极牛访谈｜如何看待政府客户的安全能力需求

不同于金融、运营商等行业，政府客户因受多行业（如海关、税务、交通等）、不同的政府管理模式（垂直和属地化）等因素影响，很难有统一的“监管要求”和“安全能力建设和投入”策略，这也导致了安全厂商在提供相对标准化的产品之余，需要在定制化解决方案和运维服务上投入更多的人力。但是，与政府大量且强烈的服务需求相对的，是政府在安全服务上的预算不足。

政府客户有哪些迫切的安全能力需求？安全厂商又应如何帮助政府建设对重要业务系统的网络安全保障体系？本次访谈，极牛网采访了对政府客户需求、解决方案等多方面有着深厚积累的绿盟科技副总裁万钧，共同探讨在等保2.0、重保等新政策性推动的现状下，对以上问题的看法。

个人简介

万钧，北京神州绿盟科技有限公司副总裁，专业从事网络安全工作近二十年，先后协助公安部、环保部、人社部、国税总局、海关总署等部委单位完成十一五、十二五网络安全规划工作，参与了金税三期、金保二期、金关二期等国家重大项目的安全设计工作，拥有丰富的网络安全实践经验。

一、政府客户的核心需求在于运维服务

极牛网：绿盟做了近20年的网络安全，一定积累了许多政府客户和项目经验。政府相较于其它行业有着哪些不同的特点，以及目前对安全能力有哪些典型需求？

万钧：我先谈谈特点。首先要强调的是，政府不是一个行业，它更像是一个领域。一个行业，会在监管要求、政策约束等方面有个共性，安全厂商也会有相对统一的产品或解决方案做支撑。如果按照这个标准来看，政府是由交通、工商、税务等多行业组成的。

这些行业的业务系统，通常承载着关系国计民生的服务。如人社的社保系统、海关的报关系统、国税的税务系统、民航的空管系统、铁路的调度系统等，一旦发生安全事故影响系统正常运行，都会直接对我们的生活造成不便，甚至造成恶劣的社会影响。所以，对这些业务系统对外提供服务的保障能力，尤其是有了“重保”要求后，更为强烈。

而这些系统的背后，则是国家重大战略决策的重要支撑和依靠的各类数据。一旦这些决策数据发生泄露或被恶意修改甚至破坏，这个损失对于国家而言是巨大的。所以对数据安全的高度重视，也是一个特点。

还有一个稍微特殊些的，就是政治敏感性。这个主要是表现在政府对网站安全的需求上。网站是服务人民的窗口，一旦被攻击者恶意利用，无论是发布反动言论、植入木马或非法广告、还是钓鱼链接，都会对政府的公信力造成破坏，带来非常坏的政治影响。

随着政务公开和信息化办公的程度不断加大，以上几点，都让政府对安全愈加重视。

极牛网：如何更好的满足这些安全需求，尤其是如何保障政府业务的连续性呢？

万钧：目前国内的安全产品，在功能性上虽然差异不大，但厂商对其产品的后续运维服务水平则参差不齐，而政府客户由于资金和人员编制的不足导致自身的运维基础相对较弱，所以在我们看来，目前客户最大的需求，不是技术产品或者体系架构，而是对现有安全产品良好的管理和运维能力。尤其是在”重保”的要求下，这点更重要。

极牛网：现在政府的安全现状是怎样的？

万钧：我认为，近几年安全技术更多的是细节的补充。政府客户在安全能力建设方面的基本框架已经完成，相对欠缺的是运维层面的能力。随着政务公开和系统云化程度的不断加深，运维需求更加集中，尽管硬件运维投资在不断降低，但是政府对大型业务系统的保障要求却在不断提高。而这就需要客户自身更加了解安全运维的精髓，能够充分利用现有的安全资源。但目前这部分相关投入，显然是严重不足的。所以目前主要是依靠各厂商硬件产品所提供的附加服务。

极牛网：这样做可以满足在运维方面需求么？

万钧：我个人认为这种状态确实存在不少问题，首先，如果依托厂商的附加服务，这个服务本身就是支离破碎的，运维是个综合能力的体现，厂商提供的更多的是单一产品或几个产品的附加能力，对于涉及非直接产品问题，厂商人员可能无法解决或解答；另外一种情况，客户运维服务预算的不足，压缩了厂商对服务力量的投入，有可能造成运维隐患，这是一个不断循环的矛盾。

极牛网：为什么会出现这样一种情况？

万钧：最核心的问题，还是政府客户目前更习惯去购买“盒子”，可能是为了资产核算更方便，但对安全设备上线后的运维状况和配套的安全服务不够重视。其实目前来看，后者才是政府客户的核心需求。尤其是有重大活动的时候现在要求保证全天候的对外提供服务，加入了更多的网络和安全设备，这个要求是非常高的，无论是对于IT还是安全。

