齐向东:网络安全“零事故”要求精准防护
7月13日,北京网络安全大会主席、奇安信集团董事长齐向东在BCS 2022战略峰会上表示,实现网络安全“零事故”目标,需要做到精准防护,防住“内鬼”和外部攻击,并实现全局管控。
北京冬奥会之前,业界普遍认为网络安全不存在“绝对安全”的状态。奇安信作为奥运史上首家网络安全官方赞助商,创造了奥运史上网络安全“零事故”的世界纪录。
齐向东表示,网络安全“零事故”应该成为行业新目标,向千行百业推广。他总结了“零事故”的三条标准:业务不中断、数据不出事、合规不踩线。对应这三条标准,实现网络安全“零事故”目标需满足三个要求:联合作战、精准防护和深度运营。
其中,精准防护是实现数据不出事的关键。在近几年数据安全相关法律法规相继实施的背景下,政企组织对数据安全的要求也随之提升。数据安全已经进入了强监管的新阶段,确保数据不出事,是实现“零事故”的重要指标。
齐向东强调,精准防护首先要“防内鬼”,这一步的核心是管特权。特权账号是通往企业数据大门的“钥匙”,要把“账号特权”管起来,对特权账号的开设、使用、注销进行全生命周期的统一管理;治理“一号多用”现象,一经发现立刻降权;解决“账号弱口令”问题,用密码保险箱实现“一次一密”,防范密码泄露和身份仿冒风险。同时,通过堡垒机,实现所有账号对数据访问的安全管控;通过数据库审计,确保一切数据操作行为可追踪、可溯源。
其次,精准防护要防住外部攻击,这一步的重点是给API上锁。API接口是数字系统的神经元,具有联络和整合输入信息并传出信息的作用。一个中型数字化企业中的API接口数量可能多达数万个,通过API接口盗窃数据已成为网络攻击的重点。奇安信的API安全卫士可以识别网络中的API资产信息,监测并预警API传输中的敏感数据,及时发现API的异常行为。
最后,精准防护还需要实现全局管控,这一步需要施行“零信任”策略。“零信任”默认任何人、任何设备都不可信,在用户的每一个网络访问活动中重新检查凭证,以实现“权限最小化”。一方面,对主体身份进行动态授权管理,确保主体身份可信;另一方面,通过主客体的身份管理系统和风险管理系统,持续进行信任评估,确保行为操作合规。一旦发现异常行为,立刻冻结权限,从而有效降低数据安全风险。
齐向东表示,网络安全“零事故”是可落地、可实现的目标。“零事故”之路,将加快网络安全领域的创新,推动网络安全防御能力实现新飞跃。