新闻快讯
< >

对话网络安保“国家队”人士范渊

范渊,第一个登上美国“黑帽子”大会(黑客大会)演讲的中国人,美国加州州立大学计算机科学博士,国家“千人计划”专家。他自主研发了国内第一款透明代理Web应用防火墙,填补了国内网络应用安全领域的空白。

归国后,范渊创办的杭州安恒信息技术有限公司,跻身全球网络安全企业500强,是500强中数据库和应用安全领域唯一的中国企业,曾先后为北京奥运会、国庆60周年庆典、上海世博会、广州亚运会、世界互联网大会、G20杭州峰会、金砖国家领导人厦门会晤以及党的十九大等重大活动提供网络信息安全保障。

半月谈记者独家对话范渊,倾听来自网络安防最前沿的声音。

对话网络安保“国家队”人士范渊-E安全

网络安全发展进入“大时代”

半月谈记者:这些年,国内对于网络安全的重视程度有了怎样的变化?

范渊:从美国回来这10年,头5年和后5年感觉截然不同,网络安全工作从边缘走到了中心。国家越来越重视网络安全,有关部门积极打击网络犯罪,网络安全保障体系越来越完善。

2017年6月1日,网络安全法正式实施,网络安全等级保护制度已经从过去的部门规章制度上升为国家法律。未来,网络安全领域会迎来新的挑战和更复杂的局面,必须加强前瞻性战略布局。

半月谈记者:为什么网络安全领域会迎来新的挑战和更复杂的局面?

范渊:首先,网络的特性决定了绝大多数情况下应用先行,等出了问题,安全防范才被提出来。随着数据的不断汇集,泄露的风险系数和泄密成本也在加大。其中,外部攻击与内部泄露,基本是五五分。

其次,在政务信息发展、智慧城市建设等过程中,数据安全已经越来越多地与每一个老百姓密切相关。不管是水、电等关键基础设施,还是购物、交通、社交等生活场景,信息化正在快速到达每个个体,这些数据都可能成为他人窥伺的对象。

随着数字经济的发展,网络安全的形态、范畴都发生了很大变化。在我国从网络大国走向网络强国的过程中,网络安全肩负着越来越大的责任。

网络安防应上升为国家行为

半月谈记者:面对新的挑战和更复杂的局面,我们应该怎么提前布局,进行风险防范?

范渊:在数字经济时代,信息需要打通、融合,数据需要管理、创新。各个领域都面临这样一个问题:数据在分析、挖掘过程中,会再产生更多的价值,但这同时又面临变成别人更精准目标的风险。这些大系统和海量数据,会成为国家和国家之间网络战的目标。就像刚才讲的,其中有一些在水、电等基础性设施领域,还有一些在金融等民生领域。

要站在国家的高度来考虑这个问题,从顶层设计上打通。目前的网络安全防范多是企业行为或民间行为,缺乏系统性,应该上升为国家行为,因为它直接关系到经济战略、未来战略,体量越大越有必要。

半月谈记者:互联网发展较早的欧美国家,在这方面是怎样处理的?

范渊:欧美国家网络安全法律启动比较早,对于隐私保护也比较早,欧洲现在出台了可以要求被遗忘的相关法律。在网站上的个人信息,个人有权利要求遗忘,但是目前国内还做不到。在国内,对于互联网公司来说,数据越多越好;对于企业来说,要收集大量信息。而对于用户来说,其信息应该得到足够保护。

半月谈记者:政务网站应如何进行网络安全防护?

范渊:对政务网站来说,即便不能用上最高端的防控技术和设施,也要达到基本水准。一是要对政务云实行统一保护,可以通过购买服务或网络安全保险,这对关键信息技术设施有更高的要求。二是对僵尸网站应当尽早排查后关闭,杜绝隐患。三是加快研发核心技术,实施产品国产化战略。虽然这样也未必绝对安全,但至少可控,因为源代码是自己的。

万千企业“上云”,更需注意安全防护

半月谈记者:从信息产业发展看,万千企业上云是未来的必然趋势,也是国家经济工作的重点之一。但很多企业有一个顾虑,企业的数据都被云服务提供商掌握了,如果泄露了怎么办?

范渊:互联网企业“联通一切”的思维和安全需要之间,有天然的矛盾。对企业来说,原来的封闭状态不用担心核心数据泄露,上了云确实会有顾虑。让政府和企业放心地上云、拥抱大数据和物联网,关系到未来国家策略能否高效实施。站在政府角度,需要对企业上云进行辅导、帮助和监管。

网络安全法专门写到数据运营者的责任,但如何实施和落地还没有明确。建议政府部门在顶层设计上明确数据运营者责任的实施方案。同时,上云的企业可以用加密模块,政府可以在这方面给予企业适当补贴。类似的顶层设计将对构建网络安全防护体系十分有效。

半月谈记者:具体如何用加密模块来保障安全?

范渊:比如,可以通过基于移动办公平台开放接口自主研发加密模块,采用国密标准实现企业信息在移动办公平台传输的全过程加密。除了通信双方,任何第三方(包括移动办公平台官方在内)都无法解密。这解决了企业在上云过程中担心云服务商获取企业数据的后顾之忧。

半月谈记者:从政府管理层面来说,能不能建立相应机制保障上云安全,从而让政府、企业放心地上云?

范渊:我认为可以建立运维管理员、安全管理员、安全审计员为主体的“三权分立”制度,三个角色互相制约,对网络安全方面的高权限人群进行分权管理、行为审计,避免“超级用户”造成的安全弊端。

政府完全可以在顶层设计上予以引导、明确。有无这样的制度设计,对未来完全不同。政府要在网络安全法的实施细则方面主动作为,加快制度设计,为国家安全提供坚强保障。(半月谈记者 沈锡权 商意盈 王俊禄 陈晓波)