我國(guó)網(wǎng)絡(luò)安全“裸奔”狀況亟需改變
發(fā)布時(shí)間:2018-02-07“當(dāng)前,我國(guó)的網(wǎng)絡(luò)安全仍然存在較大隱患,。一方面,,基于合規(guī)性要求和已知安全風(fēng)險(xiǎn)防護(hù)的基礎(chǔ)安全防護(hù)體系建設(shè)取得了良好成效,,基本形成了針對(duì)商業(yè)級(jí)安全風(fēng)險(xiǎn)的應(yīng)對(duì)能力;但與此同時(shí),,由于存在體系的缺失,,安全問(wèn)題仍會(huì)頻繁發(fā)生。從國(guó)家對(duì)抗的風(fēng)險(xiǎn)來(lái)看,,目前我國(guó)的網(wǎng)絡(luò)安全在這個(gè)場(chǎng)景下無(wú)異于‘裸奔’,。”近日,,中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司總經(jīng)理賀衛(wèi)東在接受記者采訪時(shí)如此表示,。
賀衛(wèi)東說(shuō),無(wú)論是央企還是其他安全企業(yè),,針對(duì)所面臨的商業(yè)級(jí)和國(guó)家級(jí)威脅風(fēng)險(xiǎn)的新變化,,迫切需要打造支撐國(guó)家安全的自主可控IT產(chǎn)品系統(tǒng)和全新動(dòng)態(tài)安全體系,實(shí)現(xiàn)本質(zhì)安全(國(guó)產(chǎn)化替代)和過(guò)程安全(產(chǎn)業(yè)鏈安全)的深度融合,。
一面是“保護(hù)得好”一面是還在“裸奔”
近年來(lái),,我國(guó)網(wǎng)絡(luò)安全工作以落實(shí)等級(jí)保護(hù)要求為目標(biāo),扎實(shí)做好各項(xiàng)工作,,組織體系,、管理體系、技術(shù)體系和建設(shè)與運(yùn)維體系都基本完善,,基于合規(guī)性要求和已知安全風(fēng)險(xiǎn)防護(hù)的基礎(chǔ)安全防護(hù)體系建設(shè)取得良好成效(“保護(hù)得好”),,基本形成了針對(duì)商業(yè)級(jí)安全風(fēng)險(xiǎn)的應(yīng)對(duì)能力。
但在取得成績(jī)的同時(shí),,也要看到,,從動(dòng)態(tài)攻防對(duì)抗的視角來(lái)看,當(dāng)前還存在著大量未知或已知的“后門(mén)”和“漏洞”風(fēng)險(xiǎn),。而這些風(fēng)險(xiǎn)背后體現(xiàn)的實(shí)質(zhì)是,,由于對(duì)抗能力不可能馬上轉(zhuǎn)化成為防護(hù)產(chǎn)品,并部署形成防護(hù)能力,,處置這些風(fēng)險(xiǎn)就必須依靠實(shí)時(shí)或快速響應(yīng),。由此可見(jiàn),安全對(duì)抗能力快速運(yùn)用需要構(gòu)建對(duì)抗服務(wù)體系來(lái)應(yīng)對(duì),,即用高能力的安全服務(wù)去彌補(bǔ),。因?yàn)榇嬖隗w系的缺失,安全問(wèn)題就會(huì)頻繁發(fā)生,。所以從國(guó)家對(duì)抗的風(fēng)險(xiǎn)來(lái)看,,目前我國(guó)的網(wǎng)絡(luò)安全在這個(gè)場(chǎng)景下,無(wú)異于“裸奔”。
據(jù)賀衛(wèi)東介紹,,“保護(hù)得好”和“裸奔”的根本原因在于新形勢(shì)下面對(duì)的威脅發(fā)生了重大變化,。當(dāng)前,,我國(guó)面臨的網(wǎng)絡(luò)安全威脅可以分為商業(yè)級(jí)威脅和國(guó)家級(jí)威脅,。國(guó)家網(wǎng)絡(luò)安全面臨的核心威脅是國(guó)家級(jí)網(wǎng)絡(luò)威脅,即國(guó)家間的網(wǎng)絡(luò)攻擊和威懾,?!袄忡R門(mén)”、伊朗核電站等一系列事件表明目前的國(guó)家網(wǎng)絡(luò)空間安全就是國(guó)家級(jí)網(wǎng)絡(luò)安全能力的體系化對(duì)抗,。
