“当前,我国的网络安全仍然存在较大隐患。一方面,基于合规性要求和已知安全风险防护的基础安全防护体系建设取得了良好成效,基本形成了针对商业级安全风险的应对能力;但与此同时,由于存在体系的缺失,安全问题仍会频繁发生。从国家对抗的风险来看,目前我国的网络安全在这个场景下无异于‘裸奔’。”近日,中电长城网际系统应用有限公司总经理贺卫东在接受记者采访时如此表示。
贺卫东说,无论是央企还是其他安全企业,针对所面临的商业级和国家级威胁风险的新变化,迫切需要打造支撑国家安全的自主可控IT产品系统和全新动态安全体系,实现本质安全(国产化替代)和过程安全(产业链安全)的深度融合。
一面是“保护得好”一面是还在“裸奔”
近年来,我国网络安全工作以落实等级保护要求为目标,扎实做好各项工作,组织体系、管理体系、技术体系和建设与运维体系都基本完善,基于合规性要求和已知安全风险防护的基础安全防护体系建设取得良好成效(“保护得好”),基本形成了针对商业级安全风险的应对能力。
但在取得成绩的同时,也要看到,从动态攻防对抗的视角来看,当前还存在着大量未知或已知的“后门”和“漏洞”风险。而这些风险背后体现的实质是,由于对抗能力不可能马上转化成为防护产品,并部署形成防护能力,处置这些风险就必须依靠实时或快速响应。由此可见,安全对抗能力快速运用需要构建对抗服务体系来应对,即用高能力的安全服务去弥补。因为存在体系的缺失,安全问题就会频繁发生。所以从国家对抗的风险来看,目前我国的网络安全在这个场景下,无异于“裸奔”。
据贺卫东介绍,“保护得好”和“裸奔”的根本原因在于新形势下面对的威胁发生了重大变化。当前,我国面临的网络安全威胁可以分为商业级威胁和国家级威胁。国家网络安全面临的核心威胁是国家级网络威胁,即国家间的网络攻击和威慑。“棱镜门”、伊朗核电站等一系列事件表明目前的国家网络空间安全就是国家级网络安全能力的体系化对抗。
通过分析国外网络安全的发展趋势,我们发现,发达国家已经处于智能迭代为特点的智能防御3.0时代,发展中国家部分进入安全可控为特点的主动防御2.0时代,欠发达国家处于合规保障为特点的被动防御1.0时代。而我国现在就处于合规保障被动防御1.0时代,防护级别仅属于商业级安全范畴。与发达国家的现阶段情况相比,我国防护能力与国家级对抗的要求差距明显,且集中体现在发展阶段差异、技术代差、能力代差和投入有限四个方面。
国家网络安全与商业网络安全存在差异
贺卫东介绍,在风险来源、攻击目的、攻击手段、投入方式和防护模式上,国家网络安全与商业网络安全存在显著的差异。
国家网络安全的风险来源于国家网络战部队及国家能力;对方攻击目的为控制或破坏国家关键基础设施;采用的攻击手段为软硬件后门,网络战武器,国家级安全能力;投入方式以国家投入,实现对抗威慑为目标;技术上,采取自主可控、基于威胁的主动防御模式。而商业网络安全的风险来源为黑客团队;攻击目的为获取商业利益;采用的攻击手段为寻找漏洞,层层渗透;投入方式追求合规性和性价比,企业自主投入;采用合规性防御模式;防护能力是产业单一厂商的安全能力。
国家网络安全面对的是国家级对抗的威胁,是国家之间顶级智慧的较量。应该采取的是国家网络安全策略,以能力威慑为基础,对标对抗先进国家的攻防能力,采用国家级安全经济投入,建设全产业技术支撑体系,健全法律威慑为辅,研究突破核心技术打造公共性产品,建设基于国家技术鉴别能力的技术信任体系,支撑关键信息基础设施保护。需要专项投入,有序推进。
商业网络安全面临极端个人、黑客团体和经济犯罪的威胁,应采用商业网络安全策略,以法律威慑为核心,突出技术追溯与执法能力,满足商业网络安全目标;基于投资能力建设单一厂家或部分厂家有限对抗能力的技术支撑体系,健全攻防能力,采购部署大规模可复制的非公共性产品和服务,其技术能力是基于商业信任和市场竞争形成的。
领取专属 10元无门槛券
私享最新 技术干货