关注网络与数据安全

忘记密码
“游侠安全网”创建了网络安全从业者QQ大群(群号:389710688) ,欢迎各位同仁加入!有其它问题,请联系站长“网路游侠”,QQ:55984512


以风险管理思想构建关键信息基础设施风险评估重器

2018-06-26 10:39 推荐: 浏览: 72字号:

摘要: 在网络化时代的背景下,针对关键信息基础设施信息系统的攻击日益严重。   国际背景 国际上,2007年爱沙尼亚国会、政府部门及银行遭受“僵尸网络”攻击,涉及位于178个国家的大约8.5万台电脑,其中绝大多数电脑是在被黑客入侵和操纵的情况下,毫不知情地...

在网络化时代的背景下,针对关键信息基础设施信息系统的攻击日益严重。

 

国际背景

国际上,2007年爱沙尼亚国会、政府部门及银行遭受“僵尸网络”攻击,涉及位于178个国家的大约8.5万台电脑,其中绝大多数电脑是在被黑客入侵和操纵的情况下,毫不知情地情况下无辜的卷入了有关攻击;

2010年伊朗政府遭受“震网”病毒的攻击,专门定向攻击真实世界中基础(能源)设施;

2014年在乌克兰政府遭受的网络攻击;

2017年土耳其伊斯坦布尔和其他地区由于地下电力线路和国外网络攻击造成大面积停电;2014年4月9日爆发的OpenSSL心脏出血(Heart bleed)漏洞及2014年8月31日,匿名黑客利用苹果iCloud上的云服务漏洞发动网络攻击导致用户个人信息的泄露;

2017年美国多所高校都遭遇了重大的信息泄露和学术信息在线暴露。据360威胁情报中心对2017年全球关键信息基础设施重大网络安全事件的公开信息监测数据分析,在各类不同的关键信息基础设施中,金融、交通、能源等领域最容易遭受网络攻击,其中金融(33.1%)、医疗卫生(12.7%)、交通(9.9%)、工业(6.3%)等领域信息基础设施发生的重大网络安全事件最多。金融资产盗窃所占比例最高,占31.7%,其次是破坏型攻击(24.6%)、敏感信息泄露(18.3%),三者之和约占总数的3/4。

 

国内背景

 国内上,我国一直是网络攻击的受害国,每月有1万多个网站被篡改,80%的政府网站遭受过攻击。针对关键信息基础设施的网络攻击已经对我国国家安全、社会稳定、经济的发展及公民个人信息保护产生巨大危害。

在2018全国网络安全和信息化工作会议上,主席系统阐释了网络强国战略思想,为加快推进网络强国建设明确了前进方向,提供了根本遵循。主席在讲话中特别强调:积极发展网络安全产业,做到关口前移,防患于未然。要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。

与此同时,中央网信办发布的《关键信息基础设施安全保护条例(征求意见稿)》中也有了清晰的脉络和明确的答案。
结果导向

由于来自外部和内部的威胁越来越大,负责关键基础设施的组织需要统一及可重复利用的方法来识别、评估和管理网络安全风险,实现快速风险告知。即以风险管理思想对关键信息基础设施保护工作进行科学、先进的统筹设计。关键信息基础设施风险评估是网信工作中不可或缺的一部分,需要引起足够的重视及技术的支撑,构建一套完整、高效、全面的关键信息基础设施风险评估重器。

 

关键信息基础设施风险评估重器

一、依托资产重要性的逻辑起点,开展关键信息基础设施风险评估

有效、完整的识别关键信息基础设施,是开展其风险评估与保护的逻辑起点,世平信息依托风险管理思想,遵循《中华人民共和国网络安全法》的要求,通过“资产价值知识库”,作为评判关键信息基础设施”资产重要性”的标准,既符合国际通行惯例,同时积极响应国家重点提倡的“依法治国”的理念,在关键信息基础设施领域,实现有法可依。