通過(guò)分析國(guó)外網(wǎng)絡(luò)安全的發(fā)展趨勢(shì),,我們發(fā)現(xiàn),發(fā)達(dá)國(guó)家已經(jīng)處于智能迭代為特點(diǎn)的智能防御3.0時(shí)代,,發(fā)展中國(guó)家部分進(jìn)入安全可控為特點(diǎn)的主動(dòng)防御2.0時(shí)代,,欠發(fā)達(dá)國(guó)家處于合規(guī)保障為特點(diǎn)的被動(dòng)防御1.0時(shí)代。而我國(guó)現(xiàn)在就處于合規(guī)保障被動(dòng)防御1.0時(shí)代,,防護(hù)級(jí)別僅屬于商業(yè)級(jí)安全范疇,。與發(fā)達(dá)國(guó)家的現(xiàn)階段情況相比,我國(guó)防護(hù)能力與國(guó)家級(jí)對(duì)抗的要求差距明顯,,且集中體現(xiàn)在發(fā)展階段差異,、技術(shù)代差、能力代差和投入有限四個(gè)方面,。
國(guó)家網(wǎng)絡(luò)安全與商業(yè)網(wǎng)絡(luò)安全存在差異
賀衛(wèi)東介紹,,在風(fēng)險(xiǎn)來(lái)源、攻擊目的,、攻擊手段,、投入方式和防護(hù)模式上,國(guó)家網(wǎng)絡(luò)安全與商業(yè)網(wǎng)絡(luò)安全存在顯著的差異,。
國(guó)家網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)來(lái)源于國(guó)家網(wǎng)絡(luò)戰(zhàn)部隊(duì)及國(guó)家能力,;對(duì)方攻擊目的為控制或破壞國(guó)家關(guān)鍵基礎(chǔ)設(shè)施;采用的攻擊手段為軟硬件后門(mén),,網(wǎng)絡(luò)戰(zhàn)武器,,國(guó)家級(jí)安全能力;投入方式以國(guó)家投入,,實(shí)現(xiàn)對(duì)抗威懾為目標(biāo),;技術(shù)上,采取自主可控,、基于威脅的主動(dòng)防御模式,。而商業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)來(lái)源為黑客團(tuán)隊(duì);攻擊目的為獲取商業(yè)利益,;采用的攻擊手段為尋找漏洞,,層層滲透,;投入方式追求合規(guī)性和性?xún)r(jià)比,企業(yè)自主投入,;采用合規(guī)性防御模式,;防護(hù)能力是產(chǎn)業(yè)單一廠商的安全能力。
國(guó)家網(wǎng)絡(luò)安全面對(duì)的是國(guó)家級(jí)對(duì)抗的威脅,,是國(guó)家之間頂級(jí)智慧的較量,。應(yīng)該采取的是國(guó)家網(wǎng)絡(luò)安全策略,以能力威懾為基礎(chǔ),,對(duì)標(biāo)對(duì)抗先進(jìn)國(guó)家的攻防能力,,采用國(guó)家級(jí)安全經(jīng)濟(jì)投入,建設(shè)全產(chǎn)業(yè)技術(shù)支撐體系,,健全法律威懾為輔,,研究突破核心技術(shù)打造公共性產(chǎn)品,建設(shè)基于國(guó)家技術(shù)鑒別能力的技術(shù)信任體系,,支撐關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),。需要專(zhuān)項(xiàng)投入,有序推進(jìn),。
商業(yè)網(wǎng)絡(luò)安全面臨極端個(gè)人,、黑客團(tuán)體和經(jīng)濟(jì)犯罪的威脅,應(yīng)采用商業(yè)網(wǎng)絡(luò)安全策略,,以法律威懾為核心,,突出技術(shù)追溯與執(zhí)法能力,滿足商業(yè)網(wǎng)絡(luò)安全目標(biāo),;基于投資能力建設(shè)單一廠家或部分廠家有限對(duì)抗能力的技術(shù)支撐體系,,健全攻防能力,采購(gòu)部署大規(guī)??蓮?fù)制的非公共性產(chǎn)品和服務(wù),,其技術(shù)能力是基于商業(yè)信任和市場(chǎng)競(jìng)爭(zhēng)形成的。
