日前,錦龍信安董事長(zhǎng)威客眾測(cè)CEO 陳新龍先生在接受賽迪網(wǎng)采訪時(shí)表示,《中華人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》(簡(jiǎn)稱“《草案》”)中對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施安全的相關(guān)規(guī)定較為完整,對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)大體給出了一個(gè)框架性的建議。不過,各企業(yè)或政府單位在落實(shí)的時(shí)候還是需要根據(jù)自身的企業(yè)屬性、政府工作的職能屬性具體問題具體分析,比如能源行業(yè)與金融行業(yè)由于行業(yè)自身的特色屬性,在安全防護(hù)的規(guī)劃上就會(huì)有一些差異性,“國(guó)家出臺(tái)的《草案》我想更多的是一種對(duì)我國(guó)網(wǎng)絡(luò)空間安全的一個(gè)國(guó)家底線,基于這個(gè)底線之上是有足夠的可發(fā)展、可研究、可探索的成長(zhǎng)空間的。”
《草案》的制定出臺(tái),是一個(gè)重要的里程碑,盡管在關(guān)鍵信息基礎(chǔ)設(shè)施安全建設(shè)方面會(huì)有這樣那樣的問題,但是辦法永遠(yuǎn)比問題多。當(dāng)下很多企業(yè)或政府單位可能很難對(duì)自身做一個(gè)清晰的定位,他們會(huì)片面的思考安全防護(hù)應(yīng)該做到哪一步、哪個(gè)層面就足夠了,這種想法其實(shí)才是最大的難題,因?yàn)閷?duì)于安全來說從來就不是一個(gè)可以一勞永逸的事情。我們的國(guó)家在進(jìn)步,同樣信息技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、安全技術(shù)更是處在飛速發(fā)展的時(shí)代,任何一項(xiàng)信息領(lǐng)域的技術(shù)變革都會(huì)給安全提出更高的要求,所以在建設(shè)安全體系的時(shí)候要著眼在未來,做一個(gè)長(zhǎng)期有效可落地的規(guī)劃,不要生搬硬套的去執(zhí)行關(guān)鍵信息基礎(chǔ)設(shè)施安全的相關(guān)規(guī)定
陳新龍認(rèn)為,應(yīng)該設(shè)立專門的第三方機(jī)構(gòu)、對(duì)企業(yè)、單位進(jìn)行審查、抽查,在《草案》第三章第二節(jié)第三十二條與第三十三條中明確寫出了可以委托專業(yè)檢驗(yàn)檢測(cè)機(jī)構(gòu)進(jìn)行評(píng)估與整改建議,現(xiàn)實(shí)情況亦是如此,“在與企業(yè)、政府單位溝通中,通過第三方專業(yè)機(jī)構(gòu)做安全評(píng)估、安全檢測(cè)、安全建議這類的需求始終存在,問題的關(guān)鍵其實(shí)不是在于是否應(yīng)該設(shè)立第三方機(jī)構(gòu),而是完善第三方機(jī)構(gòu),讓這些機(jī)構(gòu)真正專業(yè)起來,而不是為了檢測(cè)去檢測(cè)、為了評(píng)估去評(píng)估。”隨著市場(chǎng)需求的增長(zhǎng),會(huì)有更多專業(yè)、優(yōu)秀的第三方機(jī)構(gòu)孵化出來。但同時(shí),第三方機(jī)構(gòu)需要真正理解了用戶的需求,能夠給出權(quán)威、專業(yè)、可行建議的評(píng)測(cè)機(jī)構(gòu)才能得到認(rèn)可。威客眾測(cè)這個(gè)平臺(tái)其實(shí)目前就在做這方面的資源整合工作,希望能給企業(yè)、政府單位提供更好的安全服務(wù)體驗(yàn)。
