以?xún)?nèi)生安全構(gòu)建體系化安全能力
數(shù)字化保障必須建立體系化的防護(hù)能力。吳云坤表示,綜合考慮國(guó)家監(jiān)管合規(guī)要求、數(shù)字化業(yè)務(wù)支撐、網(wǎng)絡(luò)威脅演進(jìn)等因素,針對(duì)網(wǎng)絡(luò)空間的巨系統(tǒng)性和復(fù)雜性,要用系統(tǒng)工程方法體系化構(gòu)建網(wǎng)絡(luò)安全能力,并在架構(gòu)演進(jìn)過(guò)程中,引入新思路。
吳云坤進(jìn)一步提出了新安全體系建設(shè)的三個(gè)關(guān)鍵點(diǎn)。
其一是建立能力導(dǎo)向、架構(gòu)驅(qū)動(dòng)的新安全體系。通過(guò)需求管控,將多源、動(dòng)態(tài)、零散的需求映射到統(tǒng)一標(biāo)準(zhǔn)的安全能力體系中,形成體系化作戰(zhàn);并將安全能力組件化,分布融入數(shù)字化業(yè)務(wù)各方面,實(shí)現(xiàn)信息化系統(tǒng)及基礎(chǔ)設(shè)施本質(zhì)安全。
其二是用內(nèi)生安全的方法指引新安全體系建設(shè)。內(nèi)生安全系統(tǒng)工程,就是把安全能力內(nèi)置到業(yè)務(wù)系統(tǒng)中。通過(guò)網(wǎng)絡(luò)安全與信息化環(huán)境進(jìn)行深度融合、全面覆蓋,真正做到“事前防控”。
其三是需要政企防御體系與網(wǎng)空對(duì)抗體系相互協(xié)同支援。北京冬奧會(huì)網(wǎng)絡(luò)安全保障通過(guò)全局性、系統(tǒng)性采用內(nèi)生安全框架進(jìn)行網(wǎng)絡(luò)安全規(guī)劃建設(shè)和運(yùn)行,實(shí)現(xiàn)了奧組委的信息化建設(shè)、奇安信的網(wǎng)絡(luò)安全體系建設(shè)、網(wǎng)信辦的網(wǎng)絡(luò)安全監(jiān)管的有效協(xié)同,共同構(gòu)建了面向冬奧保障的國(guó)家網(wǎng)絡(luò)安全能力體系,兌現(xiàn)了“零事故”的承諾。
以實(shí)戰(zhàn)化運(yùn)行保障網(wǎng)絡(luò)安全“零事故”
從冬奧網(wǎng)絡(luò)安全服務(wù)保障的成功經(jīng)驗(yàn)出發(fā),吳云坤進(jìn)一步總結(jié)了實(shí)現(xiàn)網(wǎng)絡(luò)安全“零事故”目標(biāo)的工作重點(diǎn):需要強(qiáng)化聯(lián)合作戰(zhàn)、精準(zhǔn)防護(hù)、深度運(yùn)營(yíng),開(kāi)展實(shí)戰(zhàn)化安全運(yùn)行。
聯(lián)合作戰(zhàn),構(gòu)建縱深防御體系、全面安全監(jiān)控和運(yùn)營(yíng)體系。網(wǎng)絡(luò)安全是一個(gè)技術(shù)體系,單一的產(chǎn)品無(wú)法實(shí)現(xiàn)安全。通過(guò)在信息系統(tǒng)上構(gòu)建多層的、異構(gòu)的網(wǎng)絡(luò)安全防線,當(dāng)一道防線被突破,還有下一道防線來(lái)阻止威脅。通過(guò)這種保護(hù)策略有機(jī)調(diào)動(dòng)安全產(chǎn)品,通過(guò)相互支持和配合,將安全威脅抵擋在外。
精準(zhǔn)防護(hù),保護(hù)核心數(shù)據(jù)資產(chǎn)。吳云坤強(qiáng)調(diào)了數(shù)據(jù)安全需要特別關(guān)注。通過(guò)“先理后治、補(bǔ)短固底”“系統(tǒng)治理、體系規(guī)劃”“有序建設(shè)、持續(xù)運(yùn)營(yíng)”三個(gè)階段,結(jié)合數(shù)據(jù)生命周期與業(yè)務(wù)流轉(zhuǎn)的雙視角,實(shí)現(xiàn)基于分級(jí)分類(lèi)保護(hù)體系,與精細(xì)化分級(jí)保護(hù)與分級(jí)流轉(zhuǎn)管控。
深度運(yùn)營(yíng),建立實(shí)戰(zhàn)化安全運(yùn)營(yíng)體系?;诙瑠W網(wǎng)絡(luò)安全保障過(guò)程中積累的經(jīng)驗(yàn),吳云坤指出,應(yīng)建立完善的管理辦法、制度規(guī)范、服務(wù)流程、SOP體系,確保所有操作有章可循,并通過(guò)反復(fù)演練形成“肌肉記憶”,以提高工作效率。