三大策略解決國(guó)家網(wǎng)絡(luò)安全問(wèn)題
賀衛(wèi)東表示,,我們國(guó)家非常重視網(wǎng)絡(luò)安全,,成立了中央網(wǎng)信辦,制定并頒布了國(guó)家網(wǎng)絡(luò)安全法,,網(wǎng)絡(luò)安全與信息化已經(jīng)上升為國(guó)家戰(zhàn)略,。
解決國(guó)家網(wǎng)絡(luò)安全問(wèn)題,首先要遵循網(wǎng)絡(luò)安全的經(jīng)濟(jì)規(guī)律,。面對(duì)“攻擊的成本越來(lái)越低,,防御的成本越來(lái)越高”的客觀現(xiàn)實(shí),花多少錢(qián),怎樣花錢(qián)來(lái)保障安全,,一直是這些年安全界所關(guān)心的重要問(wèn)題,。網(wǎng)絡(luò)安全覆蓋從終端到網(wǎng)絡(luò),從應(yīng)用到系統(tǒng),,從軟件到硬件,,從管理到法律,范圍之廣,、門(mén)類(lèi)之多容易造成網(wǎng)絡(luò)安全防不勝防,。那么,究竟需要在安全上投入多少錢(qián),?這個(gè)問(wèn)題似乎沒(méi)有一個(gè)絕對(duì)的答案。安全是動(dòng)態(tài)的,,從技術(shù)的視角來(lái)看,,任何信息化系統(tǒng)都是存在缺陷的。網(wǎng)絡(luò)安全產(chǎn)品本身就是對(duì)現(xiàn)有技術(shù)的固化(產(chǎn)品化),,所以當(dāng)它面市時(shí),,它的技術(shù)就已過(guò)時(shí)。所以安全應(yīng)該是相對(duì)的,,絕對(duì)的安全恐怕只在理論上存在,。在實(shí)際中,需要進(jìn)行安全與成本的平衡,,即用“最小”的成本來(lái)達(dá)到“最佳”的效果,,這也導(dǎo)致新的信息安全理論轉(zhuǎn)向了“基于攻擊環(huán)境下的主動(dòng)防御”模式,主要技術(shù)特點(diǎn)體現(xiàn)為自主可控,、可信計(jì)算和動(dòng)態(tài)監(jiān)控,。而在商業(yè)模式上則體現(xiàn)為平臺(tái)與服務(wù)廠商聚合化。
其次,,要洞察網(wǎng)絡(luò)產(chǎn)業(yè)的演變方向,。目前網(wǎng)絡(luò)安全技術(shù)已走向?qū)崟r(shí)監(jiān)測(cè)及風(fēng)險(xiǎn)預(yù)防控制,網(wǎng)絡(luò)安全業(yè)態(tài)也從原先的“產(chǎn)品業(yè)態(tài)”走向了“服務(wù)業(yè)態(tài)”,。網(wǎng)絡(luò)安全的提供將由專(zhuān)業(yè)的網(wǎng)絡(luò)安全服務(wù)商來(lái)完成,,而非某些特定產(chǎn)品廠商。
最后,,把握網(wǎng)絡(luò)安全技術(shù)演進(jìn)路線,。針對(duì)面臨的商業(yè)級(jí)和國(guó)家級(jí)威脅風(fēng)險(xiǎn),為實(shí)現(xiàn)國(guó)家安全的目標(biāo),,迫切需要打造支撐國(guó)家安全的安全服務(wù)體系,,打造國(guó)之重器:發(fā)現(xiàn)之眼——練就風(fēng)險(xiǎn)和威脅預(yù)警監(jiān)測(cè)的火眼金睛;防護(hù)之穹——構(gòu)建國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)的金剛罩;追蹤之劍——鍛造一招制敵,、有效威懾的殺手锏,;應(yīng)急之隊(duì)——形成響應(yīng)迅速、指揮有序,、保障有力的快反之師,;重建之能——提升網(wǎng)絡(luò)空間基礎(chǔ)設(shè)施重構(gòu)的恢復(fù)之力;長(zhǎng)久之才——筑建網(wǎng)絡(luò)空間攻防人才隊(duì)伍培養(yǎng)的新高地,。
