【网络强国这十年】杨冀龙:万物互联时代,做云端上的安全行者******
【网络强国这十年——行业回顾篇】
党的十八大以来,我国网信事业发展取得历史性成就,网络综合治理体系日益完善,网络空间法治化进程加快推进,网络安全保障体系和能力建设全面加强。近日,中国网络空间安全协会理事、知道创宇CTO&COO杨冀龙做客光明网“网络强国这十年”专栏,畅谈关于网络安全技术及行业发展的观察与思考。
谈行业变化:
法规条例日益完善,人才培养更受重视
这些年国家出台了一系列政策和法律法规。比如《网络安全法》,明确了什么叫网络安全,网络安全的义务、责任、主体,违法的连带责任。《等级保护条例》升级到了2.0版本,更加注重实战化对抗;为了检验落地情况,有关部门还专门组织了攻防演练活动,公司要实际参与这种攻防检验,看是否的确防住了,我觉得这是很落地的一个策略。不仅是《网络安全法》和《等级保护条例》,现在还有《密码法》,也成立了一系列的密码评估单位。
这些法律的颁布和落地,是特别大的国家层面的推动。国家给了网络安全企业很多政策,比如有些地方建立网络安全产业园,有些地方网络安全企业创业会给政府扶持基金,催生了一系列网络安全行业企业。
近年来国家支持高校设立网络安全专业,样就让很多学校都成立了网络安全专业教育,很多学生也愿意去考这个专业。而且政府在各种宣传活动上,包括网络安全宣传周等大型的宣传活动,也能调动民间的积极性。
学生愿意就读网络安全专业,高校愿意开展这门课程,很多企业愿意吸收这些人才,并且在各个地方办安全企业,各地方政府也愿意给出产业园区,给出免税或者免租金等优惠政策,整个产业就欣欣向荣地发展起来了。
人才培养现在是比较好的一个方面。知道创宇在早期招聘中,一般都招计算机系的学生,公司再进行培养,人才从毕业到真正能够熟悉业务,大概要1年以上,甚至更长时间。而现在从信息安全专业招人、从培训机构招人,基本上2个月就可以很熟练了。
国家多个部委联合推出了信息安全测试员、网络安全运维人员等新职业,有这些职业体系支撑,相当于国家各个部委也在鼓励人才通过自学或培训提升自己,考到相应的职称,所以这个人才体系是一个全方位的体系。现在很多人对网络安全专业越来越有兴趣,也是因为这个大的人才体系,由国家在底层做了支撑。
谈产业发展:
供给侧、需求侧两端发力,产业体系实现良性循环
对一个企业的发展而言,主要有两个方面。第一个是需求端,需求是否旺盛,取决于甲方需求,就是大量的企业是否真正重视安全。
很多企业都存了很多公民的个人隐私数据,现在从法律要求出发,首先企业只被允许收集有限数据,收集了必须保护好,保护不好的话要承受很大法律风险,那么企业就必然加强人员、设备或资金来提升安全建设。
需求多了,另一方面企业还能接得住,这就取决于有没有足够的人才,能不能快速招到人才,快速构建业务。
从这两个方面,国家做得特别好的就是在需求侧通过法律法规牵引落地,在基础层面通过人才培养牵引夯实。这样的话,企业在中间把人才招回来、组织起来,去服务甲方的需求。我觉得这个体系,现在越做越好了。
谈未来趋势:
云端网络边界线渐趋模糊,“零信任”安全成新方向
随着云上的业务越来越多,很多重要的数据和重要的业务都在云上,这也催生了一个问题,云上的业务怎么防御?因为云上是的虚拟化的,传统设备有些可以做到虚拟化,还有很多设备是无法做到虚拟化的,所以上云的业务面临的第一个问题就是防御薄弱了。
第二个问题是,“云”的厂商他们自身的安全措施是否就够了?我们现在的看法是,应该有一个第三方的安全云来保卫云上的业务安全。
我们知道传统Windows是分散的,Windows操作系本身就是资源调度,但现在业务都在一个大“云”上,其实这个大“云”本身就是下一代操作系统——云操作系统。云操作系统就像微软的Windows系统一样,它本身就要提高安全性、提供安全工具,所以云操作系统、云平台也要提高安全性,这是基础。但是真正要保证安全的话,安全工具应该使用第三方的。
还有一个问题是未来家庭办公会越来越多,家庭办公远程也可以访问公司的内网业务系统。传统网络安全会通过网络边界、内外网边界做一个网络隔离,但现在大家居家远程办公了,都需要访问内网,我们会发现网络的边界就逐渐模糊化了。
基于零信任理念的话,应该在内网及外网对谁都不信任,必须要通过信任机制来实施安全保护的健全,所以零信任我认为是未来一个重要的发展方向。
