物联网时代催生安全隐患

　　《政府采购信息报》：您如何看待物联网时代？

　　肖新光：物联网时代是人类信息化发展的一次重要的变革，其大大提升了对信息的采集能力和再造再加工能力，以及加快了信息传递的速度，增大了信息化的覆盖面积。如果说计算机延展了人的脑力，那么物联网时代就延展了人类的感知能力，物联网时代会进一步加快生产力发展，提升人类的生活品质。但物联网时代也扩大了网络威胁影响的范围，给网络安全工作者提出了更高的挑战。

　　从全局看待基础设施安全

　　《政府采购信息报》：我国政府应该如何应对全球工业安全威胁，如何安全有效防护信息的泄露？

　　肖新光：习近平总书记在4.19网信工作会议讲话中指出“关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标。”要求我们“加快构建关键信息基础设施安全保障体系。”所以我们要注意一点，我们不要以偏概全、不能把关键基础设施安全窄带化为工控安全或者工业系统的安全，而是要站在“总体安全观的”的角度来全局看待关键基础设施安全。

　　超级大国、地缘利益竞合国家和地区和一些非政府攻击者，可能觊觎我关键基础设施，试图进行数据窃取、技术成果窃密、干扰破坏，以及进行长期持久化以达成后续行动便利等行动，我方当前面临的威胁是多层次和多边的。

　　因此保障关键基础设施安全，全面避免片面的从“孤立”、“静态”、“封闭”的角度看待，而是要从“供应链”、“信息流动”的大场景来看待，即要通过突破信息基础技术、工业关键技术，掌握供应链的优势；通过实现产业和服务全球化进取，达成信息流动的优势；要切实推动网络安全产业的成长，推动网络安全产业和关键基础设施的能力对接；从防御能力和威慑能力的角度完善国家能力准备。

　　保障政府采购体系安全

　　《政府采购信息报》：对政府采购体系的安全有哪些建议？

　　肖新光：政府采购体系是我们社会的基础经济运行体系的重要支撑环节，其安全非常关键。但信息系统的安全是复杂关联的，很难简单说清楚。总体上来看，其涉及到通过安全补丁加固、恶意代码检测和主动防御机制保证服务器节点的安全性；引入反APT级别的安全防护产品保证政府采购相关部门机构的内网安全；进行有效的应用层防护，对抗SQL注入等应用漏洞；推广账户和密码安全机制、实现关键数据字段的强加密，遏制撞库、脱库等攻击；贯彻安全开发方法和有效代码审查，减少应用层漏洞；强制使用HTTPS，避免通讯内容被从信道侧获取、实行更强有力的内审和监控机制，避免内鬼作案等等。同时，更要联合公安执法部门，对于攻击政府采购体系，恶意窃密牟利的违法犯罪活动予以高压打击，形成有效威慑。