“漏洞”與“后門(mén)”的應(yīng)對(duì)之道
賀衛(wèi)東建議,,以平臺(tái)共享經(jīng)濟(jì)模式,有效聚合服務(wù)能力,,以結(jié)果付費(fèi)解決動(dòng)態(tài)安全的“漏洞”問(wèn)題和國(guó)家能力傳導(dǎo)互動(dòng)問(wèn)題,。
聚合模式就是充分發(fā)揮共享經(jīng)濟(jì)、平臺(tái)經(jīng)濟(jì),、智慧經(jīng)濟(jì)的優(yōu)越性,,通過(guò)平臺(tái)積聚各類(lèi)資源,有效實(shí)現(xiàn)能力與需求的協(xié)同,。這就好比,,醫(yī)院看病的“專(zhuān)家會(huì)診”模式。網(wǎng)絡(luò)安全與看病類(lèi)似,,滿足客戶需求的方式已由“單個(gè)醫(yī)生問(wèn)診”轉(zhuǎn)向“專(zhuān)家會(huì)診”,,促成產(chǎn)業(yè)鏈由單一的供應(yīng)鏈向復(fù)合供應(yīng)體系轉(zhuǎn)型升級(jí),以軍民融合的方式解決國(guó)家安全和商業(yè)安全不同安全服務(wù)能力的要求,。通過(guò)構(gòu)筑基于建立國(guó)家,、產(chǎn)品供應(yīng)商、安全服務(wù)商,、用戶“四位一體”的網(wǎng)絡(luò)安全保障平臺(tái),,將多維度的安全監(jiān)測(cè)、監(jiān)管與商業(yè)服務(wù)體系融合作為國(guó)家網(wǎng)絡(luò)安全體系的重要組成部分,。推動(dòng)動(dòng)態(tài)能力轉(zhuǎn)換,,以結(jié)果論英雄,解決濫竽充數(shù),、劣幣驅(qū)逐良幣的問(wèn)題,。因此,平臺(tái)化是安全服務(wù)產(chǎn)業(yè)規(guī)?;?、集約化、聚合化的產(chǎn)業(yè)升級(jí)和科學(xué)發(fā)展的必由之路,。
與此同時(shí),,以安全服務(wù)產(chǎn)業(yè)鏈的全過(guò)程安全的深度融合,,建立基于攻擊語(yǔ)境下的主動(dòng)防護(hù)體系,推動(dòng)IT產(chǎn)品自帶免疫能力,,成為安全的IT產(chǎn)品,,解決“后門(mén)問(wèn)題”。
從全球網(wǎng)絡(luò)安全產(chǎn)業(yè)格局的發(fā)展可以發(fā)現(xiàn),,網(wǎng)絡(luò)安全產(chǎn)品的發(fā)展趨勢(shì)逐步開(kāi)始轉(zhuǎn)向“安全的IT產(chǎn)品”,。網(wǎng)絡(luò)安全產(chǎn)品走向?qū)I(yè)化,橫向并購(gòu)明顯,,小型網(wǎng)絡(luò)安全產(chǎn)品開(kāi)發(fā)商不斷被大型IT廠商合并以完善自身產(chǎn)品,,使得新的IT產(chǎn)品不僅有業(yè)務(wù)處理能力也有安全免疫的能力。
當(dāng)前我們的自主可信的產(chǎn)業(yè)生態(tài)體系有序推進(jìn),。已經(jīng)形成基本完整的產(chǎn)業(yè)鏈,。具備包括CPU(中央處理器)、DDR4(第四代內(nèi)存),、網(wǎng)絡(luò)芯片,、網(wǎng)絡(luò)設(shè)備、災(zāi)備,、基礎(chǔ)軟件、應(yīng)用系統(tǒng)開(kāi)發(fā)平臺(tái)在內(nèi)的關(guān)鍵核心技術(shù),。以可信技術(shù)為紐帶,,本質(zhì)安全和過(guò)程安全深度融合的全新動(dòng)態(tài)安全體系,基本實(shí)現(xiàn)自主可控安全的IT產(chǎn)品系統(tǒng)與應(yīng)用,。
中國(guó)電子超前布局形成多重經(jīng)驗(yàn)
