网络安全厂商应转换意识,网络安全需求已由“合规”转变成为“合法”。11月26日,奇安信集团总裁吴云坤出席了2021(第十六届)中国电子政务论坛暨首届数字政府建设峰会,在网络与信息安全专题论坛的“政府数据开放后的安全治理”圆桌论坛环节中,围绕个人信息保护法及相关合规要求与政务信息化的建设趋势发表看法,并分享了奇安信作为政务服务工作者的思考。
吴云坤认为,谈到数据安全,目前网络安全服务厂商的四个观念亟待转变:
首先,安全已由以往的仅仅需要合规,转换成为需要合法。安全厂商需要转换意识,对于网络安全建设的需求与要求已提升到了法律层面。在某些情况下,如违反法律法规,将会面临刑事责任。
其次,安全与信息化的关系已由先发展后治理,转变成为先治理、同步发展。今年7月以来,国家密集出台多项法律法规、政策制度和监管手段,可以看出国家思路已成为首先要进行安全治理,同步进行信息化系统的规划、建设和运营安全体系。
此外,服务商的方法论应采用内生安全理念,将安全理念融合到技术、框架、系统级的规划中去。以往服务商的技术多为查缺补漏,看到有漏洞的再进行修复,这种方式已经落后了。现在对于网络安全的需求已变为,网络安全与系统同步规划、同步建设、同步运行,将安全内涵拆解,融入到技术中去。
最后,网络安全服务厂商应由以往的旁观者,变为参与者与先导者。由于以往对于网络安全的需求有限,但目前网络安全已融入到系统中的方方面面,厂商的安全责任应从以往的有限责任制,转变为无限责任制。
吴云坤通过奇安信经手的四个案例,分享了目前行业面临的四项技术变化难点:
第一大难点在于数据管理滞后于技术发展。在奇安信接手的一家央企案例中,最大难题不是技术,而是数据无确定部门管理。但这并非个例,也非特例,有很多大型公司面临数据管理组织没统一、权限未建立、策略不清楚等问题。在进一步落实安全技术之前,应管理先行、落实权限、构建数据管理机制。
第二,如何根据不同实体建立数据访问权限。在奇安信参与的多个部门的数据安全治理中发现,最大问题不是数据泄露、外部攻击等,而在于如何为数据分权限。以往的分权基于角色绑定应用,但现在数据不断流转,如何进行访问控制、与不用数据实体建立关系将是难题。
第三,随着数据的不断流转,如何进行数据监管。在过去的技术设置中,是从外面看内部数据存不存在威胁。但目前数据不断流转,不存在具体边界,原有技术已不适用。因此奇安信为监管机构提供的最新思路为,自证清白+数据监管——设置数据安全保护机制,将数据交给监管机构。将从外面看威胁,转变成为从内部看。
最后,只采用技术防护不能确定背后的利益链条,从根本解决问题。因此奇安信目前同时在电子取证、司法取证等方面积极布局,挖出利益链条,从源头解决防护难题。
据悉,2021(第十六届)中国电子政务论坛暨首届数字政府建设峰会定于11月26日至27日在广州市举办。大会由中共中央党校(国家行政学院)和广东省人民政府共同主办,以“建设数字政府 加快数字化发展”为主题,围绕启迪思想、汇聚智慧、凝聚共识,打造全国数字政府领域高层次的专题交流合作平台。