南方財(cái)經(jīng)全媒體記者 吳立洋 上海報(bào)道
近年來,隨著社會(huì)對(duì)網(wǎng)絡(luò)安全重視度的普遍提升,我國(guó)各領(lǐng)域安全建設(shè)已取得一系列發(fā)展成果,整體安全防護(hù)和運(yùn)營(yíng)能力已經(jīng)初步形成,防護(hù)有效性不斷增強(qiáng)。
但另一方面,在人工智能、大數(shù)據(jù)、物聯(lián)網(wǎng)等新一代信息技術(shù)廣泛應(yīng)用的背景下,潛在的網(wǎng)絡(luò)安全威脅與風(fēng)險(xiǎn)也隨之快速增長(zhǎng),我國(guó)整體防御能力提升速度仍滯后于威脅行為體攻擊能力的發(fā)展,對(duì)國(guó)家級(jí)網(wǎng)絡(luò)攻擊的防范能力依然較弱,大量政企機(jī)構(gòu)防御能力不足以有效防范定向勒索攻擊等流行威脅。
為進(jìn)一步提升我國(guó)網(wǎng)絡(luò)安全建設(shè)成效,對(duì)關(guān)鍵基礎(chǔ)設(shè)施等領(lǐng)域有針對(duì)性進(jìn)行安全投入,并帶動(dòng)安全產(chǎn)業(yè)升級(jí)發(fā)展,本次兩會(huì)期間,全國(guó)政協(xié)委員、安天集團(tuán)董事長(zhǎng)肖新光從建立網(wǎng)絡(luò)安全效能導(dǎo)向機(jī)制、加強(qiáng)網(wǎng)絡(luò)安全共性能力建設(shè)等角度提交了提案內(nèi)容,并就如何落實(shí)相關(guān)要求提出了自己的看法。
建立網(wǎng)絡(luò)安全效能導(dǎo)向機(jī)制
從當(dāng)前安全實(shí)踐來看,我國(guó)網(wǎng)絡(luò)安全投入在信息化投入中的占比顯著低于發(fā)達(dá)國(guó)家,一些行業(yè)和領(lǐng)域嘗試以提升這一占比來增加投入,帶動(dòng)能力改善,但整體看進(jìn)展未達(dá)預(yù)期。
“一個(gè)關(guān)鍵問題是以信息化投入作為網(wǎng)絡(luò)安全投入的度量衡存在認(rèn)知誤區(qū)。”肖新光指出,這一認(rèn)知偏差關(guān)鍵在于錯(cuò)誤定義和窄化了網(wǎng)絡(luò)安全的保障目標(biāo)——網(wǎng)絡(luò)安全保障的重點(diǎn)并非IT固定資產(chǎn)投入價(jià)值,而是業(yè)務(wù)和數(shù)據(jù)資產(chǎn)的全量運(yùn)行價(jià)值。
網(wǎng)絡(luò)安全所防范的風(fēng)險(xiǎn)也不只是IT固定資產(chǎn)風(fēng)險(xiǎn),而是全局的業(yè)務(wù)和數(shù)據(jù)資產(chǎn)風(fēng)險(xiǎn),并包括向國(guó)家安全、社會(huì)治理安全與公民個(gè)人安全傳遞的間接風(fēng)險(xiǎn)。業(yè)務(wù)數(shù)據(jù)價(jià)值和風(fēng)險(xiǎn),均遠(yuǎn)高于IT固定資產(chǎn)的價(jià)值與風(fēng)險(xiǎn)。
以在信息化投入中的占比作為主要度量衡,既導(dǎo)致了對(duì)網(wǎng)絡(luò)安全價(jià)值認(rèn)知和風(fēng)險(xiǎn)認(rèn)知的弱化,也并不完全匹配網(wǎng)絡(luò)安全的運(yùn)行規(guī)律,實(shí)際上制約了網(wǎng)絡(luò)安全投入和能力提升。
另一方面,當(dāng)前單純依靠合規(guī)導(dǎo)向無法實(shí)現(xiàn)高水平防御。我國(guó)當(dāng)前已經(jīng)形成了相對(duì)完善的合規(guī)體系,完成了一定網(wǎng)絡(luò)安全防御能力規(guī)劃建設(shè)的必備基礎(chǔ)工作。但由于缺乏構(gòu)建動(dòng)態(tài)綜合防御體系的明確效能指引,加之實(shí)戰(zhàn)演練活動(dòng)中缺乏帶有地緣安全背景的底線化的敵情想定分析推演,現(xiàn)有多數(shù)資產(chǎn)體系依然不足以應(yīng)對(duì)高級(jí)網(wǎng)空威脅行為體的攻擊挑戰(zhàn)。
此外,網(wǎng)絡(luò)安全建設(shè)過度依賴于責(zé)任主體投入能力也是當(dāng)前存在的問題之一。“誰建設(shè)、誰負(fù)責(zé)”,“誰負(fù)責(zé)、誰買單”的責(zé)任制確保了每個(gè)機(jī)構(gòu)都會(huì)落實(shí)網(wǎng)絡(luò)安全工作,成為網(wǎng)絡(luò)安全投入責(zé)任的主體。
