《安全大咖》|訪資訊保安專家郭守祥：創新 導向 共贏

郭守祥，近40年網路資訊保安從業經歷，曾任軍口專案辦主任，安全公司副總、科技集團副總裁兼資訊保安研究院CEO。現任《資訊保安與通訊保密》理事會副會長，兼任多個協會、聯盟專家委員，中國網安產業獎、中國支付行業獎和北京科技專案評審專家，國家網路安全產業園區運營平臺公司顧問，CII網路安全尖鋒訓練營尖鋒導師、北京商密顧問等。

郭守祥，近40年網路資訊保安從業經歷，曾任軍口專案辦主任，安全公司副總、科技集團副總裁兼資訊保安研究院CEO。現任《資訊保安與通訊保密》理事會副會長，兼任多個協會、聯盟專家委員，中國網安產業獎、中國支付行業獎和北京科技專案評審專家，國家網路安全產業園區運營平臺公司顧問，CII網路安全尖鋒訓練營尖鋒導師、北京商密顧問等。

Q：1、當今網路安全事件頻發，個人隱私洩露成為人們關注的話題，站在專家的角度您認為應該怎樣才能更好的保護個人資訊保安？

A：當今我們所處的網路時代，資料無處不在，各類資訊爆炸，可以毫不誇張地說我們整天都在被分佈在各個系統的海量資訊圍堵著、騷擾著和瓜分著。這裡所說的資訊就包括與我們每個人有密切關聯的個人隱私資訊。個人資訊洩露問題一直都是網路資訊產業最嚴重的安全問題之一，據CNNIC釋出的《中國網際網路絡發展狀況統計報告》，僅半年就有54%的網民遇到過網路安全問題，上網遭遇個人資訊洩露的比例達28.5%。網路時代如何防止個人隱私資訊的洩露，保護好個人資訊保安已成為政府、民眾關注和熱議的話題。

溯其之源，個人資訊保安事件頻發有兩個環節不可忽略，一是個人資訊被過度採集並被人為洩露，尤其是疫情防控期間這種情況更為突顯，有關部門、企業、服務行業、社群甚至是保安、快遞等等都在對個人資料資訊無底線、無節制的採集和使用。二是諸多網路管理運營企業和採集部門監管不力，包括強行植入APP在內，對網路安全和個人資料資訊保護漠視，只關注採集更多的使用者資訊分析獲利，而缺乏對個人資料資訊在採集、儲存、分析、計算、呼叫過程中的安全加密保護措施。

在一些非法網站或暗網中，在我們看見或者看不見的地方，涉及個人資訊資料的黑產規模更是在不斷擴大，一些不法分子透過攻擊政企伺服器盜取使用者資料資訊，然後再透過暗網販賣資料牟利，使用者資料交易已經成為常態，觸目驚心。例如近期被曝光的中國電信2億多條使用者資訊被出賣，微博538億使用者資料在暗網被出售，江蘇5000多萬條個人資訊在暗網被倒賣等等...還有的甚至直接利用個人隱私資料進行敲詐勒索，實施網路電信詐騙，嚴重破壞社會穩定。

國家政府極為重視對個人資訊保安保護工作，頒佈了一系列法律、法規、標準，中央網信辦在疫情防控期間（2020年2月4日）還專門下發通知，要求各地方各部門高度重視個人資訊保護工作。指出除國家依法指定機構外，任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人資訊。重申收集聯防聯控所必需的個人資訊應參照國家標準，堅持最小範圍原則，對個人資訊的安全保護負責，防止被竊取、被洩露。強調要及時處置違規違法收集、使用、公開個人資訊的行為，依法嚴厲打擊造成個人資訊大量洩露的事件。

目前，我們正處的時代是隻有相對隱私，沒有絕對隱私的資訊“裸奔”時代，增強個人防範意識，瞭解個人資訊保護方法尤為重要。

首先是要從我做起，注重自己的網路行為，依法上網、文明上網、安全上網。堅持做到不蹭用、不連線免費網路或公共wifi，不訪問非法網站，不下載非正規或盜版軟體，不點選不明真相的連結，不使用來歷不明的App，不盲目開啟各種應用許可權，不隨意參與網上有獎活動，不亂搶假冒中獎紅包和獎品，不貪圖小便宜隨意掃描小禮品二維碼，不使用他人終端操作個人金融業務，慎用社交媒體，不把自己的身份資訊、聯絡資訊等暴露在網上，更不要相信坐在家裡點選刷單就能免費獲利賺錢的種種騙局。

