南方财经全媒体记者 吴立洋 上海报道
近年来,随着社会对网络安全重视度的普遍提升,我国各领域安全建设已取得一系列发展成果,整体安全防护和运营能力已经初步形成,防护有效性不断增强。
但另一方面,在人工智能、大数据、物联网等新一代信息技术广泛应用的背景下,潜在的网络安全威胁与风险也随之快速增长,我国整体防御能力提升速度仍滞后于威胁行为体攻击能力的发展,对国家级网络攻击的防范能力依然较弱,大量政企机构防御能力不足以有效防范定向勒索攻击等流行威胁。
为进一步提升我国网络安全建设成效,对关键基础设施等领域有针对性进行安全投入,并带动安全产业升级发展,本次两会期间,全国政协委员、安天集团董事长肖新光从建立网络安全效能导向机制、加强网络安全共性能力建设等角度提交了提案内容,并就如何落实相关要求提出了自己的看法。
建立网络安全效能导向机制
从当前安全实践来看,我国网络安全投入在信息化投入中的占比显著低于发达国家,一些行业和领域尝试以提升这一占比来增加投入,带动能力改善,但整体看进展未达预期。
“一个关键问题是以信息化投入作为网络安全投入的度量衡存在认知误区。”肖新光指出,这一认知偏差关键在于错误定义和窄化了网络安全的保障目标——网络安全保障的重点并非IT固定资产投入价值,而是业务和数据资产的全量运行价值。
网络安全所防范的风险也不只是IT固定资产风险,而是全局的业务和数据资产风险,并包括向国家安全、社会治理安全与公民个人安全传递的间接风险。业务数据价值和风险,均远高于IT固定资产的价值与风险。
以在信息化投入中的占比作为主要度量衡,既导致了对网络安全价值认知和风险认知的弱化,也并不完全匹配网络安全的运行规律,实际上制约了网络安全投入和能力提升。
另一方面,当前单纯依靠合规导向无法实现高水平防御。我国当前已经形成了相对完善的合规体系,完成了一定网络安全防御能力规划建设的必备基础工作。但由于缺乏构建动态综合防御体系的明确效能指引,加之实战演练活动中缺乏带有地缘安全背景的底线化的敌情想定分析推演,现有多数资产体系依然不足以应对高级网空威胁行为体的攻击挑战。
此外,网络安全建设过度依赖于责任主体投入能力也是当前存在的问题之一。“谁建设、谁负责”,“谁负责、谁买单”的责任制确保了每个机构都会落实网络安全工作,成为网络安全投入责任的主体。
但与此同时,也需要看到,网络安全建设水平必然受到投入主体的技术能力、运营水平和安全认知的制约,特别是投入能力与投入主体的财务能力高度关联。导致财务能力较弱的单位即使运行着极为重要的信息系统和资产,也没有足够的投入能力,甚至投入为零。
为解决上述问题,肖新光建议:一是构建基于运行价值和风险后果的“新度量衡”。网络安全并不是信息化的从属性和依附性元素,需要以保障全量资产价值和全局风险控制作为网络安全的独立效能目标。完善信息资产的运行价值评估和被攻击侵害影响的直接、间接风险后果量化评估方法,为网络安全投入的合理测算提供了更完整的依据。
二是建立效能导向建设机制,牵引关基安全建设向高限落实。建议相关部门提供方法体系赋能,协助关基机构和重点单位构建有效的“敌情想定”,根据其资产业务和数据特点,叠加到国际形势和地缘安全竞合中,分析其可能面临的威胁来源方向,根据不同威胁行为体的攻击意图、攻击能力、攻击方式、攻击技术、在历史攻击活动中导致的危害与后果等,综合分析所需要的投入以及预期的建设效果,构建以效能为导向的投入框架指引。
三是建立以责任主体投入为主、机动弹性赋能辅助的多元投入保障机制。在进一步强化关基单位、政企机构效能导向,加强自身投入的同时,还需正视单纯依靠每一个政企机构的自我投入能力,防范高级网空威胁行为体的活动依然有很大困难,机构自身很难承载对全量资产最大化提升防护等级所需的运行成本。
因此,需要完善国家、地方和行业层面的弹性防御和赋能机制,包括国家和行业区域层面的托管运营机制、安全监管与托管协同互动机制等。以集约化方式构建可以在防御目标快速部署、机动设防、动态调整的防御赋能体系,在达成防御效能的同时,也降低了被赋能机构的整体投入压力。
加强网络安全共性能力建设
作为我国网络安全能力的重要支撑,安全产业既是重要的安全能力保障,也是市场中不可或缺的数字化产品。但在发展过程中,由于网络安全领域本身有需求细分特点,叠加于历史上的行业壁垒、复杂的产品资质体系等因素,导致市场供给形态由大量碎片化赛道组成。有效安全价值的效能要素尚未成为市场竞争的主导要素,关系和渠道依然占据关键作用。
肖新光表示,由于效能导向不足,最低价中标成为主要的竞争手段。由于难以取得价值深耕和差异性创新带来的溢价,规模型企业普遍走向横向生长模式:既忽略自身能力栈的支撑能力,无节制拓展自身产品赛道幅宽,片面追求适配场景全覆盖,有限研发能力被迅速摊薄,又依托于廉价、开源的能力获取,来进一步支撑产品幅宽和能力栈补齐,导致整体供给能力一定程度上处于“样样通,样样松”的状态,不仅检测防护能力参差不齐,甚至有些产品自身的代码安全工程能力也十分低下,反而造成了安全隐患。
此外,在网络安全共性能力建设方面,尽管我国网安标准体系、国家漏洞库建设都比较成熟,但仍存在在公共安全方法框架体系方面缺少类似CSF、Defend的结构性框架,在威胁模型和知识体系方面缺少类似MITRE ATT&CK的共性知识体系等问题。
值得注意的是,针对上述问题,例如网络安全产业的关键共性能力——威胁检测能力。以反病毒引擎研发维护为例,需要检测与识别的恶意代码总量,已经超过5万个家族、1500万个变种,覆盖超过百亿样本空间,日均新增超过200万个。需要大规模算力和规模性人力,才能有效支撑其研发和持续更新。
但网络安全关系型市场的属性特点,导致价值分配以客户界面和直接供应商为主导,加之上游安全能力是被前端产品封装的隐性价值,在价值链视角缺失的情况下,对于承担关键性研发和运营成本的创新主体,很难形成对等的回馈和保障。
对此,肖新光建议:一是推进网络安全产业的结构转型。对网络安全产业进行合理的布局规划引导,鼓励专精、扶持优势能力发展,抑制低效投入,促进合理分工,引导网络安全行业有序协同发展。
二是梳理共性能力需求频谱,建立共性能力链规划。深入研究网络空间的国家安全共性能力需求,对标分析发达国家共性知识与能力建设现状,与一体化国家战略体系和能力建设要求对齐,构建包括共性方法、共性技术、共性知识、共性平台在内的功能能力价值链。
三是对供给高水平共性能力的创新主体进行激励和保障。积极展开领域共性能力应用现状和共性能力创新主体调研,了解创新主体面临的困难和问题,围绕下一代安全引擎、安全加固内核、安全芯片等共性能力进行重点支持。
(作者:吴立洋 编辑:诸未静)
网络安全安天全国政协委员资产
新浪科技公众号 “掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
相关新闻 
