齐向东：制定自主网络安全体系框架的国家标准迫在眉睫

　　“制定自主网络安全体系框架的国家标准迫在眉睫。”5月10日，奇安信集团董事长齐向东在全国信息安全标准化技术委员会2021年第一次工作组“会议周”活动上表示，当日美国首次因为网络攻击宣布进入国家紧急状态，再次说明网络安全不是加强某个环节就能解决的，需要提升整体的防护水平，建立完整的网络安全体系。

　　唯有完整的安全体系才能应对新时代的网络安全挑战

　　“我们已经进入了一个新时代，新时代是数字化的时代，企业政府都把数字化转型列为头号发展战略。”齐向东表示，数字化加速发展的同时，尚未形成完整的网络安全体系正面临五大挑战：供应链安全、漏洞威胁、勒索攻击、数据泄露以及“内鬼”。

　　他指出，供应链安全是其中的最大挑战。供应链在开发、交付、使用三大环节均存在风险，开源软件和源代码亦暗藏危机。我国企业在开发阶段广泛应用不安全的开源软件，自主开发的程序天然存在缺陷，都对供应链安全造成巨大威胁。

　　齐向东表示，除了不可避免的漏洞威胁，勒索攻击泛滥成灾也是重大挑战。北京时间5月10日，受到勒索软件攻击影响，美国最大燃油运输管道商被迫暂停输送业务。美国政府宣布进入国家紧急状态，这也是美国首次因网络攻击而宣布进入国家紧急状态。

　　面对复杂的网络安全威胁，齐向东表示：“唯有完整的安全体系才能应对新时代的网络安全挑战。”

　　用自主网络安全体系框架护航数字化发展

　　当前政企机构建设完整的网络安全体系，面临着“有愿望、没思路”和“有思路、没方法”的挑战，究其本质还是缺乏自主网络安全体系框架。

　　齐向东指出，以“内生安全”框架为代表的自主网络安全体系框架，通过以系统工程改变过去局部整改、辅助配套的建设模式，系统化建设完整的网络安全体系，明确“思路”；通过以具体的工程和任务引导网络安全体系的规划、建设与运营，给出“方法”。随着具体工程和任务的落地，政企机构将拥有体系化网络安全能力，从而实现保障数字化业务的目标。

　　具体来说，可以通过“盘家底、建系统、抓运营”三个关键点来落实:“盘家底”指的是要体系化地梳理出总资产数据库和全部安全能力；“建系统”指的是将安全能力组件化，以系统、服务、软硬件资源等不同形态，科学、有序地部署到信息化环境的不同区域、节点、层级中，确保安全能力可建设、可落地、可调度；“抓运营”指的是确保安全运行的可持续性，只有强调安全运行，才能跑得赢漏洞、内鬼和黑客。

　　建议制定自主网络安全体系框架国家标准

　　自主网络安全体系的完整建立，还需要有相应的框架和标准，以保证其在未来可以持续性改进和发展。为推进自主网络安全体系框架国家标准的制定，齐向东提出了四点建议：

　　一是制定安全能力建设体系标准，需要确保安全能力的完整性和关联性、明确IT与安全的融合；

　　二是制定关键技术产品体系标准，实现对关键技术和产品的查缺补漏、定义产品和技术之间的互联互通关系；

　　三是制定安全运营体系标准，需要明确系统间联动的技术指标、实现技术和管理的融合、实现安全运营的服务规范性；

　　四是制定安全效果评价标准体系，围绕建设效果、运营效果、新风险跟踪三方面评价，分阶段展开。（王京）