在今年的政府工作報告中,李克強總理再次強調創(chuàng)新是引領發(fā)展的第一動力,并倡導持續(xù)推動大眾創(chuàng)業(yè)、萬眾創(chuàng)新,促進大數(shù)據(jù)、云計算、物聯(lián)網廣泛應用。各行各業(yè)正在以互聯(lián)網為平臺進行融合創(chuàng)新,進入到了“互聯(lián)網+”快速發(fā)展的時代??偫淼膱蟾嬷?ldquo;互聯(lián)網”一詞被提了12次,相比2015年,多強調了4次。亞信安全認為,在科技創(chuàng)新過程中,信息泄露、APT攻擊等網絡安全威脅也會如影隨形,對企業(yè)數(shù)據(jù)安全乃至國家信息主權將構成嚴重威脅。
網絡威脅阻礙科技創(chuàng)新,亞信安全建議企業(yè)在引入云計算、物聯(lián)網等創(chuàng)新技術的過程中,要充分重視網絡安全威脅治理的重要性,在確保IT設備與網絡安全產品自主可控的前提下,準確識別云計算和大數(shù)據(jù)環(huán)境下的安全威脅,部署立體化主動防御體系,防范威脅于未然。
科技創(chuàng)新過程中的非自主可控危機
在大數(shù)據(jù)、云計算、物聯(lián)網的大規(guī)模落地中,激增的應用和系統(tǒng)難免出現(xiàn)安全漏洞,一旦黑客通過漏洞入侵到信息化系統(tǒng),并潛伏到企業(yè)網絡中籌劃更大規(guī)模的網絡攻擊,將可能導致企業(yè)的核心數(shù)據(jù)被黑客竊取,甚至對重要信息化系統(tǒng)進行破壞。
特別是對于事關國計民生的基礎設施以及國家支柱產業(yè)來說,網絡安全可能造成更大的風險。在2015年8月,加油站油箱監(jiān)測系統(tǒng)GasPot就被爆存在安全隱患,GasPot作為一個物聯(lián)網系統(tǒng),通過傳感器及無線網絡監(jiān)測車輛狀態(tài),對這個系統(tǒng)的攻擊很可能導致車聯(lián)網的重要信息被泄露,甚至引發(fā)能源供應事故。聯(lián)想到震網病毒對伊朗核設施、烏克蘭電網進行的APT攻擊事件,已經為國家安全敲了多次警鐘。
亞信安全董事長何政表示:“如果僅從網絡攻擊的微觀層面來看,企業(yè)在面對安全威脅時還不會感到太過棘手。但是一旦將其與整個國際政治大環(huán)境聯(lián)系起來時,創(chuàng)新技術應用中的非自主可控危機就顯得尤為致命。關鍵IT技術與設備自主可控能力的缺乏會使得網絡安全風險大增,系統(tǒng)本身的漏洞或者‘后門’可能導致核心數(shù)據(jù)的泄露或是被敵對勢力掌握,進而作為對基礎設施或國民命脈攻擊的手段。”
一個容易被忽視的問題是網絡安全系統(tǒng)本身的安全可控性,特別是在網絡安全建設成為企業(yè)關鍵IT能力的今天,網絡安全系統(tǒng)如果被不法分子操控,就意味著企業(yè)數(shù)據(jù)已經“無險可守”。因此,要推動國家整體網絡安全水平的提升,就需要借助國產化的力量,首先剔除安全設備自身所存在的不可控安全隱患。
目前,國家已經充分認識到自主可控是保護國家信息主權與網絡空間的關鍵戰(zhàn)略,并且不斷在自主可控產業(yè)發(fā)展上進行一系列的政策牽引。而習近平等國家領導人也多次在各種場合強調自主可控的重要性,這凸顯網絡安全領域國產化替代的緊迫性。
堅持自主可控 建立立體化的主動防御體系
亞信安全認為,要在復雜的安全威脅形勢下推動大數(shù)據(jù)、云計算、物聯(lián)網等創(chuàng)新技術的落地,就需要在確保IT設備與信息安全產品自主可控的前提下,準確識別云計算和大數(shù)據(jù)環(huán)境下的安全威脅,有效平衡開放技術和安全防護需求,循序漸進建設安全能力,突出重點完善安全機制。
自主可控是前提:要實現(xiàn)網絡安全防御的自主可控,不僅要求網絡安全服務提供商為本土企業(yè),更要求核心技術實現(xiàn)自主、可控、可信,擁有自主知識產權安全軟件與解決方案,從根本層面確保創(chuàng)新技術不受制于人。在此基礎上,可以加強技術的開放性,廣泛汲取世界范圍內的網絡安全技術發(fā)展成果。
安全威脅識別能力是基礎:安全威脅識別能力是指企業(yè)需要具備強大的威脅偵測能力,不僅要能夠提前在安全威脅的多發(fā)地帶進行布防,還需要在第一時間偵測到攻擊者采用的惡意軟件、通信以及行為等威脅。在如今的安全威脅中,攻擊者往往會利用高度定制化的惡意程序或零日攻擊惡意程序,等到安全事故發(fā)生后在進行防范已經為時已晚,因此確保對威脅的識別能力,并進行主動防御至關重要。
循序漸進的安全能力建設是手段:網絡安全威脅隨時隨地都處于變動之中,任何網絡安全解決方案都不能確保對新威脅100%的防范能力。因此,企業(yè)需要在全盤考慮企業(yè)網絡安全防護需求的基礎上,加強對于新型安全威脅的監(jiān)控與研究,擬定與時俱進的安全防護戰(zhàn)略,從而漸進式的強化安全能力。
立體化主動防御是關鍵:在信息安全威脅廣泛化、隱蔽化的今天,分散的網絡安全模式已經不能適用于如今的安全防護需求了。因為如果不能整齊劃一的去治理、部署、監(jiān)控整個集團的信息化安全策略,必然會給黑客留下可乘之機,釀成數(shù)據(jù)泄露等嚴重后果。只有全力打造立體化、智能化安全架構,形成主動有效的縱深防御體系,才能更有效的防范網絡安全威脅。
作為一家完全擁有自主知識產權的本土公司,亞信安全目前已經掌握了云安全關鍵核心技術和產品,在網絡安全、云和虛擬化安全、終端和移動安全、APT治理和安全服務等多個安全領域擁有自主知識產權安全軟件與解決方案。亞信安全位于南京&北京的研發(fā)中心已經吸納了2000多為專業(yè)安全工程師,擁有中國病毒安全響應中心、中國病毒安全響應中心、網絡安全監(jiān)測實驗室,可以通過完全本地化的安全服務響應和應對來自世界各地的威脅。
此外,亞信安全自成立以來,重視在網絡安全本土化層面的合作,在安全實驗室以及基礎研發(fā)層面進行了大量的落地工作。不但與國家信息中心達成戰(zhàn)略合作,還與成都市政府共同建設信息安全公共服務平臺及云安全實驗室,與哈工大共同組建“亞信哈工大安全攻防實驗室”,不斷助力我國網絡安全技術水平的提升。