深信服何朝曦:做實關鍵信息基礎設施安全保護效果新思路
9月26日,2021世界互聯網大會在烏鎮盛大開幕。世界互聯網大會是中國舉辦的規模最大、層次最高的互聯網大會,也是世界互聯網領域的最權威會議。深信服作為專注于企業級安全、云計算領域的廠商多次受邀參加,曾作為世界互聯網大會的技術服務保障單位之一承擔重要工作。今年大會以“邁向數字文明新時代——攜手構建網絡空間命運共同體”為主題,深信服科技股份有限公司創始人、CEO何朝曦受邀出席,并在“網絡安全技術發展和國際合作論壇”發表了“做實關鍵信息基礎設施安全保護效果新思路”的主題演講,分享深信服關于網絡安全領域的前沿觀點,為創建更加安全、便捷的網絡空間建言獻策。
深信服科技股份有限公司創始人、CEO何朝曦主題分享
今年9月1日起,《關鍵信息基礎設施安全保護條例》正式開始實施,這是網絡安全產業發展的重要里程碑,也是網絡安全護航國計民生的重要落腳點。關鍵信息基礎設施,涉及公共通信和信息服務、金融、國防科技工業等重要行業和領域,關系到社會的穩定運行和健康發展,一旦遭到破壞或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益。
2021年7月30日,國務院總理李克強簽署中華人民共和國國務院令第745號:《關鍵信息基礎設施安全保護條例》
“作為國內網絡安全的代表廠商之一,深信服非常幸運能夠身處其中,享受到產業發展帶來的紅利,”何朝曦表示,“這也使我們更加意識到自身應該肩負的責任。”2020年,深信服積極參與了關鍵信息基礎設施安全保護相關標準的制定工作,而對于關鍵信息基礎設施安全保護中非常重要的風險評估和應急響應環節,深信服不僅是國家級應急服務支撐單位,還是一級信息安全風險評估和一級信息安全應急處理服務資質單位,積累充分的風險評估和應急響應能力。
隨著《關鍵信息基礎設施安全保護條例》的實施,關鍵信息基礎設施安全標準和建設步入規范化與專業化,關鍵信息基礎設施保護思路更應該與時俱進,開拓創新。
關鍵信息基礎設施保護應該“攻防”、“隔離和訪問控制”并重
目前,網絡安全領域的很多新技術仍然聚焦在攻防領域。然而,現實世界里面的安保工作,并不完全是攻防視角的保護。常見的包括門禁,保險箱、安全區,這些都是基于控制的、甚至是隔離的措施,先確保攻擊者無法接觸到被保護的目標。何朝曦認為,基于攻防的措施與基于有效的隔離和訪問控制的措施是并重的。在關鍵信息基礎設施保護當中,沒有誰可以完全確保系統沒有漏洞,也很難有工具做到對所有攻擊都能檢測和防御,但有一些關鍵信息基礎設施就是不容有失的。這時,有效的隔離和訪問控制可能就是好的辦法之一。所以在關鍵信息基礎設施保護方面,要比其他場景更加重視隔離和訪問控制措施。“能不聯互聯網的就不聯網,不得不聯網的一定要縮小信息交換的范圍,并作嚴格的檢查。”何朝曦說,“同時,基于攻防的保護措施也同樣要采用,這兩種保護模式應該像擰麻花一樣,相互交錯,才能將關鍵信息基礎設施保護效果進一步提升。”
必須提高關鍵信息基礎設施用戶所使用的安全產品和服務的保護效果
目前,大多數廠商都是用大包大攬的方式提供整體安全方案,導致產品和服務同質化嚴重,品質不高。何朝曦認為,可以從關鍵信息基礎設施用戶開始,促進供給側改革,把產品做精做強。比如針對關鍵信息基礎設施用戶用到的安全產品和服務,實現統一的接口和日志標準。這樣,在大部分方案中,每一種安全產品和服務的替代性就很強,用戶就有條件選擇最好的產品和服務。然后在關鍵信息基礎設施用戶當中再建立公開的評價機制,最終通過用戶來促進廠商把產品和服務質量提升上去。
應用安全的提升需要安全廠商,應用開發商和監管部門多方共同努力來達成
網絡安全問題的源頭很大程度就是漏洞,而大部分漏洞都是各種應用的漏洞。何朝曦認為,提升了應用安全,就很大程度提升了關鍵信息基礎設施用戶的整體安全。目前關鍵信息基礎設施用戶大多數使用自研或者行業應用開發商開發的應用,這些應用開發人員雖然對用戶的需求理解十分透徹,但是大部分開發人員和廠商對安全開發的重視度都不夠,甚至有些開發商對SDL根本不了解。何朝曦建議,安全廠商可以考慮如何提供工具和服務來賦能應用開發人員實現安全左移,即在應用的設計編碼階段就保證安全性。
“當然,應用安全的提升更需要安全廠商、應用開發商和監管部門多方共同努力來達成,”何朝曦說,“我們可以考慮制定一個我們國家的安全開發能力成熟度模型,用政策牽引關鍵信息基礎設施用戶與安全開發能力強的軟件廠商合作,促進關鍵信息基礎設施應用的開發者不斷提高應用的安全開發能力。”
9月26日,國家主席習近平在向2021年世界互聯網大會烏鎮峰會的致賀信中指出:“數字技術正以新理念、新業態、新模式全面融入人類經濟、政治、文化、社會、生態文明建設各領域和全過程,給人類生產生活帶來廣泛而深刻的影響。當前,世界百年變局和世紀疫情交織疊加,國際社會迫切需要攜起手來,順應信息化、數字化、網絡化、智能化發展趨勢,抓住機遇,應對挑戰。”數字技術的新時代已經來臨,關鍵信息基礎設施安全保護工作任重道遠,深信服將不斷探索、持續創新,肩負起共同構建安全網絡環境的責任,和其他安全廠商一道為切實做好國家關鍵信息基礎設施安全保護貢獻智慧與力量。
