“各行各業的網絡安全建設一直都在持續投入,安全防護不斷加固,但各類安全事件仍舊時有發生,安全體驗也有頗多抱怨,究其原因,安全建設不應該只是成本中心,更應該成為業務需求的驅動中心。”
——新華三集團副總裁、新華三信息安全技術有限公司總裁孫松兒
在剛剛結束的2022國家網絡安全宣傳周期間,紫光股份旗下新華三集團圓滿承辦安全周重點活動——長三角網絡安全協同發展論壇。其間,新華三集團副總裁、新華三信息安全技術有限公司總裁孫松兒在大會中發表主旨演講,他明確指出在當前我國政策環境持續向好的同時,也不能忽視產業發展過程中呈現出的多重矛盾與挑戰,唯有把握網絡安全體系建設的六大要點,才能實現化解產業矛盾、夯實產業基礎、建設網絡強國的目標。
機遇與矛盾并存
安全體系建設依然存在不少短板
隨著我國各項政策環境持續優化,網絡安全產業正面臨前所未有的發展機遇。近兩年,《網絡安全審查辦法》、《關鍵信息基礎設施安全保護條例》、《數據安全法》、《個人信息保護法》等各項重磅政策法規持續發布,加上區域性政策集中釋放,以及數字新基建的推進,加快了網絡安全產業的投入與創新,網絡安全建設也在從重合規、輕實戰,重設備、輕運營,向產品與服務并重的階段轉變。根據工信部的數字,2021年我國網絡安全產業總體規模突破2000億元,“十三五”時期我國網絡安全產業年均增長率達15%,進入規模保持高速增長、并購和創投保持活躍、產業生態不斷優化改善、安全產品與服務并重的高速發展的風口期。
與各項安全投入不斷增加、網絡安全產業不斷壯大形成對比的是,各類網絡安全事件依然頻發,我們似乎陷入安全投入逐年增加,但網絡安全態勢卻未發生明顯改觀的怪圈。孫松兒認為,當前我國網絡安全領域面臨六大矛盾,即蓬勃的數字經濟與威脅事件頻發的矛盾、持續的安全投入與用戶體驗欠佳的矛盾、快速演變的威脅與防御資源限制的矛盾、設備要求高標準與開發能力不匹配的矛盾、安全運營簡易化與數據割裂難協同,產業高速增長與人才短缺的矛盾。孫松兒指出,這些矛盾反映出我國網絡安全在理念、技術和人才上的不足。伴隨著攻擊手段快速演進,攻擊面不斷擴大,新基建、網絡設施、供應鏈攻擊成為新攻擊目標。與之對應的安全建設缺乏體系規劃,防護模式仍停留在補救式防護思路上,缺乏主動安全意識,陷入頭痛醫頭,腳痛醫腳困局。加之專業技術人才短缺、人才培養周期長等原因,嚴重制約了我國網絡安全整體產業的發展。而產業背后的不足與問題無法得到彌補和解決,就無法跳出這種網絡安全投入增加,但安全事件仍日益高發的怪圈。
以主動安全理念指引頂層規劃
化解安全建設難題
孫松兒認為,要應對當前網絡安全建設背后的不足,有六大要點值得關注。
首先,應當基于“主動安全”的理念指導安全頂層規劃設計。作為國內較早提出“主動安全”理念的網絡安全廠商,新華三一直堅持將安全左移、威脅情報分析、云端聯動、AI賦作為主動安全的核心技術棧,通過安全管理組織保障,共同支撐安全頂層設計。
同時,以技術和運營作為兩大抓手,通過技術框架打造防御體系,以安全服務提升安全體驗,真正實現同步建設與運營。
在技術層面,通過情報加持威脅治理,基于場景構建AI模型并以云邊協同構建起立體的安全體系,讓防御更快、更準、更智能。而針對于軟件產品開發過程中的安全,孫松兒認為安全應當在設計之初即納入考慮,在迭代期間開展持續動靜態驗證,在開發結束階段進行嚴格驗收和出廠規范,同時開展元器件到整機的質量和脆弱性管控,確保硬件質量安全保障,實現全生命周期內原生安全的嵌入。
在安全大數據方面,隨著安全建設的逐步深入,如何將海量安全數據有效地整合、分析也將成為安全體系建設的重要環節。新華三通過五個層次,搭建安全數據新中臺,即:以生態為支撐的開放接口層、以AI&數據為基礎的原子服務層、以業務為對象的模塊能力層及并行支撐的服務治理層、安全開發層,最終實現安全統一可視、數據深度挖掘、應用快速支撐。最后,在人才培養方面,新華三先后與多所科研院所聯合承擔產學研課題、合作建立產業學院,通過加強網絡安全學科建設等舉措,建設專業化人才隊伍,為網絡安全產業發展源源不斷地培養高端人才,推進產業良性發展。
孫松兒表示,自2018年新華三集團首次提出“主動安全”以來,這一創新理念就伴隨著數字化的深入,持續演進和創新。目前,新華三已經基于主動安全理念,先后發布新一代業務安全旗艦防火墻,基于安全業務中臺的多種場景化產品,基于XaaS全云服務的新一代青丘安全運營中心等創新實踐。
2022年,新華三集團發布“主動安全3.0”,聚焦客戶業務本身,實現了業務感知零信任、業務安全新中臺、業務運營即服務三大關鍵創新,推動主動安全理念邁向業務驅動時代,為行業客戶加速數字化轉型保駕護航。
相關稿件