摘要: 无论是“永恒之蓝”,还是升级版的“永恒之石”,都是利用漏洞和脚本攻击,通过勒索病毒进行感染,进而作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染从而大范围超快速扩散。 你的网络能防御类似的攻击吗?遭到这些攻击后有应急的措施吗?对你们的网络运行环境和重要数...
无论是“永恒之蓝”,还是升级版的“永恒之石”,都是利用漏洞和脚本攻击,通过勒索病毒进行感染,进而作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染从而大范围超快速扩散。
你的网络能防御类似的攻击吗?遭到这些攻击后有应急的措施吗?对你们的网络运行环境和重要数据做了针对性的保护了吗?总的来说,你要保障关键信息基础设施的安全。
从全球各国的实践来看,关键信息基础建设是国家网络安全战略中最为重要的内容,这与人们日常生活对网络关键基础设施的强烈依赖是密不可分的。有效的识别和分析威胁的来源,并采取相应的安全保障措施,是问题的关键。
之前,我们从个人信息保护予以解读,本周,关键信息基础设施的安全建设来说一说《网络安全法》里的“大道理”。
关键信息基础设施面临的威胁
事件远不止于这两起,不难看出我国关键信息基础设施面临的威胁日益加剧。
重要性与必要性
习总书记在网络安全和信息化工作座谈会上的讲话指出,我国的关键信息基础设施面临着来自不同层面上的安全威胁:
首先,由于网络空间的开放性和互联互通,既有少数国家层面的有组织、有计划的入侵攻击和窃密,也有黑客个人的网络攻击,还有犯罪团伙、商业间谍、邪教组织、恐怖分子等有组织行为,给我国的关键信息基础设施带来巨大的风险。
其次,由于我国许多基础信息网络和重要信息系统的核心设备、技术和高端服务主要依赖国外进口,关键信息基础设施安全防护能力较弱,一些“命门”受制于人,应对网络威胁的能力整体不足,无法抵御大规模、有组织的网络攻击。
因此,保护关键信息基础设施的安全运行能促进信息化进程发展、保障国家安全发展等多方面具有重要意义。
相关条例解读
美创解读:本条主要讲的是怎么建设关键信息基础设施。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
美创解读:本条款说明关键信息基础设施的保护要求高于网络安全等级保护制度的一般要求,从制度、培训、灾备、应急等方面提出了进一步要求。
第三十八条:关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
美创解读:本条主要是关于对关键信息基础设施年度检测评估的问题。
第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
美创解读:本条主要是从组织层面,对网信主管部门的要求。提到了政府主管部门的风险评估,特别提到了可以在必要时委托网络安全服务机构可以做检测评估。同时,又提到了信息共享,如何建立安全快捷有效的信息共享体系是一个必须解决的问题。
《网络安全法》的要求
关键信息基础设施保护一直是各国网络安全战略的重点,有的国家甚至以关键信息基础设施保护战略代指国家网络安全战略。我们国家在2003年时已经要求“重点保障基础信息网络和重要信息系统安全”,并且在实践中明确了基础信息网络是广电网、电信网、互联网,重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统,即俗称的“2+8”,相关保护工作也常抓不懈。但整体而言,我们与国外差距很大,已是国家安全的软肋,我们认为《网络安全法》对关键信息基础设施的运行安全,做到了以下三点:
一是扩展了保护范围。
纵观世界各国,凡是已经开展了网络安全建设的国家,其关键基础设施的范围几乎都远超过我们,例如美国有17类,而我们则有很多重要系统尚未纳入保护视野。
明确关键信息基础设施范围,包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营,运营者可能对其列为国家关键信息基础设施不适应,但当网络服务商的用户达到一定规模时,其安全已经不再是企业自身问题,而成为一个公共问题、社会问题甚至国家安全问题,理应承担更多责任。
二是明确了保护要求。
等级保护是1994年《计算机信息系统安全保护条例》提出的制度,其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用,这个要求只能是基线(即基本要求),其有必要但并不足够,特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。
此外,保护关键信息基础设施涉及很多工作,不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单,还包括一系列的管理工作和公共平台建设,不能由一项制度取代其他制度,理应对此建立专门制度。
关键信息基础设施安全保护办法由国务院制定。对于某些重点要求,如网络安全审查、风险评估等,在具体条款中进行明确。
三是划定了保护责任。
关键信息基础设施运营者的安全保护义务,解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任,但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了,也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说,这不仅仅是免责的需要,也是推动工作的需要,因为这些内设机构如果没有强制性依据,很难得到业务部门的配合。
此外,以前我国重点行业的网络安全监管责任也很不明确,似乎谁都可以进入机房检查,但谁都不用负责,重点行业往往无所适从、疲于应付。为此,《网络安全法》明确了行业主管部门的监督指导职责,这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门,《网络安全法》授权国家网信部门统筹协调有关部门,建立协作机制。特别是在网络安全检查工作中,要杜绝某个部门前脚走,另一部门后脚来的现象。
