【IT168 资讯】2017年全国两会正在进行中,民生权益、医疗个税改革、社会资源配置等话题依旧成为了两会热点。网络安全大可关系国家安全,小可牵涉每个百姓的个人利益,其重要性不言而喻。启明星辰公司作为信息安全行业的领导者,最近三年来公司CEO严望佳在两会期间提出了许多具有价值的提案,为推动网络安全建设贡献了一份力量。
今年两会期间,启明星辰严望佳提出了涵盖企业首席信息安全官、移动支付信息安全和智慧城市信息安全的议案,从中也彰显了启明星辰在网络安全领域的深入观察与其独特的安全观。
再提首席信息安全官:完善责任落实
严望佳提出了《关于以首席信息安全官为关键责任人构建关键信息基础设施保护责任体系的提案》,针对运营者负责关键信息基础设施的运营,防范境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序等问题,提出“以首席信息安全官CISO为关键责任人,构建关键信息基础设施保护责任体系”的建议。
早在2010年震网病毒侵入伊朗核电站时就已经给人们敲响了“关键基础设施信息安全脆弱性”的警钟。例如我们生活中可能会遭到勒索软件勒索,当黑客用软件勒索通过控制关键基础设施自来水、其他公共设施系统获取利益,就已经上升到妨碍公共安全性质的高级别攻击了。面对针对公共基础设施的攻击、侵入、干扰和破坏,绝对必须是优异的强力打击。
启明星辰的首席战略官潘柱廷强调:“安全应该明确最终由谁承担责任并且落实到位。”而关系到严重危害国家安全、国计民生、公共利益的关键信息基础设施领域,需要一套完善的责任体系,明确保护责任的落实主体。
潘柱廷还提到,保险对于责任体系的完善来说也是一种非常重要的方式。他表示,在责任落实过程中,“谁来负责?”的问题经常被提出,但即使有些责任与权力已经具体落到个人,其实还是需要借助其他形式来帮助完成包含在百分百中的残余风险的责任负担。在网络安全领域以某种财产险的形式去设定一个险种,是一件有意义的事情。在未来,保险在网络安全领域可能会成为一种必然。
另外,近几年的整个关键信息基础设施安全和CISO提案线索强调责任落实到法人体系下的自然人角色,这是推动责任落实的一个基本方向,只有落实到法人体系中的一个自然人角色才能把真正该做的事情做起来,并且要为这样一个所谓承担责任的自然人,为这个角色和职位提供必要的资源。
智慧城市建设:安全先行,堡垒式的构建方式
严望佳在其《关于智慧城市信息安全建设的提案》中指出智慧城市在信息安全层面仍存在的一些问题和风险,包括“缺乏智慧城市网络安全监管责任主体;智慧城市与信息安全发展关系亟须正确对待;存在大数据以及物联网技术的安全风险”。
潘柱廷认为,智慧城市其实不是新的技术形态而是新的技术应用模式,其主体从个人、机构变成一个区域、一个城市。而现实状态下城市信息化之后,基础设施的安全保护严重不足,人们的意识也很薄弱。此外,智慧城市有大量的数据,数据化之后整个数据的采集、存储和保护的过程,安全投入的比例与现在成熟机构投入成本相比在根本上差一个数量级,智慧城市的安全投资远远没有跟上城市发展的速度。
因此,在智慧城市信息安全的提案里,启明星辰严望佳提出了“安全先行”的理念。潘柱廷表示,客观上局部的安全先行不太可能,但是从大格局的整体来说,安全先行是可行的;安全先行某种程度来说应该是同步规划前置成为先行规划,安全先行的意思是真正把同步规划做好。智慧城市是未来GDP增长的新引擎,所以不能让明显的安全问题成为制约其发展的最大因素。
潘柱廷还提到说:“安全问题归根结底是内外问题,存在于边界内部和外部两个方面。智慧城市不是一个能圈起来的机构或者区间,其本身形成了一个空间。区间与空间的不同很大。”
把机构安全和智慧城市安全进行对比时,智慧城市把边界打得更散,让边界问题变得更加困难,连简单的大边界都已经难于存在。边界划分出来是为了内外信任程度的区分和防护效能效益。区间是边界比较清晰的,而空间则不太好划分边界,边界被散落成空间里面一个一个堡垒、联络线和堡垒外一个一个孤立设备。 堡垒式的构建方式可能会形成未来智慧城市安全管理模式的一种参考模式。
写在最后
启明星辰严望佳在一系列的两会提案中,始终坚持从实际出发,提出有切实意义,有可行性的提案。在安全领域中重点关注“关键基础设施、民生、新技术,司法和产业结构性调整”等线索,关注自己所在群体的整体利益,希望为信息安全产业发声,通过“两会”的窗口形成一个建言献策的方式。
启明星辰在整个安全领域格局里面看到产业格局的调整,继而去强调“责任是什么?”。他们认为责任不能仅仅靠产业需求侧自己给自己的,也需要监管方给需求侧压力。在威胁侧新技术形态变化后,需求侧也会诱发相应需求。智慧城市、物联网、云计算带给了需求侧变化,威胁侧也会出现跟踪性新攻击。面对如此复杂格局,监管侧须要先行,产生适当超前的要求,才能适应整个格局的瞬息变化。例如让攻击性检测常态化,监管侧模拟威胁侧的压力,促使供给侧给需求侧提供测试服务带动产业提升。另外需要增加需求侧的安全岗位,并且希望能够提升安全服务在安全采购中的占比。
信息安全是一个朝阳产业,可在民生方面关注公益群体,可在技术方面关注互联网新业态……启明星辰以其前瞻性,诠释了其独特的“安全先行,责任到位”的安全观,助力信息安全产业更蓬勃向上。