但與此同時(shí),也需要看到,網(wǎng)絡(luò)安全建設(shè)水平必然受到投入主體的技術(shù)能力、運(yùn)營(yíng)水平和安全認(rèn)知的制約,特別是投入能力與投入主體的財(cái)務(wù)能力高度關(guān)聯(lián)。導(dǎo)致財(cái)務(wù)能力較弱的單位即使運(yùn)行著極為重要的信息系統(tǒng)和資產(chǎn),也沒有足夠的投入能力,甚至投入為零。
為解決上述問題,肖新光建議:一是構(gòu)建基于運(yùn)行價(jià)值和風(fēng)險(xiǎn)后果的“新度量衡”。網(wǎng)絡(luò)安全并不是信息化的從屬性和依附性元素,需要以保障全量資產(chǎn)價(jià)值和全局風(fēng)險(xiǎn)控制作為網(wǎng)絡(luò)安全的獨(dú)立效能目標(biāo)。完善信息資產(chǎn)的運(yùn)行價(jià)值評(píng)估和被攻擊侵害影響的直接、間接風(fēng)險(xiǎn)后果量化評(píng)估方法,為網(wǎng)絡(luò)安全投入的合理測(cè)算提供了更完整的依據(jù)。
二是建立效能導(dǎo)向建設(shè)機(jī)制,牽引關(guān)基安全建設(shè)向高限落實(shí)。建議相關(guān)部門提供方法體系賦能,協(xié)助關(guān)基機(jī)構(gòu)和重點(diǎn)單位構(gòu)建有效的“敵情想定”,根據(jù)其資產(chǎn)業(yè)務(wù)和數(shù)據(jù)特點(diǎn),疊加到國(guó)際形勢(shì)和地緣安全競(jìng)合中,分析其可能面臨的威脅來源方向,根據(jù)不同威脅行為體的攻擊意圖、攻擊能力、攻擊方式、攻擊技術(shù)、在歷史攻擊活動(dòng)中導(dǎo)致的危害與后果等,綜合分析所需要的投入以及預(yù)期的建設(shè)效果,構(gòu)建以效能為導(dǎo)向的投入框架指引。
三是建立以責(zé)任主體投入為主、機(jī)動(dòng)彈性賦能輔助的多元投入保障機(jī)制。在進(jìn)一步強(qiáng)化關(guān)基單位、政企機(jī)構(gòu)效能導(dǎo)向,加強(qiáng)自身投入的同時(shí),還需正視單純依靠每一個(gè)政企機(jī)構(gòu)的自我投入能力,防范高級(jí)網(wǎng)空威脅行為體的活動(dòng)依然有很大困難,機(jī)構(gòu)自身很難承載對(duì)全量資產(chǎn)最大化提升防護(hù)等級(jí)所需的運(yùn)行成本。
因此,需要完善國(guó)家、地方和行業(yè)層面的彈性防御和賦能機(jī)制,包括國(guó)家和行業(yè)區(qū)域?qū)用娴耐泄苓\(yùn)營(yíng)機(jī)制、安全監(jiān)管與托管協(xié)同互動(dòng)機(jī)制等。以集約化方式構(gòu)建可以在防御目標(biāo)快速部署、機(jī)動(dòng)設(shè)防、動(dòng)態(tài)調(diào)整的防御賦能體系,在達(dá)成防御效能的同時(shí),也降低了被賦能機(jī)構(gòu)的整體投入壓力。
加強(qiáng)網(wǎng)絡(luò)安全共性能力建設(shè)
作為我國(guó)網(wǎng)絡(luò)安全能力的重要支撐,安全產(chǎn)業(yè)既是重要的安全能力保障,也是市場(chǎng)中不可或缺的數(shù)字化產(chǎn)品。但在發(fā)展過程中,由于網(wǎng)絡(luò)安全領(lǐng)域本身有需求細(xì)分特點(diǎn),疊加于歷史上的行業(yè)壁壘、復(fù)雜的產(chǎn)品資質(zhì)體系等因素,導(dǎo)致市場(chǎng)供給形態(tài)由大量碎片化賽道組成。有效安全價(jià)值的效能要素尚未成為市場(chǎng)競(jìng)爭(zhēng)的主導(dǎo)要素,關(guān)系和渠道依然占據(jù)關(guān)鍵作用。
