文 | 本刊記者 孫杰賢

合規(guī)不是政府信息安全的全部

文 | 本刊記者 孫杰賢

政府行業(yè)應(yīng)該在合規(guī)的基礎(chǔ)上從4個維度來構(gòu)建和增強(qiáng)自己的安全能力：防御，檢測，響應(yīng)，預(yù)警。

進(jìn)入信息社會，政府行業(yè)對IT和信息化的依賴程度不斷增強(qiáng)。

如果信息化無處不在，如果物物聯(lián)網(wǎng)在線，上到國家與政府，下到企業(yè)與黎民，最關(guān)心的是什么？

毫無疑問，是安全：網(wǎng)絡(luò)的安全，信息的安全。我們不想自己的汽車被別人遙控，不想自己的房子像玻璃一樣透明，也不想自己的國家像《C形包圍》一書擔(dān)憂的那樣：一旦發(fā)生信息化戰(zhàn)爭，我們將不堪一擊。

技術(shù)不是唯一手段

2016年7月27日，中共中央辦公廳、國務(wù)院辦公廳印發(fā)《國家信息化發(fā)展戰(zhàn)略綱要》，深刻詮釋了網(wǎng)絡(luò)安全與信息化發(fā)展間的辯證關(guān)系，提出二者是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實施，做到協(xié)調(diào)一致、齊頭并進(jìn)；切實防范、控制和化解信息化進(jìn)程中可能產(chǎn)生的風(fēng)險，以安全保發(fā)展，以發(fā)展促安全。

“以安全保發(fā)展”證明安全是發(fā)展的關(guān)鍵和基礎(chǔ)，“以發(fā)展促安全”則進(jìn)一步要求，要用動態(tài)的、發(fā)展的手段解決安全問題。

安全是表面上看是技術(shù)問題，而背后是人的行為。所以，安全問題的解決不能僅僅依靠技術(shù)手段。正如奇虎360董事長周鴻在第四屆中國互聯(lián)網(wǎng)安全大會所言：當(dāng)今的安全問題不能單純的依靠技術(shù)，更多需要的是各方的協(xié)同、聯(lián)動與合作。

因此，360提出安全協(xié)同的理念和倡議，主要包括3個層面：全球互聯(lián)網(wǎng)政策層面的協(xié)同，比如數(shù)字簽名，漏洞管理，僵尸網(wǎng)絡(luò)治理等；產(chǎn)業(yè)層面的協(xié)調(diào)，需要政府和企業(yè)共同推進(jìn)，達(dá)成政府間、企業(yè)間、政府與企業(yè)間的互相信任與合作，以形成更加強(qiáng)大的安全產(chǎn)業(yè)生態(tài)；產(chǎn)品技術(shù)層面的協(xié)同，比如智能算法和數(shù)據(jù)的協(xié)同。

作為中國最大的互聯(lián)網(wǎng)安全公司，360擁有13億的終端用戶，擁有全球最大的活網(wǎng)址庫和海量的第三方數(shù)據(jù)庫，目前樣本庫總量已經(jīng)超過95億，主動防御的日志庫總數(shù)已經(jīng)超過5萬億條。360互聯(lián)網(wǎng)安全中心每天發(fā)現(xiàn)新惡意樣本109萬個，每天發(fā)現(xiàn)各類軟硬件漏洞、網(wǎng)站漏洞超過120個，這些數(shù)據(jù)還在源源不斷地更新。同時，360也擁有中國最多的網(wǎng)絡(luò)人才隊伍，這支隊伍在全球也是頂尖的。

即便是這樣，360也無法單槍匹馬地解決行業(yè)安全問題，哪怕是自己公司的網(wǎng)絡(luò)與信息安全問題。所以，我國的安全問題除了要擺脫核心技術(shù)受制于人的局面，形成安全可控的信息技術(shù)產(chǎn)業(yè)體系外，各方各層面的協(xié)調(diào)聯(lián)動同樣關(guān)鍵，需要各方在數(shù)據(jù)、能力、資源、知識、經(jīng)驗和智慧方面的全面協(xié)同。

