數(shù)字化轉(zhuǎn)型大潮下，網(wǎng)絡安全隨著IT基礎設施演進發(fā)生著巨大變化，關(guān)系到國計民生的關(guān)鍵信息基礎設施的防護成為國家層面網(wǎng)絡安全的核心課題。我們?nèi)绾螐捻攲右?guī)劃設計上幫助關(guān)鍵信息基礎設施單位梳理安全需求，構(gòu)建新的安全體系，并能做到實戰(zhàn)化的安全運營？9月17日，2019年國家網(wǎng)絡安全宣傳周“關(guān)鍵信息基礎設施網(wǎng)絡安全保護論壇”在天津舉行，現(xiàn)場干貨滿滿，或許我們能從這個論壇上找到答案。

01 天津市委常委、常務副市長 馬順清

近年來，天津立足于大數(shù)據(jù)、云計算、芯片等基礎優(yōu)勢，以智能科技產(chǎn)業(yè)為引領，大力發(fā)展網(wǎng)絡安全產(chǎn)業(yè)，全力打造自主安全可控產(chǎn)業(yè)生態(tài)和國家級的網(wǎng)絡安全產(chǎn)業(yè)基地，形成了以天河超算、曙光計算機、飛騰CPU、銀河麒麟操作系統(tǒng)為代表的我國自主可控安全產(chǎn)業(yè)鏈，聚集了中科曙光、奇虎360、國家超算中心和國家軟件中心等一大批行業(yè)領先企業(yè)和創(chuàng)新載體，建立起集安全態(tài)勢感知、安全漏洞掃描等能力于一體的動態(tài)閉環(huán)安全保障體系和全市統(tǒng)一的政務網(wǎng)站技術(shù)平臺。天津智港已經(jīng)由一張藍圖變?yōu)樯鷦拥默F(xiàn)實。

02 中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局副局長 李愛東

近年來，各地區(qū)、各部門落實總體國家安全觀，堅持正確的網(wǎng)絡安全觀，建立安全防護和應急工作體系，加強網(wǎng)絡安全檢查和風險評估，開展信息通報和攻防演練，組織實施網(wǎng)絡安全重大工程，不斷提升了關(guān)鍵信息基礎設施安全保護能力。

同時我們也要清醒地看到，當今世界正處在百年未有之大變局，網(wǎng)絡空間競爭日趨激烈，網(wǎng)絡安全威脅持續(xù)上升，網(wǎng)絡漏洞風險層出不窮，供應鏈安全問題日益突出，顛覆性技術(shù)對傳統(tǒng)網(wǎng)絡安全理念帶來巨大沖擊，重大網(wǎng)絡安全事件時有發(fā)生。從伊朗核設施到烏克蘭電網(wǎng)再到委內(nèi)瑞拉電網(wǎng)遭受網(wǎng)絡攻擊一系列的事件充分表明，關(guān)鍵信息基礎設施正面臨國家間有組織、高強度網(wǎng)絡攻擊的現(xiàn)實威脅，迫切需要我們進一步增強憂患意識，堅持底線思維，強化責任擔當，加快構(gòu)建關(guān)鍵信息基礎設施安全保障體系，為網(wǎng)絡強國建設提供堅強的安全保障。

03 CNCERT關(guān)鍵信息基礎設施安全保護專家 楊鵬

對于關(guān)鍵信息基礎設施保護，我認為要通過技術(shù)與管理手段相結(jié)合，構(gòu)建關(guān)鍵信息基礎設施安全管理秩序，維護網(wǎng)絡空間有序運行。一方面，綜合運用管理、技術(shù)、法律、宣傳等手段，加強內(nèi)部自身能力建設，如圍繞識別、保護、監(jiān)測、預警、檢測、響應、處置等環(huán)節(jié)，建立與管理思路配套的技術(shù)平臺；另一方面，建設分層次防御體系，依托全社會力量，構(gòu)建關(guān)鍵信息基礎設施外部保護屏障。

04 中國人民銀行資深安全專家 袁慧萍

從銀行來講，孟加拉銀行的失竊事件，匯豐銀行的信息泄露，俄羅斯央行基金的損失，還有最近曝出的Capital One銀行信息的損失，讓我們看到金融領域網(wǎng)絡安全事件代表的是我們實際上和名義上的損失。所以，我認為黨中央、國務院把銀行列為關(guān)鍵信息基礎設施是非常重要的。

從銀行業(yè)關(guān)鍵信息基礎設施安全保護的實踐來看，關(guān)鍵信息基礎設施保護應從五個方向入手，如堅持自主可控，持續(xù)改進風險管理模式，健全跨部門互聯(lián)網(wǎng)協(xié)同安全體系，持續(xù)完善配置基線檔案管理制度體系形成等保測評問題整改長效機制，關(guān)注終端安全管理等。有數(shù)據(jù)顯示，超過85%的網(wǎng)絡安全事件威脅來自終端，對于終端安全的管理需要更加關(guān)注，需要建立一體化終端安全管理系統(tǒng)，統(tǒng)一策略管控、統(tǒng)一資產(chǎn)管理、統(tǒng)一數(shù)據(jù)展示。

