齐聚2021世界互联网大会|深信服何朝曦:做实关键信息基础设施安全保护效果新思路

9月26日,2021世界互联网大会在乌镇盛大开幕。世界互联网大会是中国举办的规模最大、层次最高的互联网大会,也是世界互联网领域的最权威会议。深信服作为专注于企业级安全、云计算领域的厂商多次受邀参加,曾作为世界互联网大会的技术服务保障单位之一承担重要工作。今年大会以“迈向数字文明新时代——携手构建网络空间命运共同体”为主题,深信服科技股份有限公司创始人、CEO何朝曦受邀出席,并在“网络安全技术发展和国际合作论坛”发表了“做实关键信息基础设施安全保护效果新思路”的主题演讲,分享深信服关于网络安全领域的前沿观点,为创建更加安全、便捷的网络空间建言献策。

深信服科技股份有限公司创始人、CEO何朝曦主题分享

今年9月1日起,《关键信息基础设施安全保护条例》正式开始实施,这是网络安全产业发展的重要里程碑,也是网络安全护航国计民生的重要落脚点。关键信息基础设施,涉及公共通信和信息服务、金融、国防科技工业等重要行业和领域,关系到社会的稳定运行和健康发展,一旦遭到破坏或者数据泄露,可能严重危害国家安全、国计民生、公共利益。

2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号:《关键信息基础设施安全保护条例》

“作为国内网络安全的代表厂商之一,深信服非常幸运能够身处其中,享受到产业发展带来的红利,”何朝曦表示,“这也使我们更加意识到自身应该肩负的责任。”2020年,深信服积极参与了关键信息基础设施安全保护相关标准的制定工作,而对于关键信息基础设施安全保护中非常重要的风险评估和应急响应环节,深信服不仅是国家级应急服务支撑单位,还是一级信息安全风险评估和一级信息安全应急处理服务资质单位,积累充分的风险评估和应急响应能力。

随着《关键信息基础设施安全保护条例》的实施,关键信息基础设施安全标准和建设步入规范化与专业化,关键信息基础设施保护思路更应该与时俱进,开拓创新。

关键信息基础设施保护应该“攻防”、“隔离和访问控制”并重

目前,网络安全领域的很多新技术仍然聚焦在攻防领域。然而,现实世界里面的安保工作,并不完全是攻防视角的保护。常见的包括门禁,保险箱、安全区,这些都是基于控制的、甚至是隔离的措施,先确保攻击者无法接触到被保护的目标。何朝曦认为,基于攻防的措施与基于有效的隔离和访问控制的措施是并重的。在关键信息基础设施保护当中,没有谁可以完全确保系统没有漏洞,也很难有工具做到对所有攻击都能检测和防御,但有一些关键信息基础设施就是不容有失的。这时,有效的隔离和访问控制可能就是好的办法之一。所以在关键信息基础设施保护方面,要比其他场景更加重视隔离和访问控制措施。“能不联互联网的就不联网,不得不联网的一定要缩小信息交换的范围,并作严格的检查。”何朝曦说,“同时,基于攻防的保护措施也同样要采用,这两种保护模式应该像拧麻花一样,相互交错,才能将关键信息基础设施保护效果进一步提升。”

必须提高关键信息基础设施用户所使用的安全产品和服务的保护效果

目前,大多数厂商都是用大包大揽的方式提供整体安全方案,导致产品和服务同质化严重,品质不高。何朝曦认为,可以从关键信息基础设施用户开始,促进供给侧改革,把产品做精做强。比如针对关键信息基础设施用户用到的安全产品和服务,实现统一的接口和日志标准。这样,在大部分方案中,每一种安全产品和服务的替代性就很强,用户就有条件选择最好的产品和服务。然后在关键信息基础设施用户当中再建立公开的评价机制,最终通过用户来促进厂商把产品和服务质量提升上去。

应用安全的提升需要安全厂商,应用开发商和监管部门多方共同努力来达成

网络安全问题的源头很大程度就是漏洞,而大部分漏洞都是各种应用的漏洞。何朝曦认为,提升了应用安全,就很大程度提升了关键信息基础设施用户的整体安全。目前关键信息基础设施用户大多数使用自研或者行业应用开发商开发的应用,这些应用开发人员虽然对用户的需求理解十分透彻,但是大部分开发人员和厂商对安全开发的重视度都不够,甚至有些开发商对SDL根本不了解。何朝曦建议,安全厂商可以考虑如何提供工具和服务来赋能应用开发人员实现安全左移,即在应用的设计编码阶段就保证安全性。

“当然,应用安全的提升更需要安全厂商、应用开发商和监管部门多方共同努力来达成,”何朝曦说,“我们可以考虑制定一个我们国家的安全开发能力成熟度模型,用政策牵引关键信息基础设施用户与安全开发能力强的软件厂商合作,促进关键信息基础设施应用的开发者不断提高应用的安全开发能力。”

9月26日,国家领导人在向2021年世界互联网大会乌镇峰会的致贺信中指出:“数字技术正以新理念、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设各领域和全过程,给人类生产生活带来广泛而深刻的影响。当前,世界百年变局和世纪疫情交织叠加,国际社会迫切需要携起手来,顺应信息化、数字化、网络化、智能化发展趋势,抓住机遇,应对挑战。”数字技术的新时代已经来临,关键信息基础设施安全保护工作任重道远,深信服将不断探索、持续创新,肩负起共同构建安全网络环境的责任,和其他安全厂商一道为切实做好国家关键信息基础设施安全保护贡献智慧与力量。