2022年写过一篇《试与国内安全监管商榷二三事》,结果写着写着就变成了五件事,当时确实有点不吐不快的感觉。
最近半年因为工作原因跑了国内几个地方,与安全行业的甲乙方同行交流了一圈,这种不吐不快的感觉又涌现出来了,半夜睡不着,于是在2022版本的基础上,再写一个2024增补版。
虽然写了不一定能有什么用,但是总有人能看到,只要能发生一点点思想、认识或者话题上的改变,也不枉我码字的辛苦。
六、对国内监管机构分工的建议
我在2022版中提过“整顿一下九龙治水的局面”建议,这2年看起来改变不大,想来也是,组织架构上的变革不是一日之功。这些年和各级监管机构和同行接洽的过程中,深刻感受到“九龙治水”对网络安全行业、企事业单位的伤害很深。我的各种信息渠道显示:WXB和GAB在争夺关基的管理权,GAB一所、三所,GXB一所、五所都在以不同方式做供应链治理,各省市的WXB、GAB、GXB都在对暗网数据泄露进行监测和处置;各部委运营的国家级漏洞库至少有3个,而且居然还没打通;每年的网络安全攻防实战演习在国家、省、市、区等各级单位展开,各行各业的企事业单位为了应对监管机构的各种演习、要求、检查,投入资源过多、苦不堪言、负面影响很大,而且各部委重复性、竞争性的投入极大地浪费了国家资源。与此同时,我还看到现在各地假冒、仿冒并涉嫌欺诈的网站、App、社交账号层出不穷、长期为害人民群众和各级企业,却没有一家监管机构牵头有效治理。
首先要意识到网络安全是个技术性很强的工作,主管单位应该具备很强的技术能力和整合资源的能力;同时要意识到网络安全是个攻防对抗的工作,无论对抗攻击入侵、还是供应链治理、还是数据安全工作,从国家层面来说都是攻防对抗,因此主管单位及其人员应该有攻防对抗的意识,有治理攻防对抗的体系化能力。因此,我想对国内监管机构的分工提点个人建议:
考虑到国家层面已经定位WXB统筹协调网络安全工作,建议继续强化这个职责,确保“网络安全一盘棋”。具体包括:
授权WXB建立一个奖惩机制,必要时候建议纪委对这项工作开展巡视巡查:对于网络安全监管机构的职责划分和运行,各类监管机构应该坚决服从WXB的安排,不允许出现口服心不服、工作中推诿扯皮的现象。应授予WXB对其他部委监督检查、评价考核的权利;
建立各部委的网络安全考核机制,考核结果由WXB打分80%、行业下属单位打分20%,考核结果直接影响干部的提拔、任命,考核结果向全社会公开。由此突出显示网络安全领域是最讲zz的领域之一。
WXB公开投诉信箱,或定期听取行业主管部门的建议,对网络安全领域需要协调的事项听取民意、组织听证会并决策,决策结果要向全社会公开。
WXB在统筹协调的基础上,具体负责全民意识教育、内容安全、数据安全与数据合规(包括个人信息保护、数据出境等)、重大安全事件通报等职责;
GAB具体负责治理攻防对抗、治理网络空间犯罪(涉黄涉恐、网络欺诈等)、对网络空间敌对势力的感知压制、关基保护,具体负责各类漏洞库的建设和运营、威胁情报的研判和通报、网络安全攻防实战演练。
建议GXB具体负责信创、供应链安全治理、掌握互联网关键基础设施(如DNS、海底光缆等)主导权等职责;负责统筹、规划网络安全各领域的标准建设;负责促进网络安全产业发展与创新。
建议各行业主管部门具体负责本行业主要单位信息系统稳定运行、软件正版化以及具有行业特色的等保、数据安全细化事项等事宜;行业主管部门在建或已经建设的态势感知平台、威胁情报平台,交GAB统筹运营,以便在攻防对抗事项上统一协作;行业主管部门应主动发现和上报需要协调的事项;
仅在国家、省、市3级单位成立WXB、GAB、GXB组成的网络安全联合检查组,秘书处设置在当地WXB,可开展联合检查、处置、处罚工作,不允许某个部委的单独行动,人员可由WXB调派;修订法律法规,将各部委网络安全行政处罚的权力收归WXB所有。取消区、市两级的网络安全攻防实战演练,如有必要,由GAB特批。
