我做过比较久的安全工作,也一直在混迹于各个安全峰会和微信群里,算是半个安全行业的从业人员。过去这2、3年积累了一些信息和观点,就想站在甲方企业的角度、结合自身的经验认知提一些想法和建议,主要是想跟国内的网络安全领域监管机构商榷,顺便听听同行的声音。因为平常少有机会接触监管,领导也经常说少惹麻烦,就更加没机会;但我想总还是需要有人发声,总还需要有人斗胆说两句抛砖引玉的话。完全是好心,也绝不针对谁,希望不会办坏事;因个人视角所限、如有说的不对的地方,请大家多多指正,我相信兼听则明、也一定有错则改。
1.可否通过法律法规明确一下网络安全的内涵?
-
应对各类网络攻击、入侵、控制、破坏、窃取和勒索行为;
-
应对、治理各类网络犯罪行为,与企业相关的更多的是应对各类网络欺诈、诈骗行为,与国家权力机关相关的更多的是应对涉恐涉爆涉政涉黄等犯罪行为;
-
保障企业信息系统稳定运行、持续提供服务;
-
做好数据安全、做到数据合规,以及保护个人信息;
-
治理不良网络舆论、水军、内容,保障内容安全;
-
掌握本国网络空间基础设施的主导权(如DNS解析权、海底通讯光缆);
-
关键信息基础设施及其软硬件的供应链自主可控(如各类计算机软硬件,水电煤气生产、运行和控制设备);
-
对网络空间敌对势力的感知、侦察、溯源、压制;
以上供参考,大体上1-5是企业需要深度参与的,6-8由国家层面主导。
2.可否整顿一下九龙治水的局面,明确各方职责、减轻甲方工作量?
-
2022上半年某计算机病毒中心发了一个App违法违规收集使用个人信息的通报。相信很多当事单位是很懵圈的,这是个什么单位?以前只知道四部委可以对这个事情进行监管处理,原来还有其他单位可以对这个事情进行监管和通报?
-
几年前GA部对某些央企进行了网络安全检查,提出了一些整改建议,其中就包括建议将所有下属子公司的邮箱统一纳管。当事单位其实是很疑惑的,GA部不是主管等保吗,你来检查、提建议这个动作算什么属性呢?帮忙、督导还是监管检查?那GA部提出的建议,央企是听还是不听呢?下属子公司行业、形态各异,统一纳管也是问题很多、争议很大,那最后是做还是不做呢?不做的话,那最后谁背责任?
-
全国性的网络安全攻防演练之外,各省、各市的网络警察也会组织各自辖区单位组织网络安全攻防演练,这是个挺好的事。但是最近有些省市区的网信办也在组织网络安全攻防演练,这就让企业有点无所适从了,如果监管部门都这么搞,你搞拉练,我搞演习,他搞督查,那企业还做不做工作了?虽说网络安全攻防演练应该常态化,但是现在很多企事业单位还没到那个成熟度,真正能7*24应对网络安全攻防的单位没几家,大家都怕监管处罚、都怕被攻破之后背责任,于是就要抛开正常工作专心应对演练,导致正常工作开展严重受影响。
-
浙江、广东的有些企业,近期会收到来自当地宣传部的一些网络安全通知、风险告警,当事企业开始也是很懵圈,这种事情不是应该CERT或网警干的吗?刚开始还以为是诈骗,问了一圈才知道是当地网信办监测发现了告警、转给企业要求处理。于是当事企业也有点奇怪,这是不是谁都能来发告警?
-
工信部下属各地通管局每年除了对运营商进行检查之外,还会对当地的部分龙头企业进行网络安全检查。说实话,不能说工信部做的不对,毕竟也是在履责,但是企业就会很疑惑,说好的各管一块呢,怎么好像谁都能管到我?
