10月29日，“2019中國(guó)網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)大會(huì)”在無(wú)錫召開。
 
“新一代數(shù)字化轉(zhuǎn)型信息化技術(shù)的發(fā)展引發(fā)了網(wǎng)絡(luò)安全的變革，面對(duì)有組織的網(wǎng)絡(luò)攻擊，沒(méi)有攻不破的“墻”。”奇安信集團(tuán)副總裁韓永剛在新技術(shù)與新應(yīng)用安全分論壇上提出，“關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)要采用內(nèi)生安全的思想，從安全規(guī)劃開始，進(jìn)行三同步，構(gòu)建新的安全體系”。

奇安信集團(tuán)副總裁韓永剛發(fā)表主題演講

 

據(jù)了解，近些年來(lái)，在《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》、《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0》、《中華人民共和國(guó)密碼法》等一系列政策法規(guī)出臺(tái)的同時(shí)，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》及配套的各類標(biāo)準(zhǔn)，也會(huì)在近期頒布。國(guó)家網(wǎng)絡(luò)安全的戰(zhàn)略及法律法規(guī)標(biāo)準(zhǔn)框架不斷細(xì)化、完善和延伸。
 
關(guān)鍵信息基礎(chǔ)設(shè)施單位會(huì)對(duì)國(guó)計(jì)民生、社會(huì)影響、甚至國(guó)家安全都產(chǎn)生重大的影響，而目前的關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)，在數(shù)字化轉(zhuǎn)型的大潮下，還有很多地方需要變革與改進(jìn)。韓永剛認(rèn)為，傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)缺乏體系化的構(gòu)建，局限在外部的互聯(lián)網(wǎng)，難以將安全要素貫穿到全過(guò)程。“現(xiàn)在必須把安全能力構(gòu)建在內(nèi)部的信息化與業(yè)務(wù)系統(tǒng)上，從而保證信息化環(huán)境能具備內(nèi)生安全能力。”
 
據(jù)介紹，“內(nèi)生安全”是奇安信集團(tuán)基于新一代網(wǎng)絡(luò)安全體系的創(chuàng)新實(shí)踐，奇安信集團(tuán)董事長(zhǎng)齊向東在2019北京網(wǎng)絡(luò)安全大會(huì)上首次提出，得到了業(yè)界的廣泛認(rèn)同。
 
“內(nèi)生安全”是信息化系統(tǒng)內(nèi)生長(zhǎng)出的一種安全能力，隨業(yè)務(wù)的增長(zhǎng)而持續(xù)提升，具備自適應(yīng)、自主和自成長(zhǎng)三個(gè)特點(diǎn)。聚合是實(shí)現(xiàn)“內(nèi)生安全”的必要手段，信息化環(huán)境和安全的聚合，產(chǎn)生自適應(yīng)安全能力；業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的聚合，產(chǎn)生自主安全能力；IT人才和安全人才的聚合，產(chǎn)生自成長(zhǎng)的安全能力。
 
具體到關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)生安全的構(gòu)建層面，韓永剛提出，安全與信息化就像是DNA的雙鏈，是相輔相成的，而它們的關(guān)鍵結(jié)合點(diǎn)，就是在同步規(guī)劃、同步建設(shè)、同步運(yùn)行三個(gè)關(guān)鍵點(diǎn)上。從而做到安全與信息化的深度融合，全面覆蓋，實(shí)戰(zhàn)化運(yùn)行，協(xié)同響應(yīng)。要從應(yīng)對(duì)局部威脅和合規(guī)點(diǎn)的建設(shè)模式，走向面向能力導(dǎo)向建設(shè)模式，關(guān)口前移，構(gòu)建信息化環(huán)境的“內(nèi)生安全”能力，為關(guān)鍵信息基礎(chǔ)設(shè)施的核心數(shù)據(jù)與業(yè)務(wù)運(yùn)營(yíng)提供保障。
 
“在能力建設(shè)過(guò)程中，要基于‘疊加演進(jìn)’原則，通過(guò)體系化的能力建設(shè)，保證信息化系統(tǒng)的‘內(nèi)生安全’能力有效落地。”韓永剛說(shuō)，關(guān)鍵信息基礎(chǔ)設(shè)施要應(yīng)對(duì)多樣化、未知性威脅，首先是要基于網(wǎng)絡(luò)安全滑動(dòng)窗口模型，按照架構(gòu)安全、被動(dòng)防御、積極防御與威脅情報(bào)疊加演進(jìn)思路建設(shè)體系化的安全能力；同時(shí)要將只是防御外部威脅的安全思路，擴(kuò)展為“安全+信任”的新體系，基于“零信任”原則構(gòu)建動(dòng)態(tài)、可信的訪問(wèn)控制體系，將新的防線構(gòu)建在身份、數(shù)據(jù)、業(yè)務(wù)應(yīng)用上，從而不僅抵御外部威脅，也要關(guān)注由于憑證竊取及異常行為所產(chǎn)生的內(nèi)部威脅問(wèn)題。進(jìn)一步還應(yīng)構(gòu)建基于數(shù)據(jù)驅(qū)動(dòng)的的態(tài)勢(shì)感知和安全運(yùn)營(yíng)平臺(tái)等。
 
韓永剛強(qiáng)調(diào)，安全運(yùn)營(yíng)的成熟度也是關(guān)鍵信息基礎(chǔ)設(shè)施評(píng)估的另一個(gè)重要方向。他從數(shù)據(jù)、技術(shù)工具、人員能力等多個(gè)維度，綜合識(shí)別、防護(hù)、檢測(cè)、響應(yīng)、處置等關(guān)鍵信息基礎(chǔ)設(shè)施的安全能力，以構(gòu)建實(shí)戰(zhàn)化的安全運(yùn)營(yíng)。
 
“這其中，人是安全運(yùn)行的關(guān)鍵。”韓永剛說(shuō)，能力導(dǎo)向的內(nèi)生安全體系需要管理、技術(shù)與運(yùn)行一體化，也需要通過(guò)人員組織與技術(shù)平臺(tái)的協(xié)同，實(shí)現(xiàn)“實(shí)戰(zhàn)化”安全運(yùn)營(yíng)，有效保障信息化系統(tǒng)“內(nèi)生安全”能力輸出。

標(biāo)簽： 內(nèi)生安全 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。