版权归原作者所有,如有侵权,请联系我们

疏而不漏——链式安全妙计

CCF计算机科普
由中国计算机学会主办,提供优质的计算机科普内容。
收藏

一、疏而不漏

大东:小白你在看电视剧呐!

小白:惭愧惭愧,今年第一次看电视剧就被东哥发现了,中午休息一下~

大东:看的什么剧?

小白:当然是开年大戏《狂飙》啊!善恶到头终有报,快哉,过瘾!

大东:是的,警察抓坏人的故事总会让人热血沸腾,正是有这些坚守正义的人民卫士,我们才能享受幸福美好的生活。

小白:是啊,这让我想起了七宗罪和八个打。(《网络安全“八个打”(上)》

《网络安全“八个打”(下)》《网络安全的“七宗罪”》)

大东:其实这类题材的电视剧,我觉得最值得看的点,可以概括为八个字。

小白:哪八个字?

大东:天网恢恢,疏而不漏。

小白:嗯。这句成语其实暗示了宇宙间的隐秘运行法则,任何不正当的行为最终都无法逃脱惩罚,而正义的力量最终会得到伸张。网孔看似有很多缝隙,但这个天网都能够捕捉到所有的过错和不义,进而时刻提醒人们要对自己的行为负责。

大东:你说得对。但是从另外一个角度去思考,却可以发现另外一层道理。你想想看,为什么会“疏”呢?

小白:我想主要原因是不可能常态化投入那么多啊。

大东:对咯。一个健康的社会组织形态就是需要利用合适的成本维护社会治安。

小白:嗯嗯。

大东:因此,这个“疏”是有原因的,即警力的“网”是有网孔的,这属于正常现象。但是只要保证它不“漏”,即使犯罪事件出现,恶劣后果也能快速被扼制,可以满足社会普遍治安要求。

小白:东哥,你今天不会是给我讲影视观赏和今日说法的吧?

大东:当然不是哈哈。其实“疏而不漏”的思维对产业数字化安全建设思路来说,敢疏而不漏的核心在于规则和链条的刚柔并济。

小白:刚柔并济?

大东:是的,链式安全建设的妙计,应该围绕“疏而不漏”展开刚柔并济实施。姑且称之为“疏而不漏”计。

小白:东哥快快道来,我都迫不及待啦!

二、主体——降本

大东:疏而不漏值得借鉴的第一层含义,就是付出小成本解决大问题。所以主体这一块,主要是降低成本。

小白:的确如此,利用有限布置的警力来保障人口城市的治安,这就是典型的付出小成本解决大问题啊。

大东:没错。借鉴哲学思想,今天的妙计可以分为四个体,分别是主体、客体、本体和超体。

小白:东哥,主体是指什么呢?

大东:我们以前经常讨论两类网络安全防御模式:自卫模式和护卫模式。自卫模式是指依靠自身强化安全以自卫,而护卫模式则是通过外部协助防御来护卫。对于链式安全建设来说,就是要以自卫模式为主体开展数字安全韧性能力建设。

小白:原来是这样,我明白了。

大东:在地方志里面我们提到过数字安全包括网络安全和数据安全,但产业毕竟是由大大小小的企业构成,所以首先要摸清企业的核心关切,才能找准数字化的切入点。那么企业最关心的要素是安全风险,企业往往害怕盈利受到损失,因此他们关心的事件主要是由合规、以企业为目标的诈骗以及黑产等类目。

小白:我顺便来上一下相关链接:《数字安全锦囊丨大东话安全》

大东:所以数字化应该围绕提质、降本、增效、减损等这几点企业核心关切来开展建设。只有满足了产业链上全部企业的合理诉求,产业链、供应链的安全建设才有保障,数字化的建设前途才会更加顺畅。

小白:明白了。

大东:嗯嗯。整体上看,网络安全一直都是一个快速更新演进的领域,所以产业数字化建设的安全韧性也需要紧跟时代的步伐,坚持与时俱进。

三、客体——减损

小白:讲完了主体妙计,那么东哥,客体的妙计有哪些呢?

大东:客体部分,是指产业中的软件供应链安全能力建设,因为软件供应链是产业数字化塑造过程中重要的客体对象。通过增强软件供应链的安全性和韧性,从而对整个产业链“减损”,这可以起到有效保障数字安全体系的稳定运行的作用。

小白:那产业链的“减损”具体包括哪些措施呢?

大东:比如供应链审查。数字产业化韧性能力建设要求,在选择供应商和合作伙伴时,对其进行全面的供应链审查,也就是开展“四评”,评估、评审、评定以及评议。不仅要评估他们的安全控制措施、安全实践和安全意识,确保他们有能力提供可信赖的软件和服务,还要开展持续性的安全监测和风险管理评审活动,建立持续监测机制,及时识别和应对潜在的安全威胁。同时还要进行风险评定和管理,以确保供应链的安全性。

小白:我觉得,开放信息评议共享与合作同样很重要。

大东:当然啦,积极参与安全信息评议共享与合作机制,与其他组织、行业和政府共同应对供应链安全挑战是产业链建设中不可或缺的重要力量。通过共享共评信息和经验,可以有效增强整个供应链的安全能力。

四、本体——提质

小白:嗯嗯。那东哥,本体的妙计是指什么呢?

大东:本体是指数字产业化的合规管理,进而实现“提质”的目标。比如,供应商的“四规”就是一个基本要求。

小白:那这四个规范分别代表什么呢?