其次是定期對自己的上網終端進行安全檢查，設定並定期更換中高強度口令，及時清理長期無用的文件和應用程式，消除安全隱患。

三是不要隨意丟棄如銀行賬單等，及時銷燬如快遞單等明顯包含有個人資訊的紙質資料材料。利用這類資訊實施詐騙時有發生，應引起高度警覺。

四是在用的多個不同應用軟體避免使用同一組賬號密碼，要避免使用個人生日、電話號碼等作為賬號密碼，防止駭客利用個人資訊資料進行“撞庫”侵入賬戶，或一個系統的賬號洩密而導致全軍覆沒的悲劇發生。最後，提倡外出消費每次儘量只攜帶一張銀行卡，增加防範意識，防止個人賬務資訊被盜取，降低個人隱私資訊被洩露和個人財產遭受損失的危險。

我們必須要清楚地看到，在大資料時代，資訊的共享與有效利用，與使用者隱私保護、資料有效控制安全需求之間存在著天然的矛盾。在個人資料資訊的使用上，安全和便捷歷來處於此消彼長的狀態，技術的發展完全可以帶動兩者的同步提升，但卻無法消除便捷與隱私、隱私與安全兩者之間的矛盾。個人隱私保護仍然面臨著諸多有待攻克的技術難題，網路安全威脅因素多種多樣、駭客惡意攻擊事件隨時都會發生，甚至是許多全球知名企業也都遭遇過重大資料洩露事件，任何國家都很難置身事外。隨著我國國家《網路安全法》、《民法典》等法規的實施和執法的逐漸嚴格，個人資訊洩露的問題有望從源頭上得到解決，廣大網民的安全感和滿意度有望得到提升。

Q：2、隨著物聯網、大資料、雲端計算、AI等手段不斷被應用於我們的生活中，我們在迎來機遇的同時也在面臨著前所未有的安全挑戰，您認為未來網路安全行業的發展空間與未來方向在哪裡？

A：人工智慧、5G新技術的快速發展，物聯網、大資料、雲端計算等基礎應用的持續深化，在迎來大規模新技術應用機遇的同時我們必須要正視大規模的資料洩露、高危漏洞、新技術應用下網路攻擊等頻發的網路安全挑戰。據CNCERT報告顯示，截至2019年12月，CNCERT監測發現的我國境內被篡改網站高達185573個，國家資訊保安漏洞共享平臺收集到資訊保安漏洞16193個，共處理網路安全事件10.78萬餘起，其中多項資料同比都有較大幅度增長，整體安全形勢相當嚴峻。

隨著網路安全問題的不斷暴露，國家政府從戰略層面高度，在政策上對網路安全行業給予了大力支援，近幾年密集出臺了國家《網路安全法》、《網路安全等級保護制度2.0標準》等多項推進網路安全產業發展的政策法規和標準，為網路安全行業的未來發展增添了新的動力。我國網路安全行業已初步形成了上游軟體、硬體，中游安全產品、服務、整合，下游各行業使用者應用的網路安全行業完整產業鏈。可以肯定在新興技術的催化以及國家政策的支援下，我國網路安全技術應用前景可觀，未來發展市場空間巨大。

在雲端計算、大資料、工業網際網路、物聯網等行業快速發展所帶來的安全需求增長的推動下，近幾年我國網路安全行業進入了快速發展期。預計到2022年仍將保持20%速率的增長勢頭。據IDC預測，到2022年，全球安全行業整體規模將達到1338億美元，其中，中國網路安全行業規模將增至137.7億美元。以雲應用為例，伴隨雲端計算的進步，雲安全問題也引起了更多關注，為未來雲安全產品與服務的研發與部署提供了廣闊的應用場景，可以預見，雲安全整體市場規模將隨著雲端計算行業的快速發展而快速增加。

面對網路安全的新挑戰，我國網路安全行業未來只要堅持“創新引領、需求導向、科學佈局、合作共贏”發展方向，就能推動和加速網路安全產業的發展，提升網路安全的保障能力。一是要加強基礎性、通用性技術創新，利用人工智慧、大資料等技術賦能網路安全產業，發揮企業主體，推廣創新應用。二是要面向5G、工業網際網路、車聯網等融合領域安全需求，完善網路安全產品和服務支撐體系，提升態勢感知、監測預警、應急響應能力。三是要科學佈局，最佳化產業政策環境，推進國家網路安全產業園區建設，加強人才隊伍建設，打造產、學、研、用一體化的產業生態。四是要堅持合作共贏，發揮政府、企業、科研院所等各方作用，共同應對網路安全威脅與挑戰，共同維護網路空間安全秩序。