二、构建智慧知识库大脑(智库),指导关键信息基础设施运营者开展风险评估

 维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,没有意识到风险是最大风险,无法识别风险的后果只能是“谁进来了不知道、是敌是友不知道、干了什么不知道”。

因此我们要服务并帮助关键信息基础实施的运营者,构建并依托风险评估平台的智慧知识库,以风险管理来统筹对关键信息基础设施的重要保护与风险评估,构建流程化、智慧化、自动化的风险管控评估体系。有效指导各行各业重点行业关键信息基础设施的运营者(例如:金融、能源、政府、电力、水利、教育等)开展自身关键信息基础设施的风险评估工作,构建一套完整的风险管理流程,培养关键信息基础设施运营者的先导意识确保其能够快速、高效的识别风险、评估风险。从而实现“上下一体”,有效开展自身关键信息基础设施风险评估,同时根据形势的需要,不断更新增加智库体系。

三、打造全天候网络安全态势感知体系的基石,全面体检关键信息基础设施

获取不同类型数据,根据不同行业要求,及时输出关键信息基础设施信息的汇总、分析研判和通报数据,通过对数据进行必要的清洗与梳理后,方便数据后续被网络安全态势感知平台所利用。

四、报告接口无缝对接,兼容多工具结果导入

当前按照等级保护2.0和《中华人民共和国网络安全法》的要求,基础的支撑工具是必不可少的,然而由于当前不同工具、不同形式的平台所展现的最终报告形式不一样,导致对检查结果不满意、不重视,检查结果无法引起足够的作用。为此需要构建一套能够无缝对接不同工具报告的平台,依据用户原有工具利旧的原则,兼容多工具平台检查报告结果的导入,实现无缝的对接。

当前世平关键信息基础设施风险评估平台可以兼容两大模块,17款工具,主动检查模块包括:漏洞扫描、敏感信息安全评估、数据库安全检查等,被动检查模块包括:APT检查、敏感信息防泄漏等。

五、融入专家智慧,使各级风险评估人员拥有专业技能

平台具备高可读性的风险评估报告,报告结果一目了然,并可同时在平台界面快速修改,确保检查结果与实际相符,实现风险评估一步到位。

六、关键信息基础设施风险与评估可视化

关键信息基础设施风险评估关键在于风险评估结果可给关键信息基础设施的运营者提供必要的帮助。一次成功的风险评估能明确告知用户:“信息基础存在哪方面的风险需要改进?”,“关键信息基础设施跟其他同类相比怎么样?”,“如何做可以提升风险评估得分?”等。利用关键信息基础设施风险评估,实现了风险评估结果可视化展现,真正意义上实现了服务并帮助关键信息基础实施。

关键信息基础设施风险评估应用对象

2017年6月1日实施的《中华人民共和国网络安全法》第三十八条明确规定:“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估”,这是关键信息基础设施风险评估的关键应用领域及对象。

主席强调,通过识别风险、评估风险,我们才能“有本清清楚楚的帐”—即“哪些方面必须重兵把守、严防死守,哪些方面由地方保障、适度防范,哪些方面由市场力量保护”。

坚持以风险管理的思想,突破及超越根据等级建设“底线式、静态式”的被动安全能力评估的固化模式,在风险的动态博弈中赢得主动,达到实质性保护关键信息基础实施的效果,这是关键信息基础风险评估的必由之路,也是关键信息基础设施风险评估重器构建的最终目的。

欢迎各级机构及企事业单位报名试用

详询世平热线:400 100 6790

或咨询世平QQ客服:3256718569

 

杭州世平信息科技有限公司
世平信息专注于智能化数据管理,基于内容的识别、检查和审计,从针对数据本身的防护需求角度出发,为各行业用户提供业务数据的梳理、分析、价值分享和安全管理方案。凭借近年来在数据库保密检查、数据泄漏防护、敏感信息风险评估和数据脱敏领域的创新与突破,世平信息获得了来自各个行业领域和机构的认可。

联系站长租广告位!

中国首席信息安全官
Copy link