21世纪经济报道记者白杨 北京报道
7月13日,奇安信集团董事长齐向东在2022北京网络安全大会上表示,过去,业界普遍认为网络安全不存在“绝对安全”的状态,但经过实战的充分证明,只要将“零事故”作为目标,就能满足对“绝对安全”的无限追求。
很多企业在进行网络安全防护系统建设时,主要针对过去出现过的安全事故,采用相应的防护技术和产品。这样的防护系统往往存在极大的安全隐患,因为过去没有发生,不代表未来不会发生。
在齐向东看来,只有以“零事故”为目标,努力穷尽所有可能的风险,并一一进行防护,才有可能实现网络安全的万无一失。
因此,其认为,“零事故”应该成为千行百业网络安全建设的新目标。而这,也是网络安全产业向更高水平发展的必经之路。
当然,“零事故”不代表“绝对安全”,也不是零攻破。
齐向东指出,当个别的终端、服务器或者其他的网络资产被破坏,只要能快速采取措施,比如隔离、停机等,最后没有影响到办公和对内对外的业务,它还是“零事故”。
三条标准
在齐向东看来,网络安全“零事故”具体有三条标准,分别是业务不中断、数据不出事、合规不踩线。
业务不中断其实很好理解。在数字时代,业务变得越来越开放互联,一旦中断,就可能是重大网络安全事故。轻则营业收入、口碑受损;重则触犯法律,直接威胁社会生产生活和国家安全。
今年以来,国际货运巨头、轮胎制造巨头、汽车租赁巨头相继遭受网络攻击,导致业务大范围停滞,带来严重的负面影响。
而数据方面,目前已经成为核心生产要素,如果拧不紧数据“安全阀”,将造成难以承受的后果。
最近几年,数据泄露造成的损失变得越来越大。IBM发布的《2021年数据泄露成本报告》指出,2021年每起数据泄露事件带来的平均损失高达424万美元,同比增加10%,达到了七年来的最大增幅。
此前,我国已先后发布了《数据安全法》、《个人信息保护法》《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例》(征求意见稿)等。
这说明数据安全已经进入了强监管的新阶段,而确保数据不出事,是实现“零事故”的重要指标。
合规方面,齐向东表示,一直以来,很多企业都对合规存在误解,认为合规是网络安全工作的目标。事实上,合规是网络安全的基本要求和底线。企业不遵守安全规范,就像没有打牢地基,注定无法长久。
尤其是现在,合规已经成为各类数字化业务安全开展的前提,并进入用结果来评判的新阶段。
企业要确保合规不踩线,必须用更严格的标准要求自己。除了部署先进的产品,还要不断发现新问题、解决新问题,以及提高各个系统平台的安全防护能力。
三个要求
至于如何实现“零事故”目标,齐向东总结了三个要求:第一要求是,“零事故”要求联合作战。
齐向东指出,安全公司应该和客户达成共识:网络安全是一个技术体系,单一的产品无法实现安全。
而在一个完整的安全体系里,应该有很多执行不同任务的安全产品,它们联合作战,在功能上互相弥补,才能实现保卫网络安全的目标。
第二个要求是,“零事故”要求精准防护。这里既要防外部攻击,也要防“内鬼”。
齐向东表示,防“内鬼”的核心是管特权。特权账号是通往企业数据大门的“钥匙”,是在业务流程中对重要数据进行访问或操作的都是特权账号。
所以要防“内鬼”,首先要把“账号特权”管起来,对特权账号的开设、使用、注销进行全生命周期的统一管理,再根据它进行网络操作的行为数据分析账号风险,及时发现“僵尸”特权账号,消除特权账号的安全隐患;
其次,要治理“一号多用”现象,一个账号多人使用,导致访问行为不规律、不可控,给数据安全管理制造了障碍,埋下了隐患,一经发现要立刻降权;
最后,要用密码保险箱解决“账号弱口令”问题,在实际工作中,弱口令普遍存在,并且长时间不修改密码,黑客可以通过猜测或其他方法轻易破解密码,而密码保险箱可以实现“一次一密”,防范密码泄露和身份仿冒风险。
除此之外,精准防护还需要实现全局管控。而全局管控的核心是“零信任”策略,默认任何人、任何设备都不可信,在用户的每一个网络访问活动中都要重新检查凭证,以实现“权限最小化”,从而降低被攻击的风险。
第三个要求是,“零事故”要求深度运营。深度运营的目的是通过不断发现问题、改进问题,既确保企业合规不踩线,又让网络安全免疫力不断提升,更好地解决日益复杂的网络安全难题。
齐向东表示,企业通过深度运营,能让安全体系和能力真正“活”起来。比如在合规运行方面,我国已经建立起一套相对完善的网络安全法律合规框架,企业要确保合规运行,不能仅依靠“三员”——运维员、技术员和管理员,而是要充分运用技术手段,建立能审查、能告警、能自证清白的体系。
(作者:白杨 编辑:张伟贤)