數字化轉型大潮下,網絡安全隨著IT基礎設施演進發生著巨大變化,關系到國計民生的關鍵信息基礎設施的防護成為國家層面網絡安全的核心課題。我們如何從頂層規劃設計上幫助關鍵信息基礎設施單位梳理安全需求,構建新的安全體系,并能做到實戰化的安全運營?9月17日,2019年國家網絡安全宣傳周“關鍵信息基礎設施網絡安全保護論壇”在天津舉行,現場干貨滿滿,或許我們能從這個論壇上找到答案。
01 天津市委常委、常務副市長 馬順清
近年來,天津立足于大數據、云計算、芯片等基礎優勢,以智能科技產業為引領,大力發展網絡安全產業,全力打造自主安全可控產業生態和國家級的網絡安全產業基地,形成了以天河超算、曙光計算機、飛騰CPU、銀河麒麟操作系統為代表的我國自主可控安全產業鏈,聚集了中科曙光、奇虎360、國家超算中心和國家軟件中心等一大批行業領先企業和創新載體,建立起集安全態勢感知、安全漏洞掃描等能力于一體的動態閉環安全保障體系和全市統一的政務網站技術平臺。天津智港已經由一張藍圖變為生動的現實。
02 中央網信辦網絡安全協調局副局長 李愛東
近年來,各地區、各部門落實總體國家安全觀,堅持正確的網絡安全觀,建立安全防護和應急工作體系,加強網絡安全檢查和風險評估,開展信息通報和攻防演練,組織實施網絡安全重大工程,不斷提升了關鍵信息基礎設施安全保護能力。
同時我們也要清醒地看到,當今世界正處在百年未有之大變局,網絡空間競爭日趨激烈,網絡安全威脅持續上升,網絡漏洞風險層出不窮,供應鏈安全問題日益突出,顛覆性技術對傳統網絡安全理念帶來巨大沖擊,重大網絡安全事件時有發生。從伊朗核設施到烏克蘭電網再到委內瑞拉電網遭受網絡攻擊一系列的事件充分表明,關鍵信息基礎設施正面臨國家間有組織、高強度網絡攻擊的現實威脅,迫切需要我們進一步增強憂患意識,堅持底線思維,強化責任擔當,加快構建關鍵信息基礎設施安全保障體系,為網絡強國建設提供堅強的安全保障。
03 CNCERT關鍵信息基礎設施安全保護專家 楊鵬
對于關鍵信息基礎設施保護,我認為要通過技術與管理手段相結合,構建關鍵信息基礎設施安全管理秩序,維護網絡空間有序運行。一方面,綜合運用管理、技術、法律、宣傳等手段,加強內部自身能力建設,如圍繞識別、保護、監測、預警、檢測、響應、處置等環節,建立與管理思路配套的技術平臺;另一方面,建設分層次防御體系,依托全社會力量,構建關鍵信息基礎設施外部保護屏障。
04 中國人民銀行資深安全專家 袁慧萍
從銀行來講,孟加拉銀行的失竊事件,匯豐銀行的信息泄露,俄羅斯央行基金的損失,還有最近曝出的Capital One銀行信息的損失,讓我們看到金融領域網絡安全事件代表的是我們實際上和名義上的損失。所以,我認為黨中央、國務院把銀行列為關鍵信息基礎設施是非常重要的。
從銀行業關鍵信息基礎設施安全保護的實踐來看,關鍵信息基礎設施保護應從五個方向入手,如堅持自主可控,持續改進風險管理模式,健全跨部門互聯網協同安全體系,持續完善配置基線檔案管理制度體系形成等保測評問題整改長效機制,關注終端安全管理等。有數據顯示,超過85%的網絡安全事件威脅來自終端,對于終端安全的管理需要更加關注,需要建立一體化終端安全管理系統,統一策略管控、統一資產管理、統一數據展示。
05 奇安信副總裁 韓永剛
