合規不是政府信息安全的全部

文 | 本刊記者 孫杰賢

合規不是政府信息安全的全部

文 | 本刊記者 孫杰賢

政府行業應該在合規的基礎上從4個維度來構建和增強自己的安全能力：防御，檢測，響應，預警。

進入信息社會，政府行業對IT和信息化的依賴程度不斷增強。

如果信息化無處不在，如果物物聯網在線，上到國家與政府，下到企業與黎民，最關心的是什么？

毫無疑問，是安全：網絡的安全，信息的安全。我們不想自己的汽車被別人遙控，不想自己的房子像玻璃一樣透明，也不想自己的國家像《C形包圍》一書擔憂的那樣：一旦發生信息化戰爭，我們將不堪一擊。

技術不是唯一手段

2016年7月27日，中共中央辦公廳、國務院辦公廳印發《國家信息化發展戰略綱要》，深刻詮釋了網絡安全與信息化發展間的辯證關系，提出二者是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施，做到協調一致、齊頭并進；切實防范、控制和化解信息化進程中可能產生的風險，以安全保發展，以發展促安全。

“以安全保發展”證明安全是發展的關鍵和基礎，“以發展促安全”則進一步要求，要用動態的、發展的手段解決安全問題。

安全是表面上看是技術問題，而背后是人的行為。所以，安全問題的解決不能僅僅依靠技術手段。正如奇虎360董事長周鴻在第四屆中國互聯網安全大會所言：當今的安全問題不能單純的依靠技術，更多需要的是各方的協同、聯動與合作。

因此，360提出安全協同的理念和倡議，主要包括3個層面：全球互聯網政策層面的協同，比如數字簽名，漏洞管理，僵尸網絡治理等；產業層面的協調，需要政府和企業共同推進，達成政府間、企業間、政府與企業間的互相信任與合作，以形成更加強大的安全產業生態；產品技術層面的協同，比如智能算法和數據的協同。

作為中國最大的互聯網安全公司，360擁有13億的終端用戶，擁有全球最大的活網址庫和海量的第三方數據庫，目前樣本庫總量已經超過95億，主動防御的日志庫總數已經超過5萬億條。360互聯網安全中心每天發現新惡意樣本109萬個，每天發現各類軟硬件漏洞、網站漏洞超過120個，這些數據還在源源不斷地更新。同時，360也擁有中國最多的網絡人才隊伍，這支隊伍在全球也是頂尖的。

即便是這樣，360也無法單槍匹馬地解決行業安全問題，哪怕是自己公司的網絡與信息安全問題。所以，我國的安全問題除了要擺脫核心技術受制于人的局面，形成安全可控的信息技術產業體系外，各方各層面的協調聯動同樣關鍵，需要各方在數據、能力、資源、知識、經驗和智慧方面的全面協同。

共同成長，才是生存之道。

而作為國家信息化的信息流的“匯聚節點”，政府行業在我國整個安全體系建設中首當其沖。

四維度重構政府安全能力

不知大家是否還記得，2009年我國政府機構曾經開展了一次全國范圍的信息系統安全大檢查，各部門以信息安全檢查為抓手，以查促防、以查促建，全面帶動和促進了政府行業信息安全工作。

但是今非昔比，政府機構對IT和信息化的依賴程度越來越高，而病毒類型與攻擊手段也是與時俱進，千變萬化的，更加隱蔽，危害也更大，尤其是隨著云計算和大數據技術的普及，網絡攻擊更是防不勝防。

國家互聯網應急中心——2015年，涉及政府機構和重要信息系統部門的漏洞型事件近2.4萬起，是2014年的2.6倍。

中國軟件評測中心——2015年，評估范圍內的900余家政府網站中，超過90%的網站存在各種危險等級安全漏洞，其中近30%的網站被監測到的安全漏洞數超過了30個，甚至有60余家網站的安全漏洞數量超過了100個。

360“天眼實驗室”——來自境外的國家級黑客組織“海蓮花”自2012年4月以來，針對中國政府、海事機構、海域建設部門、科研院所和航運企業，展開了長時間的APT（高級持續性威脅）攻擊，遍布國內29個省級行政區。

“以前，政府行業信息安全的標準似乎只有合規，只要做到合規便萬事大吉?！?360企業安全集團交付事業部總經理張龍表示，“但是現在的形勢不同以往了。首先，隨著電子政務建設的不斷深入，政府機構對IT的依賴程度在不斷增強，IT系統的規模和復雜度在不斷變大。其次，政府行業的互聯網化趨勢已經非常明顯，具體表現在終端的移動化和服務端的云化。這些變化對政府行業信息安全提出了新的要求和挑戰，之前那種不求有功但求無過的思維和原則已經行不通了。合規是一個基礎，在這個基礎之上讓大家有意識地去改變。有了意識，之后便會有理念、技術、產品、服務、運營等方面的變化?！?/p>

在張龍看來，政府行業應該在合規的基礎上從4個維度來構建和增強自己的安全能力：防御，檢測，響應，預警。他說：“政府部門傳統的安全系統就是按所謂的標準建立一套合規系統，包括防火墻、IPS、防病毒、終端管理、準入制以及SOC系統、網關、相關軟件類等。這種類似‘扎籬笆’或者‘壘城墻’的被動式防御模式顯然已經無法滿足當前的要求，需要重構安全能力。因此，在這些防御的基礎上還有再輔以很好的檢測手段，能夠及時發現潛在或正在的攻擊，然后要能及時處理，形成相應和預警。”

張龍還指出，政務行業信息化有一個很明顯的特征就是部門內部條塊分割，這對部門內部以及跨部門的信息整合產生了障礙，安全亦是如此。因此，對于政府行業來說，共享與協同顯得尤為必要。信息安全不只是合規，信息安全還要解決責任問題，需要協同體系，如果不協同作戰很多事情都無從談起。