共同成長，才是生存之道。

而作為國家信息化的信息流的“匯聚節(jié)點”，政府行業(yè)在我國整個安全體系建設(shè)中首當(dāng)其沖。

四維度重構(gòu)政府安全能力

不知大家是否還記得，2009年我國政府機(jī)構(gòu)曾經(jīng)開展了一次全國范圍的信息系統(tǒng)安全大檢查，各部門以信息安全檢查為抓手，以查促防、以查促建，全面帶動和促進(jìn)了政府行業(yè)信息安全工作。

但是今非昔比，政府機(jī)構(gòu)對IT和信息化的依賴程度越來越高，而病毒類型與攻擊手段也是與時俱進(jìn)，千變?nèi)f化的，更加隱蔽，危害也更大，尤其是隨著云計算和大數(shù)據(jù)技術(shù)的普及，網(wǎng)絡(luò)攻擊更是防不勝防。

國家互聯(lián)網(wǎng)應(yīng)急中心——2015年，涉及政府機(jī)構(gòu)和重要信息系統(tǒng)部門的漏洞型事件近2.4萬起，是2014年的2.6倍。

中國軟件評測中心——2015年，評估范圍內(nèi)的900余家政府網(wǎng)站中，超過90%的網(wǎng)站存在各種危險等級安全漏洞，其中近30%的網(wǎng)站被監(jiān)測到的安全漏洞數(shù)超過了30個，甚至有60余家網(wǎng)站的安全漏洞數(shù)量超過了100個。

360“天眼實驗室”——來自境外的國家級黑客組織“海蓮花”自2012年4月以來，針對中國政府、海事機(jī)構(gòu)、海域建設(shè)部門、科研院所和航運企業(yè)，展開了長時間的APT（高級持續(xù)性威脅）攻擊，遍布國內(nèi)29個省級行政區(qū)。

“以前，政府行業(yè)信息安全的標(biāo)準(zhǔn)似乎只有合規(guī)，只要做到合規(guī)便萬事大吉?！?360企業(yè)安全集團(tuán)交付事業(yè)部總經(jīng)理張龍表示，“但是現(xiàn)在的形勢不同以往了。首先，隨著電子政務(wù)建設(shè)的不斷深入，政府機(jī)構(gòu)對IT的依賴程度在不斷增強(qiáng)，IT系統(tǒng)的規(guī)模和復(fù)雜度在不斷變大。其次，政府行業(yè)的互聯(lián)網(wǎng)化趨勢已經(jīng)非常明顯，具體表現(xiàn)在終端的移動化和服務(wù)端的云化。這些變化對政府行業(yè)信息安全提出了新的要求和挑戰(zhàn)，之前那種不求有功但求無過的思維和原則已經(jīng)行不通了。合規(guī)是一個基礎(chǔ)，在這個基礎(chǔ)之上讓大家有意識地去改變。有了意識，之后便會有理念、技術(shù)、產(chǎn)品、服務(wù)、運營等方面的變化?！?/p>

在張龍看來，政府行業(yè)應(yīng)該在合規(guī)的基礎(chǔ)上從4個維度來構(gòu)建和增強(qiáng)自己的安全能力：防御，檢測，響應(yīng)，預(yù)警。他說：“政府部門傳統(tǒng)的安全系統(tǒng)就是按所謂的標(biāo)準(zhǔn)建立一套合規(guī)系統(tǒng)，包括防火墻、IPS、防病毒、終端管理、準(zhǔn)入制以及SOC系統(tǒng)、網(wǎng)關(guān)、相關(guān)軟件類等。這種類似‘扎籬笆’或者‘壘城墻’的被動式防御模式顯然已經(jīng)無法滿足當(dāng)前的要求，需要重構(gòu)安全能力。因此，在這些防御的基礎(chǔ)上還有再輔以很好的檢測手段，能夠及時發(fā)現(xiàn)潛在或正在的攻擊，然后要能及時處理，形成相應(yīng)和預(yù)警?！?/p>

張龍還指出，政務(wù)行業(yè)信息化有一個很明顯的特征就是部門內(nèi)部條塊分割，這對部門內(nèi)部以及跨部門的信息整合產(chǎn)生了障礙，安全亦是如此。因此，對于政府行業(yè)來說，共享與協(xié)同顯得尤為必要。信息安全不只是合規(guī)，信息安全還要解決責(zé)任問題，需要協(xié)同體系，如果不協(xié)同作戰(zhàn)很多事情都無從談起。