據(jù)賀衛(wèi)東介紹,,基于國(guó)家安全需求這個(gè)最終目標(biāo),中國(guó)電子打造網(wǎng)絡(luò)安全的保護(hù)體系,,即本質(zhì)安全(國(guó)產(chǎn)化替代)和過(guò)程安全(產(chǎn)業(yè)鏈安全),。
中國(guó)電子結(jié)合下屬企業(yè)情況,明確長(zhǎng)城網(wǎng)際為“過(guò)程安全”的牽頭企業(yè),,面向成都,、中山等地方政府和能源廣電等重要行業(yè)信息系統(tǒng)的安全需求,采用聚合,、共享,、共建、共御策略,,按照“可發(fā)現(xiàn),、可防護(hù)、可控制,、可替代,、有能力”目標(biāo)框架,,創(chuàng)造性、定制化地開(kāi)展信息安全服務(wù),,基本建立了本質(zhì)安全,、過(guò)程安全和可信技術(shù)體系產(chǎn)業(yè)鏈。
一是平臺(tái)建設(shè)形成體系格局,。搭建了“1個(gè)安全數(shù)據(jù)分析中心,、5個(gè)區(qū)域節(jié)點(diǎn)、2個(gè)直轄市,、9個(gè)地區(qū)子節(jié)點(diǎn)”的網(wǎng)絡(luò)化產(chǎn)業(yè)服務(wù)體系格局,。在線安全服務(wù)模式、行業(yè)定制化服務(wù)模式,、安全的IT資源服務(wù)外包模式均在多地得到應(yīng)用,。
二是核心技術(shù)攻關(guān)取得實(shí)質(zhì)性突破。長(zhǎng)城網(wǎng)際所屬企業(yè)可信華泰圍繞可信計(jì)算打造本質(zhì)安全,,建立起主動(dòng)防御免疫體系和計(jì)算體系合一的雙體系系統(tǒng),,在計(jì)算和可信雙結(jié)構(gòu)構(gòu)建等方面具有重大創(chuàng)新,總體達(dá)到國(guó)際先進(jìn)水平,,可信主動(dòng)動(dòng)態(tài)度量控制等技術(shù)達(dá)到國(guó)際領(lǐng)先水平,。
三是生態(tài)圈建設(shè)成效顯著。構(gòu)建產(chǎn)業(yè)生態(tài)圈和用戶生態(tài)圈,,形成安全服務(wù)生態(tài)鏈,。加強(qiáng)與公安、安全,、工信,、保密等部門(mén)的密切合作,建立了由80多家合作伙伴組成的生態(tài)圈,,提高了國(guó)際對(duì)抗的產(chǎn)業(yè)能力,,形成了“國(guó)進(jìn)民升”的產(chǎn)業(yè)格局。
四是構(gòu)建新的網(wǎng)信產(chǎn)業(yè)體系,。本質(zhì)安全方面具備包括CPU(中央處理器),、DDR4(第四代內(nèi)存)、網(wǎng)絡(luò)芯片等關(guān)鍵核心技術(shù),;過(guò)程安全方面實(shí)現(xiàn)了從防護(hù),、發(fā)現(xiàn)、控制,、處置,、能力建設(shè)到生態(tài)圈的信息安全高端服務(wù)業(yè)的產(chǎn)業(yè)鏈打造;構(gòu)建新的安全體系方面,,形成以可信技術(shù)為紐帶,,將本質(zhì)安全和過(guò)程安全深度融合的全新動(dòng)態(tài)安全體系,。
五是探索形成新的商業(yè)模式。探索實(shí)踐了“IOS”服務(wù)模式,、聚合服務(wù)模式,,平臺(tái)在項(xiàng)目上得到了實(shí)踐,充分表明眾測(cè)眾分,、線下線上相結(jié)合,、按分析結(jié)果付費(fèi)的聚合服務(wù)模式能夠有效提升安全服務(wù)能力。通過(guò)“國(guó)進(jìn)民升”,,建立了安全大數(shù)據(jù)開(kāi)放性分析平臺(tái),,推出了可信計(jì)算雙創(chuàng)社區(qū),以行業(yè)化聯(lián)合推動(dòng)“雙創(chuàng)”,,建設(shè)了國(guó)企進(jìn)入,、帶動(dòng)民企的共贏產(chǎn)業(yè)環(huán)境。(來(lái)源:鋰電網(wǎng))
