2019國家網(wǎng)絡安全宣傳周“關鍵信息基礎設施安全保護論壇”近日在天津舉行。與會專家從政策、防護技術和行業(yè)實踐等多方面展開研討,探討在金融、能源、電力、通信、交通等領域關鍵信息基礎設施面臨的最新變化和挑戰(zhàn),紛紛表示,關鍵信息基礎設施的安全檢查評估已勢在必行。
關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡安全的重中之重。但基礎設施中系統(tǒng)的大規(guī)模集成、互聯(lián)使得基礎設施的脆弱性和安全威脅不再是簡單的“線性疊加”,在有組織、高強度攻擊面前,關鍵信息基礎設施面臨著巨大挑戰(zhàn)。
中國人民銀行網(wǎng)絡安全專家袁慧萍根據(jù)銀行業(yè)關鍵信息基礎設施安全保護實踐指出,關鍵信息基礎設施保護應從堅持自主可控、持續(xù)改進風險管理模式、健全跨部門互聯(lián)網(wǎng)協(xié)同安全體系,關注終端安全管理等方向入手。
袁慧萍說,超過85%的網(wǎng)絡安全事件威脅來自終端,對于終端安全的管理需要更加關注,建立一體化終端安全管理系統(tǒng),統(tǒng)一策略管控、統(tǒng)一資產(chǎn)管理、統(tǒng)一數(shù)據(jù)展示。實現(xiàn)國產(chǎn)化、一體化、策略化、強準化、可視化。”
國家互聯(lián)網(wǎng)應急中心(CNCERT)關鍵信息基礎設施安全保護專家楊鵬認為,應通過技術與管理手段相結合,構建關鍵信息基礎設施安全管理秩序,維護網(wǎng)絡空間有序運行。一方面,綜合運用管理、技術、法律、宣傳等手段,加強內部自身能力建設,如圍繞識別、保護、監(jiān)測、預警、檢測、響應、處置等環(huán)節(jié),建立與管理思路配套的技術平臺;另一方面,建設分層次防御體系,依托全社會力量,構建關鍵信息基礎設施外部保護屏障。
奇安信安全專家韓永剛說,網(wǎng)絡空間面臨的安全問題與過去不同,對手組織化、環(huán)境“云”化、目標數(shù)據(jù)化、戰(zhàn)法實戰(zhàn)化。現(xiàn)如今,網(wǎng)絡空間挑戰(zhàn)已經(jīng)從普通網(wǎng)絡犯罪到組織化攻擊,從通用攻擊轉向專門定向攻擊。
“網(wǎng)絡安全不再是創(chuàng)口貼、檢查者,而是幫助業(yè)務進行準備、做好業(yè)務支持的角色”韓永剛說,“網(wǎng)絡安全需進化到內生安全時代,將安全能力構建在關鍵基礎設施單位內部的信息化環(huán)境與業(yè)務系統(tǒng)上,從而保證信息化環(huán)境生長出安全能力,實現(xiàn)自適應、自主、自成長。通過關口前移,為信息化投資和業(yè)務運營提供保障。”
CNCERT網(wǎng)絡安全檢查測評專家陳亮表示,在落實關鍵信息基礎設施網(wǎng)絡安全檢查中,應避免可能出現(xiàn)的檢查對象不清、監(jiān)管職責模糊、檢查交叉重復、走形式走過場、只檢查不負責等問題。各行業(yè)主管部門應依據(jù)《網(wǎng)絡安全法》認真梳理自有(含下屬單位)及主管監(jiān)管范圍內的網(wǎng)絡運營者,組織開展抽查檢,確定檢查對象、明確檢查事項、實施檢查人員,可視工作需要委托專業(yè)檢查服務機構開展網(wǎng)絡安全檢查。
論壇上,與會專家還就關鍵信息基礎設施安全檢查政策、標準及評估試點進行了分享與交流。
“關鍵信息基礎設施安全保護論壇”以“關鍵信息基礎設施安全保護與檢查評估”為主題,由國家計算機網(wǎng)絡應急技術處理協(xié)調中心承辦,國家計算機網(wǎng)絡應急技術處理協(xié)調中心天津分中心和奇安信集團協(xié)辦。(記者 何春中 何明)