齐向东：网络安全实现“零事故”目标需满足三大要求

　　7月13日，北京网络安全大会主席、奇安信集团董事长齐向东在BCS 2022战略峰会上演讲时表示，北京冬奥这场世界级的网络安全实战充分证明，‘零事故’是可以实现的目标，要实现‘零事故’目标需要满足联合作战、精准防护、深度运营三大要求。

　　北京冬奥会之前，业界普遍认为网络安全不存在“绝对安全”的状态。奇安信作为奥运史上首家网络安全官方赞助商，创造了奥运史上网络安全“零事故”的世界纪录。对此，齐向东指出：“这是以‘数据驱动安全’的理念为指导、以‘内生安全’的工程方法建设系统，和用‘经营安全’的深度运营实现了对网络安全的动态掌控，最终取得的成果。”

　　通过对奥运赛场安全经验的全面总结，齐向东表示，网络安全可以走出一条“零事故”之路。而“零事故”不是零攻破，网络安全“零事故”的具体标准有哪些？齐向东总结到：“第一条标准，业务不中断；第二条标准，数据不出事；第三条标准，合规不踩线。”对应上述三个标准，齐向东总结了实现“零事故”目标，需要满足的三个要求

　　第一，“零事故”要求联合作战。这是安全公司应该与客户达成共识，即网络安全是一个技术体系，单一的产品无法实现安全。具体做法上，齐向东提出，联合作战首先要构建纵深防御体系；需要建立全面监控的能力；还需要高效协同。

　　第二，“零事故”要求精准防护。在近几年数据安全相关法律法规相继实施的背景下，政企组织对数据安全的要求也随之提升。齐向东强调，精准防护首先要“防内鬼”，这一步的核心是管特权；精准防护要防住外部攻击，这一步的重点是给API上锁；此外，精准防护还需要实现全局管控，这一步需要施行“零信任”策略。

　　第三，“零事故”要求深度运营。齐向东表示，深度运营的目的是通过不断发现问题、改进问题，既确保企业合规不踩线，又让网络安全免疫力不断提升，更好地解决日益复杂的网络安全难题。企业通过深度运营，能让安全体系和能力真正“活”起来。深度运营意味着合规运行和实战运行。深度运营还要求建章立制。齐向东介绍在这次冬奥保障中，奇安信制定了125个标准化文件类，细化分解到SOP级，全面落实到具体岗位的细致工作事项中，每一个流程节点，都有细化可执行的操作规程。

　　对应三个标准，满足三大要求，齐向东认为，以“零事故”为代表的网络安全新标准、新追求，就得以成为可落地、可实现的目标。而“零事故”之路，将促使我们在网络安全领域加快创新、不断超越，推动网络安全防御能力实现新飞跃，迎来更加稳定繁荣的数字世界。

　　

责编：hxq