文 | 本刊記者 孫杰賢

合規(guī)不是政府信息安全的全部

文 | 本刊記者 孫杰賢

政府行業(yè)應(yīng)該在合規(guī)的基礎(chǔ)上從4個(gè)維度來構(gòu)建和增強(qiáng)自己的安全能力：防御，檢測(cè)，響應(yīng)，預(yù)警。

進(jìn)入信息社會(huì)，政府行業(yè)對(duì)IT和信息化的依賴程度不斷增強(qiáng)。

如果信息化無處不在，如果物物聯(lián)網(wǎng)在線，上到國(guó)家與政府，下到企業(yè)與黎民，最關(guān)心的是什么？

毫無疑問，是安全：網(wǎng)絡(luò)的安全，信息的安全。我們不想自己的汽車被別人遙控，不想自己的房子像玻璃一樣透明，也不想自己的國(guó)家像《C形包圍》一書擔(dān)憂的那樣：一旦發(fā)生信息化戰(zhàn)爭(zhēng)，我們將不堪一擊。

技術(shù)不是唯一手段

2016年7月27日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《國(guó)家信息化發(fā)展戰(zhàn)略綱要》，深刻詮釋了網(wǎng)絡(luò)安全與信息化發(fā)展間的辯證關(guān)系，提出二者是一體之兩翼、驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施，做到協(xié)調(diào)一致、齊頭并進(jìn)；切實(shí)防范、控制和化解信息化進(jìn)程中可能產(chǎn)生的風(fēng)險(xiǎn)，以安全保發(fā)展，以發(fā)展促安全。

“以安全保發(fā)展”證明安全是發(fā)展的關(guān)鍵和基礎(chǔ)，“以發(fā)展促安全”則進(jìn)一步要求，要用動(dòng)態(tài)的、發(fā)展的手段解決安全問題。

安全是表面上看是技術(shù)問題，而背后是人的行為。所以，安全問題的解決不能僅僅依靠技術(shù)手段。正如奇虎360董事長(zhǎng)周鴻在第四屆中國(guó)互聯(lián)網(wǎng)安全大會(huì)所言：當(dāng)今的安全問題不能單純的依靠技術(shù)，更多需要的是各方的協(xié)同、聯(lián)動(dòng)與合作。

因此，360提出安全協(xié)同的理念和倡議，主要包括3個(gè)層面：全球互聯(lián)網(wǎng)政策層面的協(xié)同，比如數(shù)字簽名，漏洞管理，僵尸網(wǎng)絡(luò)治理等；產(chǎn)業(yè)層面的協(xié)調(diào)，需要政府和企業(yè)共同推進(jìn)，達(dá)成政府間、企業(yè)間、政府與企業(yè)間的互相信任與合作，以形成更加強(qiáng)大的安全產(chǎn)業(yè)生態(tài)；產(chǎn)品技術(shù)層面的協(xié)同，比如智能算法和數(shù)據(jù)的協(xié)同。

作為中國(guó)最大的互聯(lián)網(wǎng)安全公司，360擁有13億的終端用戶，擁有全球最大的活網(wǎng)址庫(kù)和海量的第三方數(shù)據(jù)庫(kù)，目前樣本庫(kù)總量已經(jīng)超過95億，主動(dòng)防御的日志庫(kù)總數(shù)已經(jīng)超過5萬億條。360互聯(lián)網(wǎng)安全中心每天發(fā)現(xiàn)新惡意樣本109萬個(gè)，每天發(fā)現(xiàn)各類軟硬件漏洞、網(wǎng)站漏洞超過120個(gè)，這些數(shù)據(jù)還在源源不斷地更新。同時(shí)，360也擁有中國(guó)最多的網(wǎng)絡(luò)人才隊(duì)伍，這支隊(duì)伍在全球也是頂尖的。

即便是這樣，360也無法單槍匹馬地解決行業(yè)安全問題，哪怕是自己公司的網(wǎng)絡(luò)與信息安全問題。所以，我國(guó)的安全問題除了要擺脫核心技術(shù)受制于人的局面，形成安全可控的信息技術(shù)產(chǎn)業(yè)體系外，各方各層面的協(xié)調(diào)聯(lián)動(dòng)同樣關(guān)鍵，需要各方在數(shù)據(jù)、能力、資源、知識(shí)、經(jīng)驗(yàn)和智慧方面的全面協(xié)同。

共同成長(zhǎng)，才是生存之道。

而作為國(guó)家信息化的信息流的“匯聚節(jié)點(diǎn)”，政府行業(yè)在我國(guó)整個(gè)安全體系建設(shè)中首當(dāng)其沖。

