奇安信董事长齐向东:网络安全“易攻难守”矛盾将更尖锐 建议以立法方式保证网络安全投入占比
(资料图)
日前,奇安信董事长齐向东在2023全球数字经济大会数字安全高峰论坛暨BCS2023北京网络安全大会发言,他表示,数智时代和传统时代相比,社会安全生产事故的诱因将完全不同,网络攻击将成为最主要的诱因,攻击数智系统是未来战争和犯罪的主要形式。他认为数据在复杂流动中产生更大的风险,同时数据的攻击暴露面越来越大,此外数据的价值越来越高,这些因素共同导致了未来犯罪形式的变化。
新的变化形式也导致了网络攻防对抗中攻防不对称的态势愈加凸显。“过去,解决易攻难守难题通常采用网络隔离的方法,比如把网络划分成物理隔离网、逻辑隔离网、内网、外网等,用减少攻击面解决防守人力不足问题,实现攻防平衡”。齐向东表示,而数智时代,隔离网络要变成开放网络,“易攻难守”的矛盾更加尖锐。
针对当下网络攻防形式,奇安信提出,用联合作战、精准防护和深度运营三大手段来实现“高效防御”。
在接受《证券日报》记者专访时,齐向东具体讲解了“高效防御”的三个手段,在联合作战方面,保证多道网络安全防线联动,当任意一个作战单元发现攻击行为之后,能迅速联动其他安全产品,并联合威胁情报,实现对攻击行为的快速封堵;在精准防护方面,默认任何人、任何设备都不可信,在用户的每一个网络访问活动中都要重新检查凭证。一旦发现异常行为,就立刻冻结权限,可以有效降低安全风险;在深度运营方面,建立常态化监测预警和快速响应机制,完成安全事件的闭环处置,并通过攻防演习来检验网络安全体系的有效性,实现网络安全能力与日俱增。
谈及对于当下网络安全行业发展环境的诉求,齐向东在网络安全立法方面提出了两个建议。
第一,建议制定数字化项目网络安全风险评估机制,把网络安全和信息化的预算分开单列,规定网络安全投入占比高于10%。“根据美国发布的2024财年预算,民用联邦机构的网络安全预算占IT预算比例约为%,而我国的占比还在3%左右,亟需填平补齐”。齐向东表示。
第二,建议将网络安全“零事故”作为安全生产的目标,定期抽查重点领域的网络安全情况,落实网络安全的主体责任。建议借鉴北京冬奥会经验,将网络安全纳入“零事故”作为安全生产的目标,出台安全生产“零事故”新规范,并定期抽查重点领域的网络安全情况,强化一把手责任,对瞒报、漏报网络安全事故的依法追究责任。
“网络安全没有绝对安全”。齐向东表示,网络安全的本质上是攻防两端的高强度对抗,没有攻不破的网络,没有打不透的墙。但网络安全工程师们始终将“绝对安全”作为奋斗目标,不断创新前进。
(文章来源:证券日报)