极牛网：除此以外，政府还有哪些迫切的安全需求？

万钧：我想，是对云端数据交互过程中的“东西向”流量防护的重视。随着以贵州、湖北等省份为代表的政务云的快速发展，政务的数据会越来越集中，企业和监管单位都想用这些。但哪些数据可以直接利用？哪些需要审核？数据和数据空间使用完之后如何释放？目前来看这些过程是缺乏有效监管的，所以这些数据也得不到充分和合理的利用。

二、关注结合服务的解决方案而不是技术的“弯道超车”

极牛网：厂商如何推动这种在预算上“重产品轻服务”现状的改变？

万钧：我觉得可能更多的是要提供安全价值，尤其是安全服务的价值。金融、电商等行业对业务系统服务能力的保障，是能直接带来看得见的营收的。而政府则是不能出问题，价值是间接体现的。而且，有时候还因为遭受一些不寻常高级攻击手段，而陷入“采购更多更高级的安全设备”来解决问题的漩涡中。

目前，无论是等保2.0对关键信息基础设施的“重点式安全防护能力”打造，还是重保提出的在重大活动过程中对政务系统的网络安全保障，都可以看出政府客户对网络安全的重视程度在不断提高。但其“受限于基础运维能力严重不足”这一现状的背后，本质仍是包含服务的安全体系不够完善，落地不够彻底，直接推动人的重视和支持力度不够大。

对于安全厂商而言，面对这种“有限的运维能力”和“不断增加的安全需求”之间的矛盾，不是要在底层技术能力上寻求“弯道超车”，而是要重视第一时间跟踪新技术的应用，以及其带来的潜在安全风险和需求，并针对这个安全场景进行深入研究，最后形成适用这个应用场景的产品和服务结合的安全解决方案，为客户提供更多的专家能力。

极牛网：安全服务的价值，如何让客户认可并愿意付费？

万钧：这始终是个业界的难题。我个人思考，最重要的在于贴近客户业务和应用场景的深层需求，客户的需求必需更加细化，不同问题不同对待。

2016年，我们的态势感知设备主要针对运营商场景做了针对性的安全策略和规则配置；今年，政府客户对于威胁情报、态势感知以及云端数据安全的需求加大，绿盟也在协助政府客户完成合规建设的基础上，进一步构建了集“预警、防护、检测和响应”的自适应闭环安全防护体系，并通过绿盟云，将绿盟在安全研究上的优势融入威胁情报、安全监测、安全托管等安全服务中，并加载到核心解决方案向客户广泛提供。这也和绿盟在2015年年末开始从传统安全设备厂商向解决方案和安全运营业务转型后推出——“智慧、敏捷、可运营”的智慧安全2.0战略是相契合。

就在今年10月末，使用绿盟云所提供安全服务的客户已经超过3800家。为什么这些客户愿意继续使用这些安全服务？因为他能看到价值。也就是说，一定要先通过服务的方式帮助客户把你的安全设备用起来，你的能力才会在客户侧有所体现，客户也才能切身感受到你的产品和服务的价值，之后他才会愿意继续为你的服务付费。

三、等保2.0与关键基础设施防护

极牛网：之前您提到了等保2.0，在您看来，等保1.0和2.0的区别在哪里？

万钧：在等保1.0的那个时代，网络攻击的有组织性并不突出。网络攻击这个矛还是一招一式，有板有眼；安全防护这面盾也是兵来将挡，水来土吞，能够实现较好的防护效果。但随着技术的发展，国家之间在网络空间的对抗越来越突出。在我看来，等保2.0更注重攻击检测，特别是对未知攻击检测提出了要求。同时，等保2.0还更重视新技术的安全风险控制，如云安全、工业控制系统安全、物联网安全等，并作为扩展内容对不同新技术应用提出了专门的安全防护要求。

可以说，等级保护2.0总结了当前网络安全防护的最佳实践，并形成了新的安全防御基线。

极牛网：网络安全法中指出，要对国家关键信息基础设施，在等级保护制度的基础上，实现重点保护。您是如何理解“等级保护制度是关键基础设施保护的基础，关键基础设施则是等级保护制度保护的重点，两者不可分割”这句话？

万钧：“重点保护，适度安全”是网络安全的一个重要基本原则。也就是说，对于重要性不同的信息系统，安全防护的力度也不同。所以从这个角度来看，等级保护的关键信息基础设施防护的基本理念是一致的。只是在防护对象上，等级保护的对象覆盖范围较广，而关键基础设施保护则更加强调关系国计民生的重要信息系统，保护重点对象更加突出。

目前，虽然网络安全等级保护和关键信息基础设施的保护条例还都在制定中，但在网络安全法确立其制度地位、等级保护政策体系自身不断细化完善的大背景下，二者对中国信息系统网络安全建设的重要指导意义，是相辅相成，不可分割的。