安卓版下载

合规不是政府信息安全的全部

2016-04-06 09:42孙杰贤
中国信息化 2016年10期
关键词:合规信息安全协同

文 | 本刊记者 孙杰贤

合规不是政府信息安全的全部

文 | 本刊记者 孙杰贤

政府行业应该在合规的基础上从4个维度来构建和增强自己的安全能力:防御,检测,响应,预警。

进入信息社会,政府行业对IT和信息化的依赖程度不断增强。

如果信息化无处不在,如果物物联网在线,上到国家与政府,下到企业与黎民,最关心的是什么?

毫无疑问,是安全:网络的安全,信息的安全。我们不想自己的汽车被别人遥控,不想自己的房子像玻璃一样透明,也不想自己的国家像《C形包围》一书担忧的那样:一旦发生信息化战争,我们将不堪一击。

技术不是唯一手段

2016年7月27日,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》,深刻诠释了网络安全与信息化发展间的辩证关系,提出二者是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施,做到协调一致、齐头并进;切实防范、控制和化解信息化进程中可能产生的风险,以安全保发展,以发展促安全。

“以安全保发展”证明安全是发展的关键和基础,“以发展促安全”则进一步要求,要用动态的、发展的手段解决安全问题。

安全是表面上看是技术问题,而背后是人的行为。所以,安全问题的解决不能仅仅依靠技术手段。正如奇虎360董事长周鸿在第四届中国互联网安全大会所言:当今的安全问题不能单纯的依靠技术,更多需要的是各方的协同、联动与合作。

因此,360提出安全协同的理念和倡议,主要包括3个层面:全球互联网政策层面的协同,比如数字签名,漏洞管理,僵尸网络治理等;产业层面的协调,需要政府和企业共同推进,达成政府间、企业间、政府与企业间的互相信任与合作,以形成更加强大的安全产业生态;产品技术层面的协同,比如智能算法和数据的协同。

作为中国最大的互联网安全公司,360拥有13亿的终端用户,拥有全球最大的活网址库和海量的第三方数据库,目前样本库总量已经超过95亿,主动防御的日志库总数已经超过5万亿条。360互联网安全中心每天发现新恶意样本109万个,每天发现各类软硬件漏洞、网站漏洞超过120个,这些数据还在源源不断地更新。同时,360也拥有中国最多的网络人才队伍,这支队伍在全球也是顶尖的。

即便是这样,360也无法单枪匹马地解决行业安全问题,哪怕是自己公司的网络与信息安全问题。所以,我国的安全问题除了要摆脱核心技术受制于人的局面,形成安全可控的信息技术产业体系外,各方各层面的协调联动同样关键,需要各方在数据、能力、资源、知识、经验和智慧方面的全面协同。

共同成长,才是生存之道。

而作为国家信息化的信息流的“汇聚节点”,政府行业在我国整个安全体系建设中首当其冲。

四维度重构政府安全能力

不知大家是否还记得,2009年我国政府机构曾经开展了一次全国范围的信息系统安全大检查,各部门以信息安全检查为抓手,以查促防、以查促建,全面带动和促进了政府行业信息安全工作。

但是今非昔比,政府机构对IT和信息化的依赖程度越来越高,而病毒类型与攻击手段也是与时俱进,千变万化的,更加隐蔽,危害也更大,尤其是随着云计算和大数据技术的普及,网络攻击更是防不胜防。

国家互联网应急中心——2015年,涉及政府机构和重要信息系统部门的漏洞型事件近2.4万起,是2014年的2.6倍。

中国软件评测中心——2015年,评估范围内的900余家政府网站中,超过90%的网站存在各种危险等级安全漏洞,其中近30%的网站被监测到的安全漏洞数超过了30个,甚至有60余家网站的安全漏洞数量超过了100个。

360“天眼实验室”——来自境外的国家级黑客组织“海莲花”自2012年4月以来,针对中国政府、海事机构、海域建设部门、科研院所和航运企业,展开了长时间的APT(高级持续性威胁)攻击,遍布国内29个省级行政区。

“以前,政府行业信息安全的标准似乎只有合规,只要做到合规便万事大吉。” 360企业安全集团交付事业部总经理张龙表示,“但是现在的形势不同以往了。首先,随着电子政务建设的不断深入,政府机构对IT的依赖程度在不断增强,IT系统的规模和复杂度在不断变大。其次,政府行业的互联网化趋势已经非常明显,具体表现在终端的移动化和服务端的云化。这些变化对政府行业信息安全提出了新的要求和挑战,之前那种不求有功但求无过的思维和原则已经行不通了。合规是一个基础,在这个基础之上让大家有意识地去改变。有了意识,之后便会有理念、技术、产品、服务、运营等方面的变化。”

在张龙看来,政府行业应该在合规的基础上从4个维度来构建和增强自己的安全能力:防御,检测,响应,预警。他说:“政府部门传统的安全系统就是按所谓的标准建立一套合规系统,包括防火墙、IPS、防病毒、终端管理、准入制以及SOC系统、网关、相关软件类等。这种类似‘扎篱笆’或者‘垒城墙’的被动式防御模式显然已经无法满足当前的要求,需要重构安全能力。因此,在这些防御的基础上还有再辅以很好的检测手段,能够及时发现潜在或正在的攻击,然后要能及时处理,形成相应和预警。”

张龙还指出,政务行业信息化有一个很明显的特征就是部门内部条块分割,这对部门内部以及跨部门的信息整合产生了障碍,安全亦是如此。因此,对于政府行业来说,共享与协同显得尤为必要。信息安全不只是合规,信息安全还要解决责任问题,需要协同体系,如果不协同作战很多事情都无从谈起。

猜你喜欢
合规信息安全协同
合规不起诉在企业犯罪中的适用及边界
法律方法(2022年2期)2022-10-20
输入受限下多无人机三维协同路径跟踪控制
北京航空航天大学学报(2022年6期)2022-07-02
基于区块链技术的船舶信息安全预测
舰船科学技术(2022年10期)2022-06-17
家校社协同育人 共赢美好未来
新班主任(2022年4期)2022-04-27
信息安全不止单纯的技术问题
信息化建设(2021年5期)2021-01-16
合规视角下的“功夫债”新画像
中国外汇(2019年20期)2019-11-25
外贸企业海关合规重点提示
中国外汇(2019年20期)2019-11-25
六步法创建有效的企业合规管理体系
中国外汇(2019年14期)2019-10-14
“四化”协同才有出路
汽车观察(2019年2期)2019-03-15
京津冀协同发展
民生周刊(2017年19期)2017-10-25

中国信息化2016年10期

中国信息化的其它文章
要闻
深化制造业与互联网融合发展的形势与任务(三)
从商事制度改革具体实践浅析政府部门间信息共享的最佳方式
促进电子商务又好又快发展的政策措施建议
信息化对轨道工程行业档案归集的应用探讨
大力推动互联网和实体经济深度融合
杂志排行

  1. 1《阅读时代》2024年5期

  2. 2《散文》2024年4期

  3. 3《鸭绿江》2024年4期

  4. 4《国际展望》2024年3期

  5. 5《中关村》2024年4期

  6. 6《东方企业家》2024年5期

  7. 7《军事文摘·科学少年》2024年5期

  8. 8《青年文学家》2024年9期

  9. 9《月读》2024年5期

  10. 10《广州文艺》2024年4期

关于参考网