大东:它们分别是合作规范、培训规范、管理规范和审核规范。首先是合作规范,与供应商签订合同时,明确安全要求和合规标准,包括安全控制措施、数据保护要求、合规性要求等,以确保供应商在合作过程中遵循相应的安全标准和法规。要求供应商遵循最佳实践,如采用安全开发生命周期(SDLC)、进行代码审查和漏洞扫描等。

小白:好的,我懂啦。关于下一个培训规范,我觉得是要加强供应商培训,给他们提供相关的培训和指导,帮助供应商提高安全意识和技能,并开展独立的安全评估和认证,确保软件供应商的产品和服务都符合安全标准。通过采用多源供应商策略,降低对单一供应商的依赖性,这样可以降低因一个供应商的问题而对整个供应链造成的风险,如果供应链断了,那后果可不堪设想。

大东:你说得特别棒,事实上,很多央企在供应商合规管理的时候就采取了这些措施。

小白:那管理规范呢?

大东:围绕管理层面其实有很多事情要做。一是漏洞管理,建立漏洞管理机制,及时跟踪并处理软件供应链中发现的漏洞,确保及时安装供应商提供的安全补丁和更新。二是应急事件应对方面的管理,如果要建立健全的安全事件应对机制,及时报告和应对安全事件,供应商需要积极配合上游企业进行调查和处理,确保安全事件的迅速响应和解决。

小白:嗯嗯,那还有没有审核方面的规范要求呢?

大东:有的。产业数字化管理中要对供应商进行合规审计,确保其遵守相关的法规和政策要求,这包括对供应商的合规性、信息安全管理制度和数据隐私保护措施等进行审查和验证。定期开展安全评估和认证既加强了安全审核与监督,为供应商提供必要的信息安全培训和指导,也有利于帮助他们提高安全意识和技能。

五、超体——增效

小白:东哥,最后一部分——超体部分的妙计有哪些呢?

大东:超体部分,就是要超越产业数字化韧性能力建设的视角,再回头看链式安全建设,也就是要求我们超前布局,开展顶层战略规划,即顶规。如果说合规是立地,那么顶规无疑就是顶天。

小白:顶天立地,妙哉!那么顶规要覆盖哪些范围呢?

大东:顶规的目标,是从战略视角实现整个产业链的“增效”,发展“无成本经济”。产业数字链式建设这样浩大的系统工程,其安全方面的设计体现在方方面面,所以自然要全方位多角度开展系统性、前瞻性、迭代性设计。

小白:开展多方位设计之前,我觉得首先要对产业结构开展优化布局,其本质是为了推动经济转型战略,实现产业转移和优化升级。产业结构优化的前瞻性谋局可以起到促进新旧动能转换,推动经济结构优化的良好效果。

大东:是的。此外,从战略视角考虑多方位设计时还需注重“四合”理论。第一是要加强基础设施建设与数字化建设的耦合,推动循环经济发展,打通数字物流等流通环节内循环,构建高新科技生态基础设施,进而推动质的变革,实现数字经济发展质量提升。

小白:懂了,除了耦合,东哥你以前总强调物理世界和数字世界会加速深化融合,那么加快发展数字经济,促进数字经济与实体经济深度融合也是一个需要提前谋划的点,对吧。

大东:当然,小白你提得很好,说明认真听课了。所以,要积极建设具有国际竞争力的数字产业集群,优化基础设施布局,充分融合新基建、东数西算、产业互联网、工业互联网等新兴科技产业特点开展数字经济布局,引领数字经济建设从规模扩大到质量提升的跃变。

小白:嗯嗯。在新旧动能转换顶层如何设计?

大东:新旧引擎转化过程中可以采取重点行业试点推动等方式,保障转换运行的顺利进行。同时,“四合”理论中的联合上场了,也可以发挥国际合作机制,提前规划全球化数字经济发展。实现产业链向相关国家的赋能,推动数字经济标准定义的制定,打造国际示范品牌。

小白:东哥,你在锦囊篇说的“双态IT”给我留下了深刻印象,锦囊的双态模式能不能在妙计里面有具体体现呢?

大东:我想一想。其实在链式安全高质量能力发展中,可以采用混态模式架构,同时支持传统业务的稳定运行和创新业务的快速迭代,在考虑建立核心系统的稳定模式的同时,引入敏捷开发和灵活的创新模式,以满足不同业务需求。

小白:嗯嗯,所以“四合”理论中最后一个应该是配合,只有“双态IT”模式互相默契配合才更有利于产业链式安全韧性能力的培养。

大东:没错,一方面加大投资力度,优化数字化基础设施的建设,包括云计算、大数据、人工智能等关键技术的应用和部署。另一方面搭建灵活可扩展的基础设施,支持业务的快速创新和扩展,提升数字化转型的效率和质量。两个方面共同配合,齐抓共管,就能实现类似齐头并进的格局。

小白:不仅如此,我觉得还可以建立积极的创新文化和敏捷的工作方式,鼓励员工跨部门协作、自主创新和迭代优化,这是敏态;而培养数字化思维和技能,推动组织从传统业务向数字化业务的转型,这是稳态。

大东:你这个解释非常优秀!

六、小白内心说

小白:今天东哥的“疏而不漏”妙计实在是太绝了,不仅从本体客体主体和超体的“四体”脉络,为整个数字产业化韧性能力建设提出了诸多建议,还穿插着“四评”、“四规”、“四合”策略帮助我们理解,真是精妙绝伦呢。下一讲,按照剧本应该是靠谱了,在下一讲中,东哥又将给我们带来哪些“靠谱”呢?让我们拭目以待吧~

评论
科普62d7b9474e443
学士级
已阅
2023-11-02
飞马腾空
太师级
2023-11-02
🔴🔴
贡士级
2023-11-01