加入收藏 | 设为首页 | 会员中心 | 我要投稿 核心网 (https://www.hxwgxz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 业界 > 正文

破局政企客户网络安全困境,安全云服务大有乾坤

发布时间:2020-12-02 09:32:04 所属栏目:业界 来源:网络整理
导读:作者:华为安全产品领域总裁 宋端智 不久前,和国内某头部机场客户高层会面时,对方对机场当前网络安全现状忧心忡忡,提出了很多具体的问题,希望华为能够帮助他们建立一套安全体系,彻底地解决安全问题。我窃喜生意来了,毫不含糊地答应下来。 这类交流场
副标题[/!--empirenews.page--]

作者:华为安全产品领域总裁 宋端智

不久前,和国内某头部机场客户高层会面时,对方对机场当前网络安全现状忧心忡忡,提出了很多具体的问题,希望华为能够帮助他们建立一套安全体系,彻底地解决安全问题。我窃喜生意来了,毫不含糊地答应下来。

这类交流场景日渐普遍,让我感受到越来越多客户高层对网络安全的关心和重视,同时更感受到了他们的担心和焦虑。面对这个现象,从事网络安全产业的我理应开心,但其实内心极度不安:且不说管理、制度、流程、员工意识等非技术方面的因素对客户安全建设效果的影响,仅就技术、产品、服务等相对可控的因素而言,大部分客户在非常有限的预算下,如何才能“彻底地解决安全问题”呢?

一、不可持续的网络安全建设困境

大部分国内企事业单位的网络安全的现状是不容乐观的,这一点从这几年相关部门组织的全国性实战攻防演练行动可以看出来。虽然每次攻防演练都有一部分单位“幸存”下来没有被拿下标靶,但我们要认识到这背后所付出的有些“努力”是不可持续的:

首先,业务影响的不可持续:很多单位为了应对攻防演练,在演练期间通过拔网线等神操作将很多互联网业务下线,不仅本单位员工的正常工作受到影响,所服务用户也无法正常办理业务。这类神操作日常不可能落地。

其次,投入的不可持续:攻防演练期间,除了调动单位内部的员工外,还通过各种方式招募了大量的安服人员,有些是每天花费上万元短期租借的,有些是从安全厂商临时借调的。这么多人员的投入在日常是不可持续的。

这几年国家组织的实战攻防演练价值很大,大幅度提升了各个单位对网络安全的重视程度,也一定程度上促进了安全体系的建设。然而大部分企事业单位临阵磨枪仓促应战的这种应对方式并不理想。如何才能变“应试教育”为功夫在平时的“素质教育”方式呢?

从网络安全建设和日常运营水平这个角度来说,我们可以粗略地将国内企事业单位分为三大类:

第一类高水平的单位数量不多,全国不超过100家,主要包括BAT这类互联网大厂、五大行、头部的股份制****、华为等。这类单位对安全的重视是自发的,业务驱动的。安全方面投入大、能力强,安全体系的建设主要以我为主,安全厂商、服务商是配角,提供一些产品和外包安服人员。这类单位可以相对轻松地应对常规的网络安全事件,实战攻防演练过程中也表现的最为淡定。投入大,不仅仅是指购买安全产品、方案、服务,更大的投入是维持一支专门的安全团队。团队中的高端安全人才一个人一年的收入就可能达到数百万,堪比某些大型单位在安全方面全年的预算。这类企业有点像旧时代的巨富,自己雇佣了不少武林高手看家护院,保护自己的安全。这种方式其他人只能羡慕无法模仿。

第二类中等水平的单位大量存在,数量以万计,包括大部分大型和部分中型企事业单位,比如地市级以上政府委办局,大型制造型企业、高速公路集团、地铁、大型医院、高等院校等。开篇提到的某机场也属于此类范畴。这类单位每年一般有上百万到千万不等的安全预算,有一个很小的网络安全部门或至少有一个人对网络安全负责任。他们的安全投资以合规驱动为主,依靠安全厂商或集成商进行建设,从厂商或服务商那里买一些驻场服务,整体安全建设和运维水平无法令人放心。非攻防演练期间,可能轻易就被普通水平的黑客攻陷;攻防演练期间,通过“不可持续”的努力防守有可能涉险过关,但大概率还是会被攻陷。

第三类网络安全建设和运营水平较低的单位普遍存在,数量以百万计,几乎包括所有的小型和大部分中型企事业单位,比如非三甲医院、普通中小学、一般的制造企业、县级政府单位等。这类单位在安全上或基本没有投资,或每年几十万以下,没有专门的安全负责人,也买不起驻场安服人员,即使曾经投资了基本的安全建设,也由于设备过于专业,没人持续运维而无法发挥作用。针对这一类单位,一个具有传染性的普通病毒,比如勒索软件就有可能导致整个信息系统不可用。

后两类单位的确需要改进,然而客观地说,我们不能要求他们在投入有限的情况下向第一类单位看齐,奢侈的豪华配置是无法推广到这些单位的。在当前的安全建设思路下,他们陷入进退维谷的境地:一方面是各种法律、制度、责任、攻防演练、安全事件带来的压力让其不得不想办法应对,想找到一个有奇效的药方解决网络安全问题;另一方面业界不断涌现的各种网络安全新理念、新技术显得遥不可及难以落地,安全厂商、服务商开出的各种灵丹妙药好像都不对症,至少在自己可获得的预算前提下解决不了关键问题。

这两类单位到底应该采用什么样的网络安全建设思路才能在有限的预算下解决问题呢?作为经常用APT、有组织的高级黑客等潜在威胁来“吓唬”这类客户、“忽悠”他们花钱采购自家安全产品和服务的安全厂商,我们更应该思考这个问题,否则这个产业很难进入一个良性的状态。

二、网络空间环境的“破窗理论”

有一个社会安全的治理案例可拿来参考。在1994年之前,纽约的犯罪率居高不下,过去多年纽约市警察局采用各种措施都不见成效,许多社区、地铁站很不太平,恶性刑事案件频发。新上任的警察局长是从交通警察局长岗位上提拔的,他把自己过去4年在地铁治安秩序治理的思路引入到纽约市治安治理中。在地铁治安治理过程中,他从以前没人管的地铁涂鸦和逃票开始治理。以逃票为例,过去纽约地铁逃票成风,警察基本视而不见,抓住逃票者也只是训斥教育。该局长上任后要求每个逃票者都必须接受盘问,后来发现1/7的被捕者曾经有过刑事拘留记录,5%的人随身携带武器。这样一来,警察们很快就不再怀疑打击逃票现象的重要意义了。在该警察局长的新策略下,纽约市的犯罪率神奇地急速下降,就像地铁系统曾经经历的情况一样。

从地铁涂鸦和逃票这种轻度违规行为开始治理,带来整个城市的犯罪率下降,这背后的逻辑是什么?答案其实挺简单,就是著名的“破窗理论”:如果一个窗户被打破了,过了很久也没有人来把它修好,行人就会以此推断,这是个没人管理的地方。很快,就会有更多的窗户被打破,然后无政府主义就开始从这幢楼向相邻的街道蔓延。如果某个区域原本不是倒垃圾的地方,有人扔了一些垃圾在那里,其他人看到后很可能将手中的垃圾扔在同一个地方,如果一直没人清理,最终可能演变成垃圾堆。秩序井然的社会和秩序混乱的社会相比,哪一个犯罪率更高?答案是显而易见的。

(编辑:核心网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

热点阅读