-
个别单位有着特殊身份,收钱不干活、不给钱就找麻烦的事情我就不说了。
-
个别监管机构和行业监管机构之间也存在互相不对付的情况。
-
请网信委、网信办组织调研听取各行业企事业单位、网络安全从业人员对网络安全工作的改进建议。这里尤其建议通过一些民间组织、社团听取从业人员的建议,因为很多真实的声音一旦通过企业、单位领导提交,就会被过滤、听不见;这种动作甚至可以建立成定期的机制,每年开展一次;
-
通过网信委、网信办的协调机制,明确区分网络安全工作中各单位的职责、协调机制,或建立类似防疫工作部际协调机制一样的机制,听取各方(包括各行业企事业单位)的工作建议,经过协调工作机制决策后,必须坚决执行;否则就很容易神仙打架,百姓遭殃;
-
在建立部际协调机制的基础上,基于“全国统筹一盘棋、总分关系看情况”的原则,每2年修订并公示网络安全战略和规划,就重点工作事项、各部委之间协作关系进行明确和定期调整,这样就在战略上把网络安全抓起来,把各个部委的分工、各个企事业单位的职责明确下来,大家战略清晰、目标明确、各司其职,也就好干活;
-
确保监管单位的职责与能力、资源匹配,如果有的监管单位不具备网络安全工作能力,那要么调整职责、要么就配备专业人员和相应资源。人员可以从其他部委抽调,也可以自己单独组建,也可以从厂商、甲方单位抽调,这样就保证职责与资源、能力匹配;
-
针对对金融、能源、通信等强监管行业,以行业监管部门为主导开展网络安全检查即可,如需外部专家参与,由行业监管部门邀请;
-
针对其他行业,在省级组成“网络安全联合工作组”,从各个条线抽调专家,并辅以外部专家,制订相对统一的检查标准,每年组织一次网络安全大检查,并对结果进行排名、公示;
-
建立网络安全领域的奖惩机制,一方面实打实地落实对企业、责任人的处罚力度,一方面也要有奖励机制,对做得好的企业、个人予以奖励、表彰。
以上建议,本质上还是希望基于分工明确、责任清晰的原则,把网络安全的工作做好、做扎实,也可以减少监管机构可能存在的不懂乱管、权力寻租的几率,与国家网络安全、企业安全、全社会群防群治的落地都大有裨益。
3.可否想办法撤换一些信息化部门主管或单位老板?
多年来,我一直有个比较激进的观点,网络安全要想干得好,需要至少把现有的IT部门主管(通常是网络安全负责人的上级)换掉一半才有可能,或者是换掉50%重点单位的老板。为什么?网络安全这么重要,一定要转变思想认识才能真正落地,不换思想就换人嘛!而网络安全工作要做好,确保投入资源、有人有钱是第一步的动作,这些资源就是由IT部门主管或单位老板提供的。如果网络安全做不好的主要因素是IT部门主管或单位老板给予的资源支持严重不到位,就要敢于把这些主管或老板换掉。
这个观点想表达的是,事情想做好,有合适的人是第一位的保障,网络安全要想做好,必须要保障行业从业者和他的直属上级是支持安全工作的。当然,这里的“支持”不一定是给人给钱,也可以给予工作便利或政策、权力支持。
《网络安全法》赋予了监管机构对单位和个人进行处罚的权力,但之前一直只是罚款、没有动摇责任人的地位,效果不够明显。很高兴看到近期《网络安全法》修订稿开始有这方面的转变,我积极支持并强烈呼吁监管机构要敢于对责任单位的责任人下手,动摇他们的地位或禁止从业,才能在整个网络安全行业里面、在企业里面真正重视网络安全工作,大家才能在网络安全领域投入资源,并关注网络安全工作的实际效果。
4.可否及时、公开、公平地披露重大信息安全事件的处置、处理结果?
这些年国内的重大网络安全事件依然很多,但是这些事件是不是真的存在,对于这些事件的后续处置、处理是怎样的,以及事件中暴露了哪些管理和技术漏洞、对其他单位有怎样的警醒和借鉴意义,从业人员都是一头雾水、欲知无门,最后只能靠猜测、打听、小道消息流传,以及若干年后公开的司法判决书。坦率地说,我认为这样并不利于网络安全的治理。
我强烈建议监管机构(既然是网信委、网信办主抓网络安全工作,我斗胆建议由网信委、网信办负责)及时、公开、公平地披露重大信息安全事件的处置、处理结果,尤其是这些事件某些时候可能还涉及监管机构、政府部门(典型如2022年某部门在国内公有云上的数据泄漏事件),尤其是这些事件在社会面上造成了极大的负面影响时,更加要及时公开。只有这样,才能给国内单位树立及时、有效的风险警示案例,进而推动各行各业的安全改进;只有这样,才能给国内单位树立典型案例,告诉网络安全从业者和企业主管领导,网络安全做不好既可能被处罚,还可能丢脸面;只有这样,才能倒逼网络安全从业者和单位主管建立强大的网络安全应急处置能力和溯源分析能力,否则一个事件发生了、当事单位居然没有能力应急处置和溯源分析,那全社会都会对他进行批评、形成强大的社会舆论压力。
5.可否鼓励并积极推进公有云(含SaaS服务)的使用,并推进其安全治理、鼓励使用云安全服务?