肖新光表示,由于效能導(dǎo)向不足,最低價(jià)中標(biāo)成為主要的競(jìng)爭(zhēng)手段。由于難以取得價(jià)值深耕和差異性創(chuàng)新帶來的溢價(jià),規(guī)模型企業(yè)普遍走向橫向生長(zhǎng)模式:既忽略自身能力棧的支撐能力,無節(jié)制拓展自身產(chǎn)品賽道幅寬,片面追求適配場(chǎng)景全覆蓋,有限研發(fā)能力被迅速攤薄,又依托于廉價(jià)、開源的能力獲取,來進(jìn)一步支撐產(chǎn)品幅寬和能力棧補(bǔ)齊,導(dǎo)致整體供給能力一定程度上處于“樣樣通,樣樣松”的狀態(tài),不僅檢測(cè)防護(hù)能力參差不齊,甚至有些產(chǎn)品自身的代碼安全工程能力也十分低下,反而造成了安全隱患。
此外,在網(wǎng)絡(luò)安全共性能力建設(shè)方面,盡管我國(guó)網(wǎng)安標(biāo)準(zhǔn)體系、國(guó)家漏洞庫建設(shè)都比較成熟,但仍存在在公共安全方法框架體系方面缺少類似CSF、Defend的結(jié)構(gòu)性框架,在威脅模型和知識(shí)體系方面缺少類似MITRE ATT&CK的共性知識(shí)體系等問題。
值得注意的是,針對(duì)上述問題,例如網(wǎng)絡(luò)安全產(chǎn)業(yè)的關(guān)鍵共性能力——威脅檢測(cè)能力。以反病毒引擎研發(fā)維護(hù)為例,需要檢測(cè)與識(shí)別的惡意代碼總量,已經(jīng)超過5萬個(gè)家族、1500萬個(gè)變種,覆蓋超過百億樣本空間,日均新增超過200萬個(gè)。需要大規(guī)模算力和規(guī)模性人力,才能有效支撐其研發(fā)和持續(xù)更新。
但網(wǎng)絡(luò)安全關(guān)系型市場(chǎng)的屬性特點(diǎn),導(dǎo)致價(jià)值分配以客戶界面和直接供應(yīng)商為主導(dǎo),加之上游安全能力是被前端產(chǎn)品封裝的隱性價(jià)值,在價(jià)值鏈視角缺失的情況下,對(duì)于承擔(dān)關(guān)鍵性研發(fā)和運(yùn)營(yíng)成本的創(chuàng)新主體,很難形成對(duì)等的回饋和保障。
對(duì)此,肖新光建議:一是推進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)的結(jié)構(gòu)轉(zhuǎn)型。對(duì)網(wǎng)絡(luò)安全產(chǎn)業(yè)進(jìn)行合理的布局規(guī)劃引導(dǎo),鼓勵(lì)專精、扶持優(yōu)勢(shì)能力發(fā)展,抑制低效投入,促進(jìn)合理分工,引導(dǎo)網(wǎng)絡(luò)安全行業(yè)有序協(xié)同發(fā)展。
二是梳理共性能力需求頻譜,建立共性能力鏈規(guī)劃。深入研究網(wǎng)絡(luò)空間的國(guó)家安全共性能力需求,對(duì)標(biāo)分析發(fā)達(dá)國(guó)家共性知識(shí)與能力建設(shè)現(xiàn)狀,與一體化國(guó)家戰(zhàn)略體系和能力建設(shè)要求對(duì)齊,構(gòu)建包括共性方法、共性技術(shù)、共性知識(shí)、共性平臺(tái)在內(nèi)的功能能力價(jià)值鏈。
三是對(duì)供給高水平共性能力的創(chuàng)新主體進(jìn)行激勵(lì)和保障。積極展開領(lǐng)域共性能力應(yīng)用現(xiàn)狀和共性能力創(chuàng)新主體調(diào)研,了解創(chuàng)新主體面臨的困難和問題,圍繞下一代安全引擎、安全加固內(nèi)核、安全芯片等共性能力進(jìn)行重點(diǎn)支持。
本文鏈接:全國(guó)政協(xié)委員、安天集團(tuán)董事長(zhǎng)肖新光:建立效能導(dǎo)向建設(shè)機(jī)制,牽引關(guān)鍵基礎(chǔ)設(shè)施安全建設(shè)向高限落實(shí)http://www.sq15.cn/show-2-3544-0.html
聲明:本網(wǎng)站為非營(yíng)利性網(wǎng)站,本網(wǎng)頁內(nèi)容由互聯(lián)網(wǎng)博主自發(fā)貢獻(xiàn),不代表本站觀點(diǎn),本站不承擔(dān)任何法律責(zé)任。天上不會(huì)到餡餅,請(qǐng)大家謹(jǐn)防詐騙!若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。
上一篇: 全國(guó)人大代表、科大訊飛董事長(zhǎng)劉慶峰:加快構(gòu)建教育專屬大模型
下一篇: 專訪中科院周城雄:科技創(chuàng)新是新質(zhì)生產(chǎn)力的根基,“人工智能+”賦能產(chǎn)業(yè)升級(jí)丨解碼政府工作報(bào)告