聚焦两会 | 全国政协委员肖新光:继续为网络安全建言献策
星期四, 五月 21, 2020
受新冠疫情影响,每年3月召开的全国两会时间推迟,4月29日,根据央视新闻官方消息,两会时间确定:
十三届全国人大三次会议将于5月22日在北京召开;
全国政协十三届三次会议将于5月21日在北京召开。
和其他委员一样,安天首席架构师、全国政协委员肖新光也在为今年的两会提案做最后的准备,下面让我们共同回顾一下近年来肖委员的“两会”提案。
全国政协委员 肖新光
网络空间领域的斗争已经是大国博弈和地缘安全中的常态化存在,网络空间更是政治、军事、经济等领域斗争的首发战场。
2017年6月,乌克兰包括政府首脑机关、金融、电信、交通、能源等计算机系统,遭遇了伪装成勒索病毒的大面积网络攻击,导致大量系统瘫痪,对社会生活和稳定造成了严重影响。已经发生的多起类似事件提醒我们,针对重要信息系统,特别是关键信息基础设施的入侵、信息窃取和毁瘫,已经是广泛存在的既定事实。
肖新光委员强调,当前我国所面临的全球和地缘安全风险,既以大国竞合为主旋律,同时又围绕地缘安全热点展开,地缘利益竞合方众多,多种矛盾复杂交织。我国遭遇的网络安全关键性威胁很大比例与上述风险相关。不同对手的攻击动机、攻击目标选择、攻击手段和攻击能力有很大差异。
他认为,网络安全威胁不是单纯的技术风险,其风险和事件研判也不是单纯的领域内研判,这与攻击发起方和潜在对手的战略意图、技术能力和综合国力等综合因素息息相关。我们对过去遭遇到的网络入侵攻击,往往将其作为单纯的网络安全事件看待,而缺少与总体国家安全的多个方面进行综合分析,对对手意图的分析深度不足。未来,需要对网络攻击行为给我国政治安全、军事安全、科技安全等带来的综合影响后果全面加强研判,实现综合分析、全面量损、有效止损。
未来的网络安全工作应遵循“网络安全是整体的而不是割裂的”、“是动态的而不是静态的”、“是开放的而不是封闭的”、“是相对的而不是绝对的”、“是共同的而不是孤立的”的主要特点,在进一步的投入中提升系统性、及时性和针对性,解决不平衡不充分的安全建设导致的国家安全能力短板和失衡。
肖新光认为:“网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击”是众多风险中的一项突出风险。网络安全防控能力以国家大型工程为主干,以各政企机构建设管理的重要信息系统和信息基础设施的安全为基石。基石的稳固依赖于每个系统的安全防护能力,依赖于它的对应责任主体、建设运维机构,建设动态综合的网络安全防御体系。
他表示,无论作为需求方的政企机构,还是供给方的安全企业都存在一个共性问题——整体安全规划能力普遍不足。现行做法往往是满足合规要求基础上,简单堆砌部分产品应对各类单点威胁。但如何在系统规划、建设、运维中充分考虑网络安全问题、如何实现网络安全能力与信息化的深度结合、如何形成动态综合防御体系,缺少明确方法指引。
过去把目光都放在增加投入上,但投入只是中段环节,没有足够的规划能力,投入就无的放矢,就无法保证能力有效落地,无法支撑预算框架和规模。不进行规划指引,单纯呼吁增加投入,很可能造成无效投入或虚假投入。
肖新光指出,能力建设离不开投入,投入离不开预算保障。越是面临严峻的风险挑战,提升国家安全能力的预算投入越需要优先保证。
他指出,安全规划能力普遍不足、缺少充足预算资源保障、网络安全责任制没有完全落地,是当前网络安全工作中的三个短板。对此,他建议:
应从落实网络强国的战略高度,为政企机构网络安全提出清晰的战略指引和体系化、框架性防护规划指引,将网络安全防护工作引导到全面建设所有必要的网络安全防御能力,并将其有机结合以形成动态综合网络安全防御体系的能力导向建设模式。
应对网络安全预算投入给出清晰的结构性保障要求,建立综合考虑信息资产价值、防护等级要求、敌情想定、防护效果的预算规划机制,对网络安全和信息化同步规划建设、防护缺失填坑补课等给出硬性工作要求,确保有效投入。
应在现有考核、监管、检查机制基础上,积极探索通过国家监察体系对网络安全责任制的落实实施监督审查,对政企机构是否及时有效制定规划、配置资源、执行预算,是否达成有效防护等督查问效,形成深度问责机制。并将政企机构网络安全责任融入本单位“三定”工作中,明确各部门职责规范。
当前,网络安全所面临的风险挑战依然复杂严峻,随着网络强国战略不断推进实施,对能力型网络安全企业的使命要求也不断提高。过去,安天在尝试从单纯的反恶意代码视角提升至威胁对抗视角时遭遇了许多挫折,在经验教训中不断反思,提出了引入威胁框架作为自身新一轮能力建设导向的考虑。过去的一年里,安天团队在业内专家指导下,围绕威胁框架,根据实际情况不断完善各产品能力。安天正在从传统的反恶意代码小闭环中走出,切换到赋能客户、共建防御加威胁对抗的大闭环当中去。