Q：3、網路安全產業對當代社會來說具有重要意義，您認為我國應該怎樣發展壯大網路安全產業？

A：目前，網路空間內涵和外延不斷擴充套件，網路空間的競爭更加激烈，網路安全的威脅也在持續上升。從全球網路安全市場的格局看，我國的網路安全產業規模還較小，龍頭企業還不多不強，產業碎片化現象突出。據中國網路空間安全協會發布的《2020年中國網路安全產業統計報告》，2019年，我國網路安全上市企業計62家，新三板上市企業39家。其中有13家企業網路安全業務年收入超過10億元，佔網路安全業務總收入的近50%。隨著網路安全戰略地位的不斷提高，國家重視程度的強化和全民安全意識的提升，我國網路安全產業發展建設迎來了新機遇，進入新時代和更大的發展空間。

發展機遇與風險威脅歷來都是並存的，網路安全建設如何加強、產業如何發展也是世界各國共同熱議探討的話題。就我國而言，網路安全已經提升為事關國家安全、國家發展的重大戰略高度。2019年6月30日，《國家網路安全產業發展規劃》正式釋出，工業和資訊化部與北京市人民政府決定建設國家網路安全產業園區。根據規劃，近兩年將依託國家網路安全產業園帶動北京市網路安全產業規模超過1000億元，拉動GDP增長超過3300億元，打造不少於3家年收入超過100億元的骨幹企業。加快構建“高精尖”經濟結構，增強網路安全產業發展的高階引領作用，保障網路時代的國家安全利益。

到2025年，我國將建成網路安全產業“五大基地”。以重大戰略需求為核心驅動，超前部署、加速推進關鍵共性技術研究的國家安全戰略支撐基地。搭建面向全球協同研發平臺，推動核心技術創新和科研成果轉化的國際領先的網路安全研發基地。培育一批具有全球競爭力的骨幹企業，打造產、學、研、用一體化的網路安全產業生態鏈，在全國形成高階產業示範引領效應的網路安全高階產業集聚示範基地。依託北京市技術、人才、科研、教育等優勢資源，建設一批總部型、基地型培訓基地，吸引國內外高階網路安全人才的網路安全領軍人才培育基地。加強政府統籌引領作用，推動園區體制機制創新，積極研究探索建立適應新時代網路安全產業發展需求的、創新的、先進的、高效的園區管理運營體制，實現政府、行業、企業、社會共建共享網路安全產業制度創新基地。

《國家網路安全產業發展規劃》無疑為我國網路安全產業的發展確立了目標，指明瞭方向，給安全行業的持續發展壯大增添了新動力。在我國網路安全形勢愈發嚴峻的背景下，國家政府對網路安全行業的高度重視和政策、制度的引領，各科研部門，研發機構、網路安全企業的積極踐行，網路安全人才培養的加強和技術投資市場的有效保障等等，這些共同的推進都將有助於我國網路安全產業的發展壯大，助力網路安全產業建設取得新的成果。

Q：4、隨著疫情的爆發，很多企業選擇遠端辦公，資訊保安受到很大挑戰，對此您有什麼建議？

A：一場突如其來的疫情改變了我們的生活，也改變了我們傳統的現場辦公模式。很多企業和單位不得不開啟網上遠端辦公新模式。線上會議、即時通訊、文件協作、後臺操作、系統運維等典型遠端辦公應用場景突然顯現並急劇增長。統計資料表明，僅在2020年春節後的首個復工日，就有2億使用者開始居家線上遠端辦公。毫無疑問，居家遠端辦公模式在保障人們健康和工作的同時，也帶來了不可忽視的安全隱患。“全員上雲”所帶來的是網路資訊保安的新挑戰、新風險，會直接關係到企業的核心資料、資產利益。在新冠肺炎抗疫得到基本控制的同時，我們不能忽視遠端辦公的資訊保安“次生疫情”，尤其是那些伴隨疫情產生的，或者加重的安全威脅。

