两会专访丨全国政协委员、安天首席技术架构师肖新光： 要从网络强国战略高度看待政企网络安全问题

全国政协委员、安天首席技术架构师肖新光接受《中国电子报》记者采访时表示，我国应通过系统规划指引、保障资源投入、加强问责落实等措施相结合，以能力导向建设模式，全面提升政府、央企网络安全防护水平，进而全面增强我国网络安全整体防御能力。

据了解，安天是国家级网络安全应急支撑单位，长期专注威胁检测对抗核心技术研发，持续捕获监测分析外方对我国安全威胁，安天坚持为客户打造实战化运行的战术型态势感知平台，赋能客户筑起可对抗高级威胁的网络安全防线。肖新光认为，政企机构整体安全规划能力不足是网络安全建设的重要短板，当前的做法往往是在满足一般性合规要求基础上，再简单堆砌部分产品应对各类单点威胁。“如果没有系统规划指引，就会导致低水平的安全建设，无法形成有效防护能力，陷于反复被动跟进各种突发事件的状态中，同时忽略了更致命、更隐蔽的高级威胁。”肖新光说。

肖新光解释说，“网络空间面临着复杂严峻的‘敌情想定’，网络空间中从低水平的个体攻击者、到高能力/超高能力的威胁行为体，进行着复杂交织的行为活动。高能力网空威胁行为体，往往具有政府背景，其具有坚定的攻击意志，可以承受高昂的成本代价，由成建制的作业团队，在大规模工程体系支撑下，进行体系化网空情报活动和攻击作业。政企机构维护的重要信息系统和关键基础设施都是高级威胁行为体的攻击对象。 “在网络安全防控能力建设中，需要以国家层面的大规模工程建设作为主干。但网络空间是一个复合空间，这个空间由一个个政企机构建设运维的网络信息系统和信息基础设施所组成，这些信息系统的安全防护能力为基石。基石的稳固性依赖于每一个重要信息系统和信息基础设施的安全。” 肖新光对记者说， 面对这种层级的攻击，无论是物理隔离御敌于城门之外，还是堆砌几款产品保安全，都已经成为不切实际的幻想。

但仅靠政企自身层面很难解决问题，需要相关主管部门联合顶层驱动。具体来说，他提出三点建议：一是要从落实网络强国的战略高度来看待政企机构网络安全问题，为各级政企单位提出清晰的战略指引和体系化、框架性防护规划指引;二是对网络安全预算和资源投入落实给出硬性的工作要求，确保有效投入;三是积极探索通过国家监察体系对网络安全责任落实实施监督审查，形成深度问责机制。做到这三点，才能创造出网络安全的发展大环境，从旧的建设模式走向能力导向建设模式。

肖新光指出，能力导向建设模式就是要全面建设所有必要的安全能力，并使这些能力有机结合形成一个动态综合的网络防御体系。需要充分理解网络空间运行的技术与管理的复杂性，面对层出不穷的网络安全威胁，特别是体系化的网络攻击，各种防御环节单点失效是必然发生的，必须以体系对体系。

肖新光认为，“我们必须把责任落实到每一个政企机构的身上去，因为形成规划、执行预算、建设能力的由具体机构来执行的。”同时他建议，“每一个政府机构、央企都要以总体国家安全观，深入分析自身信息系统所承载的资产价值和关联影响，建立客观“敌情想定”，分析自身需要应对哪一层级的威胁行为体，做好安全规划，落实安全预算，按照能力导向建设模式去叠加演进，进行网络安全从基础结构安全、纵深防御、态势感知和积极防御、威胁情报的叠加演进建设，来形成自身的动态综合防御体系，做到在信息系统的规划、建设、运维全生命周期的网络安全机制，做到网络安全机制与信息化的每一个层次、每一个角落深度结合、全面覆盖，形成掌控敌情、动态协同的防御体系。”只每一个政府企业安全防护水平提升了，才能真正提升我国整体的网络安全防御能力，才能有效支撑我国在应对复杂严峻的风险挑战中的战略主动性。