05 奇安信副總裁 韓永剛

網(wǎng)絡空間面臨的安全問題與過去不同，對手組織化、環(huán)境“云”化、目標數(shù)據(jù)化、戰(zhàn)法實戰(zhàn)化。現(xiàn)如今，網(wǎng)絡空間挑戰(zhàn)已經(jīng)從普通網(wǎng)絡犯罪轉(zhuǎn)向組織化攻擊，從通用攻擊轉(zhuǎn)向?qū)ｉT定向攻擊，云大物移人等新一代信息技術(shù)全面應用終端智能、應用系統(tǒng)、IT設施全面云化，新一代信息化建設以數(shù)據(jù)共享為基礎數(shù)據(jù)與業(yè)務應用成為攻擊者的新目標。網(wǎng)絡安全不再是創(chuàng)口貼、檢查者，而是幫助業(yè)務進行準備、做好業(yè)務支持的角色。

網(wǎng)絡安全需進化到內(nèi)生安全時代，將安全能力構(gòu)建在關(guān)鍵基礎設施單位內(nèi)部的信息化環(huán)境與業(yè)務系統(tǒng)上，從而保證信息化環(huán)境生長出安全能力，實現(xiàn)自適應、自主、自成長。通過關(guān)口前移，實現(xiàn)安全與信息化的深度結(jié)合和全面覆蓋，構(gòu)建信息化系統(tǒng)的內(nèi)生安全能力，為信息化投資和業(yè)務運營提供保障。

06 CNCERT網(wǎng)絡安全檢查測評專家 陳亮

在關(guān)鍵信息基礎設施保護方面，除了關(guān)鍵信息基礎設施單位，安全管理部門的角色有很多，其中，關(guān)鍵信息基礎設施保護工作部門，是目前監(jiān)管中最重要的一個角色。

在落實關(guān)鍵信息基礎設施網(wǎng)絡安全檢查工作的過程中，應盡量避免可能出現(xiàn)的檢查對象不清、監(jiān)管職責模糊、檢查交叉重復、走形式走過場、只檢查不負責等問題，各行業(yè)主管部門應依據(jù)《網(wǎng)絡安全法》認真梳理自有(含下屬單位)及主管監(jiān)管范圍內(nèi)的網(wǎng)絡運營者，組織開展抽查檢，確定檢查對象、明確檢查事項、實施檢查人員，可視工作需要委托專業(yè)檢查服務機構(gòu)開展網(wǎng)絡安全檢查。

07 CNNIC安全檢查評估專家 張新躍

關(guān)鍵信息基礎設施合規(guī)檢查檢查的是大數(shù)據(jù)、云平臺等領域相關(guān)的標準有沒有遵照國家標準和行業(yè)標準執(zhí)行。合規(guī)檢查是一票否決制，因為既然關(guān)鍵基礎設施的基礎工作都完成了，如果合規(guī)檢查工作沒有達標，那么其后續(xù)工作就無法開展，無法實際應用。

技術(shù)檢測分為十一個方面，從最早的信息采集掃描、驗證、業(yè)務測試到社會工程學、安全意識測試等，我們通過技術(shù)手段，在運營方允許情況下對系統(tǒng)做一個驗證或者測試，通過法規(guī)結(jié)果來確定該系統(tǒng)是否有安全問題。技術(shù)檢測，從深度來講是由淺入深的，技術(shù)檢查也不是每個項都是必選的，有的項目是可選的，其根本性目的是發(fā)現(xiàn)運營單位存在安全風險、安全問題和安全漏洞。

安全監(jiān)測是安全技術(shù)檢測的補充和完善，我們有很多檢測不方便做，沒辦法做掃描和滲透，我們就在出口放一個設備看一看，監(jiān)測這個環(huán)節(jié)中有沒有疑似行為、被控行為或者通過技術(shù)檢測發(fā)現(xiàn)不了的行為。

08 中國信息安全測評中心網(wǎng)絡安全專家 任望

通過關(guān)鍵信息基礎設施安全檢查評估試點工作，我有兩點體會。

第一，試點工作首先要解決站位的問題，關(guān)鍵信息基礎設施檢查評估一定要站在總體國家安全觀的角度看待，這不是行業(yè)性而是國家性的問題。總體國家安全觀包括人民安全、政治安全、經(jīng)濟安全、軍事安全、文化安全、社會安全和國家安全，《網(wǎng)絡安全法》里的七個關(guān)鍵信息基礎設施領域也和其是一脈相承的。我們現(xiàn)在做的事情是關(guān)乎國家安全和利益的事情。

第二，對于關(guān)鍵信息基礎設施安全檢查評估保護的是什么，檢測的是什么，心里要有數(shù)。這個有“數(shù)”從哪兒找呢？習近平總書記的講話給了我們很好的出發(fā)點和落腳點。比如，習近平總書記在“4.19”講話中講到“金融、能源、電力、通信、交通等領域的關(guān)鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到重點攻擊的目標。”所以，必須要在關(guān)鍵信息基礎設施合規(guī)基礎上做好技術(shù)檢查。技術(shù)檢查里分為安全檢測和監(jiān)測，我們要對抗的是國家級、有組織、高強度的攻擊，這是我們做檢查評估工作的出發(fā)點。

來源：“網(wǎng)絡傳播雜志”微信公號

及時掌握網(wǎng)絡安全態(tài)勢 盡在傻蛋網(wǎng)絡安全監(jiān)測系統(tǒng)

【網(wǎng)絡安全監(jiān)管部門】免費試用

本文來源:

如涉及侵權(quán)，請及時與我們聯(lián)系，我們會在第一時間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負責人：張明