8月7日，由公安部第三研究所《信息網絡安全》雜志主辦、北京知道創(chuàng)宇信息技術有限公司協(xié)辦的基于對抗的網絡空間安全高級研討會在京召開。與會專家結合自身工作，暢談網絡空間安全面臨的威脅以及應對方法。

國內網絡安全現(xiàn)狀遠比預期糟糕

如今，網絡空間已經成為繼海、陸、空、天之后的第五大主權領域空間，沒有網絡安全，就沒有國家安全。

公安部網絡安全保衛(wèi)局處長盤冠員表示，雖然我國網絡安全整體能力有提高，但被動局面未根本改變;關鍵信息基礎設施安全有所改善，但發(fā)展不平衡，安全隱患仍突出，風險大量存在。比如抗攻擊能力不強、內網安防不到位等。

國家為應對網絡安全問題，采取了一系列的行動。知道創(chuàng)宇作為某行動的支持單位，其安全服務產品線OSS總監(jiān)蔣佳良總結工作表示：“(安全)現(xiàn)狀遠遠比預期糟糕”，有的單位存在資產梳理不清、流量監(jiān)測不到位、安全意識薄弱、缺乏相關人力支撐等問題。

他還表示，弱口令、釣魚攻擊、新漏洞利用等都是企業(yè)容易遭遇的網絡安全威脅。

在眾多安全風險和漏洞中，中國電子商會自主可控技術委員會理事長馮燕春少將表示：“開源軟件廣泛使用，開源風險快速增加。”

她解釋說，開源治理公司——Sonatype的一項調查數(shù)據(jù)顯示,在調研的3000家企業(yè)中,每年每家企業(yè)平均下載5000個開源軟件，而開源代碼中存在的漏洞被黑產廣泛利用，并且，由于開源代碼成分未知，面對開源風險威脅，運維和應急響應均處于被動地位。

“國外開源軟件安全(產業(yè))已經開始爆發(fā)，國內市場開始萌芽。”馮燕春透露說，國外近幾年大的資本開始投入開源安全市場，比如Blackduck(開源代碼審計和管理領域的領導者)在2017年被Sonatype以5.48億美元收購，而國內相關開源軟件安全的研究成果僅在高校、研究所產出。

真正發(fā)揮網絡安全防護能力，需建立跨部門協(xié)同安全體系

如何構建安全的系統(tǒng)，應對網絡安全威脅?

人民銀行資深安全專家分享說，首先要解剖和反思自身系統(tǒng)存在的問題，比如是否存在威脅發(fā)現(xiàn)不及時、數(shù)據(jù)泄露風險大、認證與授權技術滯后、應用系統(tǒng)防護不足、安全運營支撐較弱、邊界防御不足、保障體系不完善等;然后進行自我救贖，以互聯(lián)網為突破口開展自主風險管理探索，逐步輻射覆蓋流程復雜、機構龐多、結構復雜的內部網絡和系統(tǒng)，形成以內部發(fā)現(xiàn)處置為主、外部支撐服務為輔的綜合處置能力。

她還強調，要真正發(fā)揮網絡防護的能力和水平，需要建立跨部門的互聯(lián)網協(xié)同安全體系，對內協(xié)同關聯(lián)運行部門，對外協(xié)同國家安全主管部門，建立應急響應協(xié)同處置工作機制。

文/南都個人信息保護研究中心研究員 尤一煒