遠端辦公的最大特點一是方便及時接入系統，二是人員使用裝置物理環境的不確定性。由此帶來的問題是辦公系統、裝置、資料、人員和環境等安全風險的同步增加。遠端辦公系統安全功能的不完備，難以滿足開展遠端辦公的安全要求。不同使用者在接入遠端辦公系統時，未能啟用適當的有針對性的安全策略，很容易被植入木馬惡意軟體。分散在外部的遠端辦公裝置不合適的安全配置，缺乏安全防護將直接影響遠端辦公系統和裝置安全。資料訪問許可權的簡單和不合理設定、不按安全要求與規定使用不當的操作等都會造成使用者資料的洩漏。居家辦公網路裝置的環境安全防護能力、網路通訊保障能力相對較弱，有的環境嘈雜，裝置各差，存在網路入侵和通訊中斷、資料被篡改、資訊被劫持、被竊聽、被釣魚、被詐騙的風險。個人資料資訊在遠端辦公系統被大量地多重採集和儲存，嚴重存在被濫採、濫用、洩露和釣魚的風險。基於雲平臺部署並利用雲端傳輸的遠端辦公系統，使用者可能失去對資料的直接管理和控制能力，存在資料被非法授權訪問和使用的資料洩漏風險。

從當前的防控形勢看，未來疫情防控工作將會常態化伴隨。遠端辦公還將成為今後相當長一段時間舉行會議、論壇、培訓等工作的主要形式。隨著遠端辦公應用的常態使用和規模的提升，資訊保安問題，如防範發動定向威脅攻擊等也將提上日程，並將成為各大平臺解決方案的“標配能力”。充分利用好疫情防控工作取得階段性成果的檔口，適時啟動針對性通訊、接入和管控安全策略，積極防禦遠端辦公的資訊保安“次生疫情”風險很有必要。

專家建議

一、進行一次全面需求分析和業務梳理。明確用於遠端辦公的業務、資料和業務系統相關的安全需求。梳理系統接入網入口和接入操作的分類和要求。提出可行的流程和監管要求，透過持續的監控和改進，完善安全防護。

二、完善管理和培訓制度。資訊保安以人為本，開展遠端辦公安全教育和培訓，提升全員安全意識最為重要。要按照國標相關要求，規範個人終端操作，遵循如安全口令字登入，安裝防毒軟體，定期更新配置等操作要求。

三、選擇優質的業務提供商。確定或重新選擇安全保障能力和應急響應能力強，業界安全信譽度高，有安全承諾的業務提供商作為自已的合作伙伴。目前各大平臺均已推出特色各異可以取代疫情過渡期間的替代性產品和解決方案。

四、制定操作流程和巡檢制度。編制和演練應急預案，定期對遠端辦公接入系統、裝置和網路進行檢查和測試，堅持授權管理，使系統的配置管理、變更管理、資料備份策略及抽查測試都形成規範化操作。

五、要特別關注視訊會議應用中的傳輸過程和接入終端側環節的安全。在傳輸過程中，對核心資料傳輸採取加密，防止傳輸過程被竊取或篡改；對終端進行准入認證和安全防護，防止惡意終端侵入系統竊取敏感資料以及遭遇勒索病毒攻擊的風險。

面對疫情伴隨產生的“次生疫情”風險，企業資料資訊面臨諸多威脅。遠端辦公只有做到既保證訪問企業核心應用，又保障資料安全才是硬道理。傳統的網路安全防護體系中採用的多種邊界防護措施是較為有效的防護策略。但對於安全能力較弱的小企業來說，遠端辦公帶來的風險是比較大的，特別是面對遠端辦公溝通傳輸中的資料資訊保安挑戰更需要做好主動安全防護。透過採用如臨時開放服務，增加登入要求，開啟多重認證，外放應用安全加固，資料檔案安全加密或限制開啟時限次數，及時關閉訪問通道等安全防護策略，都是減少由於遠端辦公而放大的安全威脅的有效措施。

Q：5、勒索病毒頻發，企業使用者資料大規模洩露，請您談談企業應該怎樣做好網路安全？

A：近幾年來，受到勒索病毒攻擊的事件層出不窮，一直呈現高發狀態，政府、企業、學校、醫院以及關鍵基礎設施等區域網機構無一倖免，成為受攻擊的重災區，帶來了很多危害，造成很大損失。據統計，世界經濟每年受勒索軟體攻擊造成損失超5000億美元，與之對應的全球網路安全支出高達1000億美元。達沃斯論壇全球風險報告稱，網路攻擊問題已經成為全球僅次於極端天氣和自然災害之外的全球性第三大威脅，這個說法一點都不為過。對於企業而言，資料資訊是企業最重要的資產，威脅到資料安全的風險就是企業的最高風險。

