全国政协委员、安天科技集团创始人、首席技术架构师肖新光做客人民网。
人民网北京3月15日电(丁亦鑫)13日,全国政协委员、安天科技集团创始人、首席技术架构师肖新光做客人民网,就网络安全等相关话题进行了交流。他建议,通过系统规划指引、保障预算投入、加强问责落实,形成良性发展大环境,全面提升政府、央企网络安全防护水平。
“今年政府工作报告中多次提到信息、信息技术的发展,国家的信息化发展速度非常之快。从增量部分来看,越是信息化高速发展越需要两翼齐飞,越需要在所有信息系统的规划、建设、运维全生命周期考虑网络安全问题;存量部分的防护不足,也需要填坑补课。作为网络安全工作者,我们希望能进一步加速把工作做好。”肖新光说。
反思:“缺少系统规划指引,就不能有效将预算投入转化为防护能力”
当前,“网络安全防控能力薄弱,难以有效应对国家级、有组织的高强度网络攻击”是众多风险中的一项突出风险。网络安全防控能力以国家大型工程为主干,以各政企机构建设管理的重要信息系统和信息基础设施的安全为基石。基石的稳固依赖于每个系统的安全防护能力,依赖于它的对应责任主体、建设运维机构,建设动态综合的网络安全防御体系。
肖新光表示,当前,无论作为需求方的政企机构,还是供给方的安全企业都存在一个共性问题——整体安全规划能力普遍不足。现行做法往往是满足合规要求基础上,简单堆砌部分产品应对各类单点威胁。但如何在系统规划、建设、运维中充分考虑网络安全问题、如何实现网络安全能力与信息化的深度结合、如何形成动态综合防御体系,缺少明确方法指引。
“过去把目光都放在增加投入上,但投入只是中段环节,没有足够的规划能力,投入就无的放矢,就无法保证能力有效落地,无法支撑预算框架和规模。”肖新光说,“不进行规划指引,单纯呼吁增加投入,很可能造成无效投入或虚假投入。”肖新光指出,能力建设离不开投入,投入离不开预算保障。越是面临严峻的风险挑战,提升国家安全能力的预算投入越需要优先保证。
建议:从三方面提升网络安全防护水平
肖新光指出,安全规划能力普遍不足、缺少充足预算资源保障、网络安全责任制没有完全落地,是当前网络安全工作中的三个短板。对此,他在今年的提案中建议:
一是应从落实网络强国的战略高度,为政企机构网络安全提出清晰的战略指引和体系化、框架性防护规划指引,将网络安全防护工作引导到全面建设所有必要的网络安全防御能力,并将其有机结合以形成动态综合网络安全防御体系的能力导向建设模式。
二是应对网络安全预算投入给出清晰的结构性保障要求,建立综合考虑信息资产价值、防护等级要求、敌情想定、防护效果的预算规划机制,对网络安全和信息化同步规划建设、防护缺失填坑补课等给出硬性工作要求,确保有效投入。
三是应在现有考核、监管、检查机制基础上,积极探索通过国家监察体系对网络安全责任制的落实实施监督审查,对政企机构是否及时有效制定规划、配置资源、执行预算,是否达成有效防护等督查问效,形成深度问责机制。并将政企机构网络安全责任融入本单位“三定”工作中,明确各部门职责规范。