根据我与同行的交流,金融机构、政府单位的公有云(含SaaS服务,下同)使用比例是极低的,其背后的主要原因是行业监管机构或上级单位对使用公有云的不信任。一旦有金融机构或政府单位想使用公有云的时候,普遍面临的挑战是“把客户数据、政府数据放在公有云上,如果被公有云看了怎么办?数据泄漏了谁负责?”大家怕惹麻烦,那就只好用回私有云,或者索性不用云。
而根据我的初步调研和分析,使用公有云,可以大大优化信息化建设的成本结构、降低IT基础设施的投入;如果金融机构、政府单位愿意使用公有云的比例大幅增加的话,公有云降低资费标准的意愿也会大大增强;因为高端客户更多、业务场景更丰富、业务要求更严格,公有云也会将更多的投入用于提升产品和服务质量,进而形成公有云产业的良性发展循环,做大公有云市场的蛋糕、提升公有云产品的竞争力。尤其对于数量庞大的中小规模金融机构、政府单位,本身在IT的投入规模就不大,如果要把大量投入花费在基础设施上,同时还要建设各种私有化的安全能力,从成本投入上来看是多付出了很多,但最后往往做不好、还要被监管部门打板子,其实是两头为难、苦不堪言。
而所谓的公有云信任问题,其实也有一个逻辑怪圈。比如“把客户数据、政府数据放在公有云上,如果被公有云看了怎么办?数据泄漏了谁负责?”这个问题,既然监管机构已经知道公有云有信任问题了,为什么没有看到监管机构对此下手治理,反而是听之任之,于是一大票中小企业、私营企业只好在持续的不信任中使用公有云、将企业的数据放在公有云上,进而产生更多、更大的不信任风险?甚至现在我们看到国资云出现。试问这些没经过市场捶打、安全考验的国资云的技术实力、安全能力、服务质量怎么能比现在公有云强?反正我是不信。要知道,可信是分2个层面的,一个层面是忠诚度、遵守契约的意愿,一个层面是能力,两者缺一不可。
即便是让国资体系中技术能力最强的运营商来建设国资云,运营商固有的机制体制、人员薪资能力、企业文化也决定了其不可能比现在的公有云做得好。再有就是国内主流公有云上的安全能力都是大厂在支撑,这些大厂的安全能力在国际上相比都是响当当的,如果说政府单位、金融单位的网络安全重要,那更应该用最厉害的安全能力啊!
如果各方监管机构联合下手治理公有云的信任问题(监督检查也好,入股控股也好,建立准入准出机制也好),使之“可信”,我认为才是解决问题的正道。国内有影响力的公有云就那么几个(算上有影响力的SaaS服务也不是很多),监管起来其实并不费力。咱们国内的监管机构连MY都能收拾,还能收拾不了几个公有云?试问监管机构是希望面对几百家的政府单位、金融企业,还是愿意面对几个公有云单位?答案应该很明确。并且,从我和几家公有云单位的员工私下交流来看,公有云单位也是积极欢迎监管单位的检查和监督的。
基于积极推进公有云的运用,同时加强公有云的安全治理、推广使用云安全服务,也绝对是一件纲举目张的好事,一可以促进国内公有云产业的蓬勃发展、做大公有云市场的蛋糕,大幅提升使用公有云单位的安全水平,二可以降低使用公有云单位的IT投入、帮助企业减轻负担,三也可通过公有云获得更准确的安全监管数据,四可以促进公有云和云安全产品的国际竞争力提升,一举四得的好事、何乐而不为?
进一步的观点,金融业的一些头部机构也可以牵头建设行业云,行业中小单位与之共享共建,一方面摊薄头部机构的建设成本,一方面头部机构可以输出数字化能力、降低行业重复建设,这种想法应予积极鼓励。这当中当然也存在可信风险,但都是技术层面的问题、一定可以解决。只要大家一起努力,我相信建设信用中国的实践中,公有云的安全可信将是浓墨重彩的一笔。
以上观点,由于受到个人经历、能力所限,怕是不能万全,也可能说的不对,但纯粹出于一片公心,希望行业同仁少一些抱怨、多一些指点、商榷互助、解决问题,大家一起努力把网络安全这个行业做的越来越好,一起努力把我们国家建设成一个网络安全强国!
RECOMMEND
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:[email protected]
原文始发于微信公众号(SecUN安全村):试与国内网络安全监管机构商榷二三事|安全村
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论