可信任”的技术体系
提升核心关键技术访问、能力和供应链的可信性,重点关注四类技术:关键信息基础设施安全风险感知和识别技术、关键信息基础设施系统漏洞检测技术、关键信息基础设施数据标识和管理技术、关键信息基础设施网络威胁溯源和取证技术等。
2
夯实“全场景”的产品和方案体系
可由行业主管部门主导,结合行业自身需求,建设本行业的“产品和方案资源池”,以供不同单位按需采用。明确重点产品和方案如:关键信息基础设施安全评估产品、关键信息基础设施安全检测产品、关键信息基础设施安全增强防护产品、关键信息基础设施安全运行监测平台等。
3
建立“实战化”的服务保障
以网络攻防实战的要求,持续提升关基安全服务的保障能力和水平,加快完善关键信息基础设施安全服务体系。重点强化四类服务:关键信息基础设施安全应急处置服务、关键信息基础设施安全演练服务、关键信息基础设施安全教育培训服务、关键信息基础设施安全一体化运营服务等。
关于
尽快在核心技术上取得突破
互联网核心技术是我们最大的“命门”,核心技术受制于人是我们最大的隐患。一个互联网企业即便规模再大、市值再高,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。我们要掌握我国互联网发展主动权,保障互联网安全、国家安全,就必须突破核心技术这个难题,争取在某些领域、某些方面实现“弯道超车”。
——“4.19”讲话
面对波谲云诡的国际政治环境和数字化转型等国内产业升级影响,近年来,信息技术应用创新产业迈入高速发展阶段。网络安全作为整个产业链中贯穿始终的底座支撑,是保障经济平稳运行、社会安定、公民隐私权益和国家安全的关键。在信创产业的发展带动下,信创网络安全领域也迎来增长的黄金时代,步入该赛道的新势力不断增加。
酷德啄木鸟对信创网络安全产业的发展机遇表示看好,首先是促进自主创新,国产化替代有助于减少对外国技术的依赖,推动国内技术自主创新和发展。同时增强供应链可控性,通过使用国产化安全产品和服务,可以增强国家关键信息基础设施的供应链安全可控。此外具有政策支持,国家层面对于信创安全给予了高度重视,出台了一系列支持政策,为信创安全企业提供了良好的发展环境。
与此同时诸多现实挑战也不容忽视,在技术成熟度方面,国产化安全产品在技术成熟度和市场经验方面与国际相比有很大的进步空间。在生态建设方面,信创安全生态尚在建设之中,与之相配套的技术和服务体系尚不完善。此外还有用户信任和成本考虑问题,用户对于新出现的安全产品和解决方案可能存在信任度不足的问题,国产化替代可能涉及额外的成本,包括技术改造、人员培训等。
面对上述机遇与挑战,酷德啄木鸟建议从以下几个方面进行创新发力的探索:
1
技术创新
持续加强研发投入,推动核心技术的突破,提高信创安全产品的性能和可靠性。
2
生态建设
推动行业内的合作与交流,构建完善的信创安全生态体系,实现资源共享和优势互补。
3
人才培养
加强信创安全领域的人才培养,提升专业人才素质,为行业发展提供人力支持。
安全419顺势了解到,为推动行业内的合作与交流,构建完善的信创安全生态体系,中国移动联合酷德啄木鸟携手搭建了“中国移动&酷德啄木鸟联合信创实验室”。针对前述的创新发力探索建议,安全419进一步了解到,在技术创新层面,该实验室不仅仅做的是国产化适配认证,还能提供具有特色的安全服务,通过人工智能大模型为用户实现代码知识产权明确管理、代码安全检测、自研率检测、代码质量溯源,为信创适配打造坚实的软件安全基础。在生态建设上,做到了集中资源,把多方信创能力集合到实验室,用户可实现一站式信创能力适配服务,做到了合理化资源配置,缩短适配周期。
总而言之,信创安全的创新发力需要紧密结合用户需求和市场变化,以技术创新为核心,全面提升信创安全产品的竞争力。同时,应充分发挥政策引导作用,推动产业上下游的协同发展,共同构建更为安全、可靠的信息技术环境。
关于
正确处理安全和发展的关系
网络安全和信息化是相辅相成的。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。树立正确的网络安全观。理念决定行动。当今的网络安全,有几个主要特点,网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。
——“4.19”讲话
在处理安全与业务发展、数字化转型的关系时,美创科技高级总监丁斐提出需要采取综合的方法。首先,网络安全不应被视为单一的成本项,而是应该被视为对业务提供赋能的关键组成部分。这意味着安全策略应该与业务目标对齐,以支持业务的可持续增长和数字化转型。同时网络安全建设需要在业务规划以及公司战略的基本面上构建,更好地为业务发展和公司战略提供保障。
网络安全需要与业务发展紧密结合,并融合零信任架构、人工智能和机器学习、安全自动化和编排、云原生安全、应用大模型等先进理念实现产品力和综合服务能力提升,让安全建设实战化、体系化、常态化,满足合规、实战并重的安全需求,同时通过新的框架体系和技术产品应用既能支持业务的数字化转型也能为网络安全企业实现增产增效及规模化发展。
未来,随着数字经济新模式和新业态蓬勃发展,在制度落地和技术创新等多重因素推动下,可以预见,我国网络安全产业将继续迎接产业新机遇和市场新动能,网络安全产业规模将保持高速增长。期待各方以更加坚定的意志与务实的举措,交出一份更精彩的网络强国答卷。
END
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送