在零信任之上,其实还有一种新的机制叫SASE(安全访问服务边缘)。SASE是构建出虚拟的网络,并且在这种网络中直接打破了各个分支机构的界限,打通了到家庭的界限,甚至打通了“云”上资源的界限。
通过互联网类似SD-WAN的技术快速组网,组成一个企业内部跨云、跨家庭、跨分支机构的网络,在SASE侧提供一系列的安全措施,相当于把传统安全的边界防御系统也SaaS化,所有用户一起分摊安全设备的成本,我认为这是一个重要的发展方向。
监制:张宁、李政葳
采访:孔繁鑫
拍摄:雷渺鑫
后期:孔繁鑫、雷渺鑫
强化干部作风建设,这里通报公职人员着装问题******
中新网北京2月2日电(记者 阚枫)新春开启,多地将干部作风建设作为新春开工的首要之事进行部署,有地区还通报了公职人员开会着装问题。
开工首日的会议,多人被通报
近日,拉萨市城关区纪委监委发布一则关于违反会风会纪情况的通报,通报显示,1月28日,新春首个工作日,城关区委召开进一步改进作风狠抓落实工作推进会暨“作风建设年”动员会,这次会上,城关区纪委与城关区委效能办对会场会风会纪进行了全程监督。
按照纪委监委发布的通报,这次会上多人因为迟到被点名通报,多人迟到长达50多分钟。通报中还点出“会议着装方面,普遍存在着装不统一、里穿正装不脱外套的现象”,通报称,如再次出现相关问题,将点名道姓通报,从严处理。
通报称,着装问题看似是小事,实质是干部精神风貌的展示,是纪律意识不强、规矩意识淡薄的一种表现,是自我要求不严、工作作风不实的一种体现。
多地曾通报公职人员着装问题
干部因着装问题被通报,上述案例并非首次。
2017年1月,河北深州市纪委对违反会纪的32名干部进行点名通报,其中包括14名“一把手”被约谈,起因是在深州市委五届七次全会上,督查中发现22名公职人员未按规定着装,10名公职人员着装不规范。
当时,深州市纪委负责人表示,“只有管住小节,才能守住底线,如果连穿着正装这样的‘小节’都不能做到,连会议的纪律都不能遵守,那么全面从严治党就无从谈起。”
不仅开会着装的问题被通报,机关工作人员的日常着装问题也曾被通报。
2017年5月,辽宁盘山县政府办公室曾发布一则有关单位机关工作人员着装检查情况的通报。通报提到,部分单位工作人员仍然存在穿运动服、无领衫、露肩衫、运动裤、牛仔裤、运动鞋、凉鞋、拖鞋等情况,着装与仪表不符合端庄、稳重、大方、干练等国家机关工作人员形象礼仪的要求。
公职人员着装有啥要求?
近年来,多地曾专门就机关工作人员着装问题进行过规范,一些地区还专门出台具体标准。
2022年1月,江西抚州市直机关工委发布《关于规范市直机关干部着装和严格上下班工作纪律的通知》,通知除了明确机关干部出席正式、隆重、严肃场合应着正装,还提到机关事业单位工作人员进入办公场所,不得着奇装异服、居家服等服饰。着装不得过于炫耀,要保持服饰整洁。
通知称,女同志不得穿低胸装、露背装、露肩装、露脐装,不得穿超短裙、透视装、吊带装、紧身装、艳色装;男同志不得穿背心、短裤。此外,机关事业单位工作人员进入办公场所,不得佩戴离奇饰品,不得穿拖鞋,不得穿超高、带声响的高跟鞋,不得纹身。
2017年7月,媒体报道陕西咸阳市彬县对机关工作人员上班期间的仪容仪表进行详细规范,诸如,男同志不留长发,不蓄胡须,不佩戴饰品;女同志发型、发色适宜,化妆要淡、雅、素,不涂彩色指甲,不使用浓烈香水。不穿过于单薄、透视、紧身的服装。报道称,县纪委将不定期进行暗访督查,发现问题立即全县通报,并追究相关人员责任。
2016年,江西省委办公厅、省政府办公厅下发《省直机关工作纪律要求》,针对省直机关工作人员提出十条工作纪律,其中包括“不准穿背心、短裤、拖鞋和奇装异服上班”等。
如何避免矫枉过正?
近年来,部分地区有关干部着装的标准或通报发出之后,舆论中,不少网友认为对机关干部工作期间仪容仪表规范,确有必要,但是也有声音担心将着装问题“上纲上线”,过度问责。
对此,中央党校(国家行政学院)教授竹立家对中新网记者表示,公职人员在工作期间的着装问题应分类讨论,对于公检法、市场监管等有统一着装要求的行政执法部门来说,执法人员在工作期间应按相关要求着制式服装,对于其他公职人员来说,工作期间特别是在严肃场合应注意着装得体。
同时,竹立家称,对公职人员的着装事项,可以引导规范,但也应注意人性化管理,杜绝纪律扩大化,防止滋生新的形式主义。(完)