对于GAB一所、三所这样的单位能够在市场上提供安全产品和服务的做法,我是觉得不太理解的。一方面,利用自己的优势地位,OEM或者整合了一些安全能力、做成产品提供给市场,在产品形态和能力上确实有创新和提升,做到了一些国内安全厂家应该做却做不到的事情;同时,监管机构既做裁判员、又下场踢球的做法,显然违背了市场公平原则。建议剥离一所、三所的市场化职能,带着现在的产品线、成立独立的网络安全企业,想搞国家队就堂堂正正搞国家队,想挣钱就公平公开地挣钱。如有其他类似的机构,同样剥离,独立、市场化运作。
七、促进国内政府、事业单位网络安全水平提升的建议
作为一个长期在甲方从事信息化、信息安全工作的人来说,以前一直不太理解一件事情:国内的安全产品、服务,为什么进化的这么慢?刚入行看到的亿赛通、前沿做文档加密,20+多年过去了,怎们还在做,而且没有特别明显的进步?为什么绿盟、启明、天融信这些传统安全厂商,在金融、互联网行业用的很少,还能生存这么久?我看到的安全创业企业很少进入政府市场,只能在企业细分市场里面转悠?
直到最近,经过持续的交流,我才领略到其中缘由。
首先是有人给了我一份《中国数字安全产业年度报告(2023年)》(数世咨询出品),里面有一个数字:中国的安全市场,最大的买家是政府,占比达到21.77%(当然,美国也一样,政府采购占比更高),国防军工17.2%,电力石油能源10%,运营商10%,医疗教育交通物流7%;我一直以为购买力很强的金融占比只有11.94%。据此,我感觉必须了解政府、事业单位是怎们选择、采购安全产品的,才能回答一开始我提出的问题,毕竟市场是由甲方采购导向引领的。
然后我找到了华东、华南的几个销售和代理商,大家的口径基本是一致的,政府部门是这样采购的:年初预算下达后,负责人会分别把关系好的销售叫过来,“今年我这里有XX万,我打算给你们XX万,你们回去做个方案吧,看看能做什么项目,帮我把什么问题兜住”。关系不好的销售,最多也就是在公开招标的过程中露个脸,但大部分是没有参与机会的。
听到这里,我的第一反应是有点惊讶的,”不做POC吗?不做方案对比吗?不提痛点和需求吗?“销售听了我的提问,微微一笑。我仿佛有点明白了,怪不得有位哈尔滨的大佬经常说“中国的安全市场是关系型市场”,我以前还经常反驳他”北区的安全市场是关系型市场,南区的甲方主要还是看产品和服务竞争力的“,看来还是我以前了解太少、太天真。
我其实还想再往下挖掘一下,政府部门这样做项目,那最后的安全考核能过关吗,或者出了安全事件怎么办呢?可惜的是,了解的信息不够全面,文章里就不说了。但看起来,存在比较简单的办法可以应对。
再从另外一个角度看这个问题。在上一篇我曾经提到,希望监管部门能够积极推动中国的产业数字化尽量用公有云,同时尽可能把安全防护、运营也基于公有云展开,利用公有云一方面可以降低甲乙方的总成本,二方面可以利用标准化路径,与国外安全同行开展竞争,不至于在产品发展路线上与国外差距太远。
我曾经和多位同行探讨过,为什么我们的政府部门那么不信任公有云,不愿意把系统、数据放在公有云上跑,而一定要选择天翼云这样的“公有制云”?总结下来有几个答案,一是国内公有云绝大部分是民营企业,不是一个体制,且过往确有个别案例表明公有云违规获取和使用了客户在公有云的数据,至少有很大的嫌疑,造成信任上的极大缺失;二是选用公有云的财务支出属于“购买服务“、”费用支出”,不是“购买产品“、”资本性支出”,两者在财务报表上的类型不同;由于财务考核的导向,政府部门和事业单位更倾向于采购资产而不是采购服务。