從勒索病毒攻擊方式看，弱口令、共享檔案、漏洞是勒索軟體最常用的攻擊手段。弱口令攻擊致遠端終端服務被爆破，駭客遠端登入使用者終端投毒的佔比超過一半。儘管很多遠端爆破並非在短時間內發作，但使用者在駭客攻擊過程中很難覺察，往往事後等到伺服器被攻破並投毒，透過檢視相關日誌才能發現。第二類攻擊是所有檔案或資料庫檔案被加密。這類情況一般是因為區域網中其他裝置被感染了勒索軟體，該軟體透過搜尋並加密區域網中的共享檔案致使伺服器癱瘓，透過向受害者顯示勒索訊息進行勒索。此類被勒索攻擊的中小企業伺服器案件在疫情期間也多有發生。第三類攻擊是利用軟體漏洞和系統漏洞來投放勒索軟體。

利用缺陷挖掘漏洞進行攻擊已成為永遠的主題，對於被勒索病毒加密的檔案依舊無法破解，傳統堵查方式都無法保障，避免被勒索造成損失的最好辦法就是提前做好安全防禦。從近幾年資料洩露發生被勒索事件分析資料看，大部分的原因還都是網站安全防護不到位、常態化防控工作沒有做好所導致。對此，網路使用者在應對勒索病毒事件總結了許多預防攻略和必備事項。但無論是八項注意還是十大手段，我認為最根本最關鍵還是人的安全意識和對規章措施的嚴格落實。

做好企業網路安全的防控必須先從堅持預防為主，強化全員網路安全意識入手，區分不同角色許可權，避免內部管理出現問題。系統安裝好防毒軟體，定期進行安全漏洞掃描並更新補丁，及時發現和有效地阻止病毒在企業網路內部傳播。用好密碼技術，這是當今世界公認的保障網路資訊保安最有效、最可靠、最經濟、最關鍵的技術手段。任何時間對重要檔案習慣性備份都是一個好習慣，做好資料備份與恢復，是系統容災的基礎和減少損失的最後一道防線。每次在遠端辦公結束後，還應對遠端終端檔案、資料進行一次清理確保不造成病毒感染和重要資訊洩露。

Q：6、近年來，網路安全人才問題逐漸成為網安領域最為熱門的話題之一，結合目前的國內現狀，請您談談網路安全人才正在面臨哪些問題，該如何解決？

A：回答這個問題我不專業，只能從有限的導師經歷談點初淺的認識。綜合國力的競爭說到底是人才的競爭。人才資源作為社會發展第一資源的特徵和作用更加突顯，人才競爭已經成為綜合國力競爭的核心。能培養和吸引更多優秀人才，就能在國際競爭中佔據優勢。網路安全是技術更新最快的領域之一，網路空間的搏弈，說到底還是人才的對抗。當前我國網路空間安全人才缺口大、培養週期長、人才評價體系不健全的現狀已成為行業的普遍共識。建設網路強國，解決好網路安全人才的培養、留存所面臨的挑戰仍是網路安全行業的首要任務。

網路空間安全人才該如何培養一直是廣泛關注的熱議話題。近幾年網路安全人才培養工作得到了國家層面重視，取得了一些重要進展。教育部將網路空間安全增設為一級學科，首批29所。中央網信辦專門成立了網路安全的專項基金，用於遴選和資助網路安全優秀教師和學生，在全國各地舉行多種網路安全競賽等鍛鍊隊伍，發掘優秀人才。建立校企結合共同培養機制，開展網路安全培訓等，這些措施都將有利於完善網路安全人才培養體系，推動網路安全人才培養工作向更縱深方向發展。

Q：7、請您對江民的發展提出一些建議。

A：江民科技是我國最早的知名查殺病毒專業公司，擁有自主研發的系列反病毒系列核心技術產品，業界影響力大，所創業績非凡。希望江民科技在保持技術優勢和產品特色的同時，繼續引領技術發展，結合行業界需求，擴大新技術應用，打造反病毒產業生態鏈，提供更多的獨特產品與服務。此外希望江民科技在發展中更加註重自身品牌價值建設，進一步提高行業知名度和公信力，繼續向行業縱深發展，引領國內行業建立國際知名品牌。