数字化转型大潮下,网络安全随着IT基础设施演进发生着巨大变化,关系到国计民生的关键信息基础设施的防护成为国家层面网络安全的核心课题。我们如何从顶层规划设计上帮助关键信息基础设施单位梳理安全需求,构建新的安全体系,并能做到实战化的安全运营?9月17日,2019年国家网络安全宣传周“关键信息基础设施网络安全保护论坛”在天津举行,现场干货满满,或许我们能从这个论坛上找到答案。
天津市委常委、常务副市长 马顺清
近年来,天津立足于大数据、云计算、芯片等基础优势,以智能科技产业为引领,大力发展网络安全产业,全力打造自主安全可控产业生态和国家级的网络安全产业基地,形成了以天河超算、曙光计算机、飞腾CPU、银河麒麟操作系统为代表的我国自主可控安全产业链,聚集了中科曙光、奇虎360、国家超算中心和国家软件中心等一大批行业领先企业和创新载体,建立起集安全态势感知、安全漏洞扫描等能力于一体的动态闭环安全保障体系和全市统一的政务网站技术平台。天津智港已经由一张蓝图变为生动的现实。
中央网信办网络安全协调局副局长 李爱东
近年来,各地区、各部门落实总体国家安全观,坚持正确的网络安全观,建立安全防护和应急工作体系,加强网络安全检查和风险评估,开展信息通报和攻防演练,组织实施网络安全重大工程,不断提升了关键信息基础设施安全保护能力。
同时我们也要清醒地看到,当今世界正处在百年未有之大变局,网络空间竞争日趋激烈,网络安全威胁持续上升,网络漏洞风险层出不穷,供应链安全问题日益突出,颠覆性技术对传统网络安全理念带来巨大冲击,重大网络安全事件时有发生。从伊朗核设施到乌克兰电网再到委内瑞拉电网遭受网络攻击一系列的事件充分表明,关键信息基础设施正面临国家间有组织、高强度网络攻击的现实威胁,迫切需要我们进一步增强忧患意识,坚持底线思维,强化责任担当,加快构建关键信息基础设施安全保障体系,为网络强国建设提供坚强的安全保障。
CNCERT关键信息基础设施安全保护专家 杨鹏
对于关键信息基础设施保护,我认为要通过技术与管理手段相结合,构建关键信息基础设施安全管理秩序,维护网络空间有序运行。一方面,综合运用管理、技术、法律、宣传等手段,加强内部自身能力建设,如围绕识别、保护、监测、预警、检测、响应、处置等环节,建立与管理思路配套的技术平台;另一方面,建设分层次防御体系,依托全社会力量,构建关键信息基础设施外部保护屏障。
中国人民银行资深安全专家 袁慧萍
从银行来讲,孟加拉银行的失窃事件,汇丰银行的信息泄露,俄罗斯央行基金的损失,还有最近曝出的Capital One银行信息的损失,让我们看到金融领域网络安全事件代表的是我们实际上和名义上的损失。所以,我认为党中央、国务院把银行列为关键信息基础设施是非常重要的。
从银行业关键信息基础设施安全保护的实践来看,关键信息基础设施保护应从五个方向入手,如坚持自主可控,持续改进风险管理模式,健全跨部门互联网协同安全体系,持续完善配置基线档案管理制度体系形成等保测评问题整改长效机制,关注终端安全管理等。有数据显示,超过85%的网络安全事件威胁来自终端,对于终端安全的管理需要更加关注,需要建立一体化终端安全管理系统,统一策略管控、统一资产管理、统一数据展示。
奇安信副总裁 韩永刚
网络空间面临的安全问题与过去不同,对手组织化、环境“云”化、目标数据化、战法实战化。现如今,网络空间挑战已经从普通网络犯罪转向组织化攻击,从通用攻击转向专门定向攻击,云大物移人等新一代信息技术全面应用终端智能、应用系统、IT设施全面云化,新一代信息化建设以数据共享为基础数据与业务应用成为攻击者的新目标。网络安全不再是创口贴、检查者,而是帮助业务进行准备、做好业务支持的角色。
网络安全需进化到内生安全时代,将安全能力构建在关键基础设施单位内部的信息化环境与业务系统上,从而保证信息化环境生长出安全能力,实现自适应、自主、自成长。通过关口前移,实现安全与信息化的深度结合和全面覆盖,构建信息化系统的内生安全能力,为信息化投资和业务运营提供保障。
CNCERT网络安全检查测评专家 陈亮
在关键信息基础设施保护方面,除了关键信息基础设施单位,安全管理部门的角色有很多,其中,关键信息基础设施保护工作部门,是目前监管中最重要的一个角色。
在落实关键信息基础设施网络安全检查工作的过程中,应尽量避免可能出现的检查对象不清、监管职责模糊、检查交叉重复、走形式走过场、只检查不负责等问题,各行业主管部门应依据《网络安全法》认真梳理自有(含下属单位)及主管监管范围内的网络运营者,组织开展抽查检,确定检查对象、明确检查事项、实施检查人员,可视工作需要委托专业检查服务机构开展网络安全检查。
CNNIC安全检查评估专家 张新跃
关键信息基础设施合规检查检查的是大数据、云平台等领域相关的标准有没有遵照国家标准和行业标准执行。合规检查是一票否决制,因为既然关键基础设施的基础工作都完成了,如果合规检查工作没有达标,那么其后续工作就无法开展,无法实际应用。
技术检测分为十一个方面,从最早的信息采集扫描、验证、业务测试到社会工程学、安全意识测试等,我们通过技术手段,在运营方允许情况下对系统做一个验证或者测试,通过法规结果来确定该系统是否有安全问题。技术检测,从深度来讲是由浅入深的,技术检查也不是每个项都是必选的,有的项目是可选的,其根本性目的是发现运营单位存在安全风险、安全问题和安全漏洞。
安全监测是安全技术检测的补充和完善,我们有很多检测不方便做,没办法做扫描和渗透,我们就在出口放一个设备看一看,监测这个环节中有没有疑似行为、被控行为或者通过技术检测发现不了的行为。
中国信息安全测评中心网络安全专家 任望
通过关键信息基础设施安全检查评估试点工作,我有两点体会。
第一,试点工作首先要解决站位的问题,关键信息基础设施检查评估一定要站在总体国家安全观的角度看待,这不是行业性而是国家性的问题。总体国家安全观包括人民安全、政治安全、经济安全、军事安全、文化安全、社会安全和国家安全,《网络安全法》里的七个关键信息基础设施领域也和其是一脉相承的。我们现在做的事情是关乎国家安全和利益的事情。
第二,对于关键信息基础设施安全检查评估保护的是什么,检测的是什么,心里要有数。这个有“数”从哪儿找呢?习近平总书记的讲话给了我们很好的出发点和落脚点。比如,习近平总书记在“4.19”讲话中讲到“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。”所以,必须要在关键信息基础设施合规基础上做好技术检查。技术检查里分为安全检测和监测,我们要对抗的是国家级、有组织、高强度的攻击,这是我们做检查评估工作的出发点。
✿本文来自传播君现场报道。
声明:本文来自网络传播杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。