把这两个事情结合起来看,国内安全产业格局的变化,还是得从政府部门、事业单位的采购政策导向、财务政策导向、安全效果的考核下手,才能真正将格局从当前的关系型为主扭转为产品竞争力为主。为什么国内的金融业、互联网行业的安全水平普遍较高,就是因为业务、数据具有较高的价值,因此安全对抗水平高,为了保障自身业务的健康运行,这些行业单位就必须用科学的管理方法、健康的采购选型模式、合理的价格去获得高质量的安全产品和服务。
因此,如何扭转政府部门、事业单位的网络安全采购对网络安全产业的导向呢?说实话,我想了很久,也探讨了很久,我感觉很难改变采购、招标政策,这个只能请行业内专家指点;但我有3招可以短期内改变局面:给资源、要结果、结果公开。
(1)给资源。咱学习一下XC工作,就给政府部门、政府下属大数据局、信息化中心、智慧城市公司下要求,每年网络安全产品和服务占当年信息化投入比例不低于5%,持续5年。每年向上级WXB申报执行结果,并接收上级WXB的监督检查。
(2)要结果。每年网络安全实战攻防演练中,在行业中单列”政府部门“一个行业,每年抽六省一市的政府部门和若干部委,每次演练时长不小于2个月,成绩最差的按规则进光盘;如果连续进光盘,则安全负责人的上级(注意此处)要下课。
(3)结果公开。向全社会公开每年网络安全实战攻防演练中“政府部门”的排名,向全社会公开各地政府部门的较大及以上网络安全事件调查和处理结果。
八、建立正确的网络安全政绩观
这几年听院士讲内生安全,听来听去无非是安全左移,尽可能将风险控制措施往前移,在需求、设计阶段就识别风险、控制风险。但这个理论是有重大缺失的,如果我都没有意识到安全的价值和重要性,你再逼着我内生、左移都没有用。
在中国的语境下,真正的内生安全,要么就是单位领导亲身经历过安全教训、对安全特别重视,要么就是单位遭遇了严重的网络安全事件、遭受了重大损失,要么就是单位自身在做高价值的事情、拥有高价值的数据、数字化程度高,这时他就会面临真正的网络安全威胁和攻击,单位自身就会意识到安全的价值和重要性,就会自发地、主动地开展安全防护工作。这是人性和商业规律决定的,没有例外。因此,中国的网络安全水平整体提升,最终要等到我们在全球产业链、价值链中占据更高端市场、主导定价权、拥有更核心的产业竞争力的时候,才会真正到来。在这个之前,我们还需要继续等待和努力。
在这个过程中,这几年无论是政府、事业单位,还是央国企,或者是监管机构,反反复复地在传达一个观点:“不要出事,不要出事,千万不要出事!”于是在各种考核评价措施里面,也不管你资源够不够、能力行不行,只要最终出事就是一票否决,这是极其错误的政绩观、考核观。
首先,不科学。信息技术领域有没有可能不出事?是个正常人都会告诉你不可能,因为信息系统本身就是不可靠的,一定会发生Bug、故障、事件,海恩法则、墨菲定律等等一系列运维定律都告诉我们一定会出事,只是早晚问题。定这个指标、要求就是违反科学原理。违反科学原理的人怎么可能做好信息安全、网络安全?那最后出不出事,完全看运气。
其次,不担当。监管部门、管理部门给下属单位下达一个“不出事”的要求很容易,说句话、发个文件就可以了,但试问你给予了下属单位什么资源、什么指导、什么支持?往往没有,往往就是甩手掌柜,反正我话说过了,出了事就是你的责任了。这就是不担当的表现,就是网络安全领域的懒政。
建议各级监管单位、政府部门、央国企把自己和下属单位的网络安全的考核规则修改为:“不发生重大或以上级别事件,不犯低级错误,不重复犯错,就不会扣分;如果对社会、对国家有贡献,可以考核加分;如果风险或事件持续收敛,可以考核加分”。用这样的规则去激励下属单位做网络安全,才有可能做得好、做的科学。
说明:本文仅代表作者观点。
关于 安全村
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
投稿邮箱:info@sec-un.org