網絡空間面臨的安全問題與過去不同,對手組織化、環境“云”化、目標數據化、戰法實戰化。現如今,網絡空間挑戰已經從普通網絡犯罪轉向組織化攻擊,從通用攻擊轉向專門定向攻擊,云大物移人等新一代信息技術全面應用終端智能、應用系統、IT設施全面云化,新一代信息化建設以數據共享為基礎數據與業務應用成為攻擊者的新目標。網絡安全不再是創口貼、檢查者,而是幫助業務進行準備、做好業務支持的角色。
網絡安全需進化到內生安全時代,將安全能力構建在關鍵基礎設施單位內部的信息化環境與業務系統上,從而保證信息化環境生長出安全能力,實現自適應、自主、自成長。通過關口前移,實現安全與信息化的深度結合和全面覆蓋,構建信息化系統的內生安全能力,為信息化投資和業務運營提供保障。
06 CNCERT網絡安全檢查測評專家 陳亮
在關鍵信息基礎設施保護方面,除了關鍵信息基礎設施單位,安全管理部門的角色有很多,其中,關鍵信息基礎設施保護工作部門,是目前監管中最重要的一個角色。
在落實關鍵信息基礎設施網絡安全檢查工作的過程中,應盡量避免可能出現的檢查對象不清、監管職責模糊、檢查交叉重復、走形式走過場、只檢查不負責等問題,各行業主管部門應依據《網絡安全法》認真梳理自有(含下屬單位)及主管監管范圍內的網絡運營者,組織開展抽查檢,確定檢查對象、明確檢查事項、實施檢查人員,可視工作需要委托專業檢查服務機構開展網絡安全檢查。
07 CNNIC安全檢查評估專家 張新躍
關鍵信息基礎設施合規檢查檢查的是大數據、云平臺等領域相關的標準有沒有遵照國家標準和行業標準執行。合規檢查是一票否決制,因為既然關鍵基礎設施的基礎工作都完成了,如果合規檢查工作沒有達標,那么其后續工作就無法開展,無法實際應用。
技術檢測分為十一個方面,從最早的信息采集掃描、驗證、業務測試到社會工程學、安全意識測試等,我們通過技術手段,在運營方允許情況下對系統做一個驗證或者測試,通過法規結果來確定該系統是否有安全問題。技術檢測,從深度來講是由淺入深的,技術檢查也不是每個項都是必選的,有的項目是可選的,其根本性目的是發現運營單位存在安全風險、安全問題和安全漏洞。
安全監測是安全技術檢測的補充和完善,我們有很多檢測不方便做,沒辦法做掃描和滲透,我們就在出口放一個設備看一看,監測這個環節中有沒有疑似行為、被控行為或者通過技術檢測發現不了的行為。
08 中國信息安全測評中心網絡安全專家 任望
通過關鍵信息基礎設施安全檢查評估試點工作,我有兩點體會。
第一,試點工作首先要解決站位的問題,關鍵信息基礎設施檢查評估一定要站在總體國家安全觀的角度看待,這不是行業性而是國家性的問題。總體國家安全觀包括人民安全、政治安全、經濟安全、軍事安全、文化安全、社會安全和國家安全,《網絡安全法》里的七個關鍵信息基礎設施領域也和其是一脈相承的。我們現在做的事情是關乎國家安全和利益的事情。
第二,對于關鍵信息基礎設施安全檢查評估保護的是什么,檢測的是什么,心里要有數。這個有“數”從哪兒找呢?習近平總書記的講話給了我們很好的出發點和落腳點。比如,習近平總書記在“4.19”講話中講到“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標。”所以,必須要在關鍵信息基礎設施合規基礎上做好技術檢查。技術檢查里分為安全檢測和監測,我們要對抗的是國家級、有組織、高強度的攻擊,這是我們做檢查評估工作的出發點。
來源:“網絡傳播雜志”微信公號
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照