信创工作在落实过程中,安全层面的东西被忽视了,毕竟在信创工作还没有完全解决“好用”的前提下,安全层面的东西被忽视很容易说得通。想想信创的前身“安可(安全可靠、自主可控)”,就容易理解到安全对于信创工作,是重点、更是灵魂,这一点无容置疑,所以,信创工作必须把握【安全】这个重点、这个灵魂,无论是在那个阶段、那个部分。开篇所提及的产品和解决方案,或多或少缺失【安全】层面的设计,缺失灵魂的设计存在落实障碍那是一定的。虽然,各个方案都有安全的考虑,但此安全非彼安全,本文就对作者眼中的安全做一个简单介绍,给大家一个信创工作过程中安全思考维度。
首先阐述一个观点:信创应该做到“真替真用”,但前提应该是“真安全”,也就是信创应该做到“真替真用真安全”。
信创工作下的安全分析:安全难度高于传统信息化
(一):信创体系有其自身的独特性
众所周知,安全工作是新创工作重要组成部分,且信创核心目的之一就是解决安全问题(一方面是自主控制问题、一方面是网络安全风险问题)。就当下信创工作的重点而言,大部分的安全问题还聚焦在自主控制层面,而对于信创环境下的网络安全风险问题仍然采用传统的网络安全问题处理方法。而实际上信创层面的网络安全工作复杂程度较传统网络安全要大的多(毕竟,当下信创还在发展阶段,解决能用问题仍然是重点,而离安全好用的目标还是有一定的差距。这和传统信息化已经发展这么多年还是有较大差距的)。以作者看来,信创体系的安全特点如下:
1、信创每个基础组件的应用范围和应用时间有限,自身安全防御能力存在太多不确定性
2、每个体系(芯片、操作系统、中间件、数据库、应用、数据等)相对独立,在安全层面的统一性不够,安全体系设计和落实存在集成和融合难度
3、由于信创体系自身适配和运维难度,导致在安全运维和应急处理上存在较大难度
4、适合信创体系的安全能力较弱,它山之石在信创安全体系下存在众多局限
5、适合信创体系下的安全标准、规范、政策等还存在较大的差距,自行其是现象突出
(二):信创工作落实有其不可逃避的现实性
就目前信创工作落实的实际情况看,信创环境和非信创环境将在一定的时间内并存,这就要求安全工作即要考虑信创环境,又要考虑非信创环境。这样的实际情况对于安全而言不是简单的叠加,更不是一拖二,毕竟两个体系还是有着不小的差差别,在操作上需遵守如下原则:
1、适合传统信息化的安全,未必适合信创体系,必须独立设计,在层次上做整合
2、信创工作为了落实可用而在安全上进行妥协的做法是不可取的,着重安全才是正途
3、为了保障信创工作取得效果,加大运维力度是必要的,但运维安全也是需要重点考虑的
4、信创和非信创并存,在意识和操作上带来安全风险,做到无缝切换和策略独立是必要的
5、任何的产品和方案,在落实上都要有对信创和非信创在安全层面的兼容和扩展保障支持
总之,无论是从信创体系自身的特点出发,还是从信创工作的具体落实情况出发,安全工作都是较以往的传统信息化的安全工作难度更大。
但,从目前信创工作落实的实际情况看,信创的安全工作充其量就是对传统信息化安全工作的一种简单复制,这种安全工作随着信创规模化、开放化的发展暴露问题那是一定的。
信创工作中,安全应该有的样子
前面已经提及,信创的初衷本身就是解决一种大安全问题,所以安全应该贯彻信创工作的全部和全过程,这一点无容置疑,其中几个需要特别注意的地方提醒如下:
1、鉴于信创体系路线的多样性,安全设计必须做到有针对性,说白了,不同的组成部分对应的安全设计也是不同的(操作系统不同,安全方案不同;中间件不同,安全方案不同)
2、鉴于信创体系存在较多的不确定性,建立对安全方案适配和能力检测机制是必要的,也就是,对安全方案作必要的能力测试
3、在一个庞大的信创体系下,以重点保障边界(网络、端口、人)为手段前提,以保障数据安全为目标开展安全体系设计和建设,更容易落实
4、鉴于信创体系所涉及的范围较大,对应的安全体系应该覆盖全面,系统、数据、运维、管理、人员、思想等都应该是安全设计的范围
5、信创体系的安全在防御安全风险的前提下,还应该重点保障“我”“我的”层面的需要,因为这是信创很重要的环节(这也是信创安全是此安全非彼安全最大的体现)
。。。。。。
最后要说
网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。
加入交流群
请使用微信扫一扫!