数字基础设施不仅包括大数据、云计算、人工智能、5G等新技术的数字技术基础设施,电子商务平台、生活服务平台、出行平台等传统商业形成的平台化基础设施,还包括数字技术融入传统的铁路、港口、电网等基础设施持续进行数字化改造和升级的新型物理基础设施。
数字技术在带来便利的同时,也成为滋生漏洞的温床。百亿级的设备和系统在互联网上紧密交织,产生了更多的连接点,这意味着会产生更多的漏洞,引来更多攻击,只要有一点突破,漏洞就能突破边界,直指核心资源。
齐向东指出了数字基建面临的六大漏洞难题:0day漏洞、Nday漏洞、安全防御体系漏洞、资产管理漏洞、供应链漏洞、内鬼漏洞。“全面提升数字基建的网络安全防御水平迫在眉睫。”
0day漏洞,可以通过第三代安全引擎“天狗”应对。“天狗”实现了“三不依赖”,不依赖特定操作系统,不依赖具体漏洞特征,不依赖个体专家能力。面对0Day漏洞,不仅防护效果显著,还可以在断网状态有效运行。
NDay漏洞,可通过威胁情报运营系统配合终端、服务器、边界安全设备应对。奇安信的一站式威胁情报运营系统——星轨,融合多数据情报来源,结合威胁图谱分析的关联视图展示,能帮助政企机构准确发现网络威胁,能打补丁的快速打补丁,不能打补丁的通过终端、服务器、边界安全设备,设定规则,进行相应的防护处置。
防御体系漏洞,用内生安全体系应对。防御体系的完整性决定了它的安全度。内生安全体系具有自适应、自主、自成长的特点,即使网络被攻破,也能保障业务安全。同时,在不断抵抗各类网络攻击的过程中,安全体系能通过全面监控和纵深防御,不断进行自我改进和完善,持续保证业务安全。
资产管理漏洞,通过资配漏补的系统安全应对。“资配漏补”是指资产管理、配置管理、漏洞管理、补丁管理四大基础安全流程,通过将其融入到日常运营中,不断收缩攻击面,将风险降到最低。
供应链漏洞,可通过天问软件空间测绘平台、代码卫士、开源卫士应对。天问平台基于软件元素身份标注技术,能精准匹配漏洞信息,分析提取依赖关系,准确评估漏洞影响范围,主动发现威胁事件;代码卫士可分析、审计源代码缺陷,及时完成修复;开源卫士可识别开源软件资产,分析开源软件的安全风险。
针对“内鬼”漏洞,需要做好特权账号管理以及零信任策略应用。齐向东强调,防内鬼的核心是管理好特权账号,不能只靠“三员”(管理员、技术员、操作员),而是要靠技术实现能审查、能告警、能拦截;而“零信任”策略,在用户的每一个网络访问活动中都要重新检查凭证,从而降低被攻击的风险。
据悉,此次年会在国家互联网信息办公室指导下,由国家互联网应急中心(CNCERT/CC)主办,新华网、中国通信学会协办。以“共建数字信息基础设施安全屏障”为主题,汇聚政府、行业专家、知名企业等各界代表,聚焦数字信息基础设施安全热点议题,共话数字信息基础设施未来发展趋势,共谋数字安全深入合作,筑牢数字经济和数字中国发展的网络安全屏障。