四維度重構(gòu)政府安全能力

不知大家是否還記得，2009年我國(guó)政府機(jī)構(gòu)曾經(jīng)開展了一次全國(guó)范圍的信息系統(tǒng)安全大檢查，各部門以信息安全檢查為抓手，以查促防、以查促建，全面帶動(dòng)和促進(jìn)了政府行業(yè)信息安全工作。

但是今非昔比，政府機(jī)構(gòu)對(duì)IT和信息化的依賴程度越來越高，而病毒類型與攻擊手段也是與時(shí)俱進(jìn)，千變?nèi)f化的，更加隱蔽，危害也更大，尤其是隨著云計(jì)算和大數(shù)據(jù)技術(shù)的普及，網(wǎng)絡(luò)攻擊更是防不勝防。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心——2015年，涉及政府機(jī)構(gòu)和重要信息系統(tǒng)部門的漏洞型事件近2.4萬起，是2014年的2.6倍。

中國(guó)軟件評(píng)測(cè)中心——2015年，評(píng)估范圍內(nèi)的900余家政府網(wǎng)站中，超過90%的網(wǎng)站存在各種危險(xiǎn)等級(jí)安全漏洞，其中近30%的網(wǎng)站被監(jiān)測(cè)到的安全漏洞數(shù)超過了30個(gè)，甚至有60余家網(wǎng)站的安全漏洞數(shù)量超過了100個(gè)。

360“天眼實(shí)驗(yàn)室”——來自境外的國(guó)家級(jí)黑客組織“海蓮花”自2012年4月以來，針對(duì)中國(guó)政府、海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運(yùn)企業(yè)，展開了長(zhǎng)時(shí)間的APT（高級(jí)持續(xù)性威脅）攻擊，遍布國(guó)內(nèi)29個(gè)省級(jí)行政區(qū)。

“以前，政府行業(yè)信息安全的標(biāo)準(zhǔn)似乎只有合規(guī)，只要做到合規(guī)便萬事大吉?！?360企業(yè)安全集團(tuán)交付事業(yè)部總經(jīng)理張龍表示，“但是現(xiàn)在的形勢(shì)不同以往了。首先，隨著電子政務(wù)建設(shè)的不斷深入，政府機(jī)構(gòu)對(duì)IT的依賴程度在不斷增強(qiáng)，IT系統(tǒng)的規(guī)模和復(fù)雜度在不斷變大。其次，政府行業(yè)的互聯(lián)網(wǎng)化趨勢(shì)已經(jīng)非常明顯，具體表現(xiàn)在終端的移動(dòng)化和服務(wù)端的云化。這些變化對(duì)政府行業(yè)信息安全提出了新的要求和挑戰(zhàn)，之前那種不求有功但求無過的思維和原則已經(jīng)行不通了。合規(guī)是一個(gè)基礎(chǔ)，在這個(gè)基礎(chǔ)之上讓大家有意識(shí)地去改變。有了意識(shí)，之后便會(huì)有理念、技術(shù)、產(chǎn)品、服務(wù)、運(yùn)營(yíng)等方面的變化?！?/p>

在張龍看來，政府行業(yè)應(yīng)該在合規(guī)的基礎(chǔ)上從4個(gè)維度來構(gòu)建和增強(qiáng)自己的安全能力：防御，檢測(cè)，響應(yīng)，預(yù)警。他說：“政府部門傳統(tǒng)的安全系統(tǒng)就是按所謂的標(biāo)準(zhǔn)建立一套合規(guī)系統(tǒng)，包括防火墻、IPS、防病毒、終端管理、準(zhǔn)入制以及SOC系統(tǒng)、網(wǎng)關(guān)、相關(guān)軟件類等。這種類似‘扎籬笆’或者‘壘城墻’的被動(dòng)式防御模式顯然已經(jīng)無法滿足當(dāng)前的要求，需要重構(gòu)安全能力。因此，在這些防御的基礎(chǔ)上還有再輔以很好的檢測(cè)手段，能夠及時(shí)發(fā)現(xiàn)潛在或正在的攻擊，然后要能及時(shí)處理，形成相應(yīng)和預(yù)警?！?/p>

張龍還指出，政務(wù)行業(yè)信息化有一個(gè)很明顯的特征就是部門內(nèi)部條塊分割，這對(duì)部門內(nèi)部以及跨部門的信息整合產(chǎn)生了障礙，安全亦是如此。因此，對(duì)于政府行業(yè)來說，共享與協(xié)同顯得尤為必要。信息安全不只是合規(guī)，信息安全還要解決責(zé)任問題，需要協(xié)同體系，如果不協(xié)同作戰(zhàn)很多事情都無從談起。