現(xiàn)在人們對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)商安全性改進(jìn)方面的討論很多,對(duì)于是否需要設(shè)定完成時(shí)間表,陳新龍表示這是一個(gè)見仁見智的事情。“對(duì)于那些在網(wǎng)絡(luò)安全方面已經(jīng)有自己的規(guī)劃并付諸于行動(dòng)的企業(yè)、政府單位來說,規(guī)定一個(gè)硬性的完成時(shí)間表可能并不是好的方法,網(wǎng)絡(luò)安全建設(shè)規(guī)劃方向的正確與否先拋開,單論時(shí)間周期的必要性,對(duì)于那些有安全意識(shí)與安全責(zé)任的企業(yè)與政府單位來說會(huì)是一個(gè)緊箍咒,不能為了‘做安全’而去做安全。對(duì)于那些缺乏網(wǎng)絡(luò)安全意識(shí)或者不知道應(yīng)該怎么去做好網(wǎng)絡(luò)安全的企業(yè)來說會(huì)有一定的效果,人通常對(duì)于自己不知道或者做不好的事情都會(huì)在短時(shí)間內(nèi)進(jìn)行充電,這其實(shí)就是一種進(jìn)步,當(dāng)這些企業(yè)真正從網(wǎng)絡(luò)安全建設(shè)的成果中看到了價(jià)值,我想這會(huì)是一個(gè)良性循環(huán)的開始。”
面對(duì)來勢(shì)洶洶的惡意攻擊,安全預(yù)警的重要性愈發(fā)凸顯。安全預(yù)警信息的本質(zhì)是第一時(shí)間告知相應(yīng)的安全負(fù)責(zé)人、安全部門已經(jīng)發(fā)生的攻擊事件或者在未來某個(gè)時(shí)段發(fā)生攻擊事件的可能,從技術(shù)角度來說,安全設(shè)備、網(wǎng)絡(luò)設(shè)備都可以將告警信息推送到安全監(jiān)控平臺(tái)。對(duì)于安全預(yù)警信息的處理方面要遵循兩個(gè)原則,首先要可以判斷預(yù)警信息的準(zhǔn)確性,誤報(bào)信息是不可能規(guī)避的,這就要求相應(yīng)的監(jiān)控人員可以初步對(duì)預(yù)警信息進(jìn)行過濾,其次就是對(duì)于一些不明顯的預(yù)警信息進(jìn)行一個(gè)趨勢(shì)性分析,考慮下一步可能發(fā)生的風(fēng)險(xiǎn)事件。“當(dāng)然我這兩個(gè)標(biāo)準(zhǔn)其實(shí)對(duì)于監(jiān)控人員的自身安全認(rèn)知來說有一些苛刻,但這是最理想的素質(zhì)要求。退一步來說起碼監(jiān)控人員在接受到預(yù)警信息之后可以馬上做一個(gè)風(fēng)險(xiǎn)定向,明確當(dāng)前的安全事件應(yīng)該協(xié)調(diào)什么部門的人員進(jìn)行二次分析,目前大多數(shù)企業(yè)、政府單位的監(jiān)控人員是可以做到這一點(diǎn)的。但是我們應(yīng)該向著更高的層次去努力,這樣才能最大限度的通過安全預(yù)警信息去規(guī)避可能發(fā)生的安全風(fēng)險(xiǎn)。”
最后在談及如何檢驗(yàn)安全應(yīng)急預(yù)案有效性的問題時(shí)陳新龍?zhí)岢觯?ldquo;對(duì)于這個(gè)問題其實(shí)一句話就可以概括的很準(zhǔn)確,實(shí)踐是檢測(cè)真理的唯一標(biāo)準(zhǔn)。”對(duì)于安全從業(yè)人員來說,嚴(yán)謹(jǐn)?shù)膽B(tài)度是任何時(shí)候都不能摒棄的,因?yàn)楫?dāng)攻擊真正發(fā)生的時(shí)候往往是疾風(fēng)驟雨,甚至是摧枯拉朽。只有在日常的工作中對(duì)安全應(yīng)急預(yù)案定期進(jìn)行驗(yàn)證,才可以做到臨危不亂、應(yīng)對(duì)自如。當(dāng)攻擊發(fā)生的時(shí)候,每個(gè)負(fù)責(zé)安全的人員都明確自己的崗位職責(zé),采用有效的處理方式,安全應(yīng)急預(yù)案才有真正的價(jià)值,否則再專業(yè)的安全應(yīng)急預(yù)案也只能是紙上談兵。