乌克兰电厂多次遭遇网络攻击、德国Gundremmingen核电站计算机系统遭破坏性攻击、美国欧洲多地地铁遭勒索病毒攻击、委内瑞拉全国范围内持续大停电……
今天,以关键信息基础设施为目标的网络攻击正在对国家安全、经济发展和社会稳定产生重大影响。
奇安信集团董事长齐向东曾经总结过目前我国关键信息基础设施防护存在的三个薄弱环节:宏观还不成体系、微观还不成系统;还不具备应对多样化、未知性威胁的能力;还没有很好地适应新信息技术和应用。
一系列触目惊心的安全事件也表明,关键信息基础设施保护正面临着严峻的挑战,加快构建和完善我国关键信息基础设施的安全防护体系刻不容缓。
近日,由国家计算机网络应急技术处理协调中心(CNCERT/CC)主办的第16届中国网络安全年会在广州召开。在奇安信集团主办的关键信息基础设施安全防护与实践分论坛上,来自政府和行业监管机构、关键信息基础设施运营单位的领导和专家从政策、防护体系、行业实践等几个角度分享了对关键信息基础设施安全保护的独到见解。
关键信息基础设施安全防护与实践论坛现场
“要充分认识关键信息基础设施保护工作面临的新形势和新挑战!”
关键信息基础设施事关国家安全、社会稳定和经济运行,是关系国计民生的重要战略设施和资源。“要充分认识关键信息基础设施保护工作面临的新形势和新挑战,” 工业和信息化部网络安全管理局网络与数据安全处付景广处长从五个方面谈及了新形势和新挑战,首先关键信息基础设施战略地位日益突出,一旦出问题可能导致的损失和危害很大;其次关键信息基础设施成为网络攻防的主战场,外部威胁复杂严峻;从关键信息基础设施自身的脆弱性角度来看,漏洞隐患和供应链风险尤为严峻;大数据时代网络数据和个人信息安全问题突出,防黑客、防内鬼、数据的共享/滥用成为难题;最后随着5G、工业互联网、人工智能、物联网等新兴技术的发展,融合创新发展带来新的风险。
工业和信息化部网络安全管理局网络与数据安全处付景广处长演讲
“关键信息基础设施防护要技术与管理手段相结合。”
CNCERT/CC高级工程师杨鹏表示,关键信息基础设施防护要技术与管理手段相结合,综合运用管理、技术、法律宣传等手段加强内部自身能力建设,通过分层次的防御体系,构建关键信息基础设施的外部保护屏障。同时还要构建关键信息基础设施安全管理秩序,优化关键信息基础设施保护机构的职责分工,完善关键信息基础设施保护政策的标准规范,构建协同保护机制。
CNCERT/CC高级工程师杨鹏发表演讲
“要实现可落地、见实效的大数据体系需要具备六大能力!”
奇安信集团副总裁李虎在《关键信息基础设施态势感知与防御技术体系》主题演讲中提到,奇安信对态势感知的落地定位是以大数据体系建设的思路,建立智能开放、知行合一的网络安全治理平台,使其成为监管机构治理、保卫网络安全的核心抓手。而要实现可落地、见实效的大数据体系需要具备大数据的应用、采集、存储与计算、治理、分析建模以及大数据的持续运营这六大能力。
奇安信集团副总裁李虎发表演讲
奇安信已经具备丰富的实战经验,成功帮助了多个国家部委、金融机构、大型央企等重要机构进行关键信息基础设施防护体系的规划设计。李虎谈到,“一个真正的态势感知,必然是一个庞大的大数据体系,不可能一蹴而就。否则,我们在数据能力、资金能力、运营能力、人员能力都很容易跟不上。但是顶层设计很重要,基因很重要、整体架构很重要,否则在未来持续的运营过程当中会伤筋动骨。”
在实施建议上,李虎建议要统筹规划、急用先行、分步实施,骨架要统一,整个平台要开放,任何一家厂商都不可能独立完成整套的大数据系统,模型分析的能力,监测的能力,都不是任何一家企业能做到的,但是也不能是拼接,如果拼接可能骨架又立不起来,就会有很多问题。
“实施关键信息基础设施保护,首先要领会政策合规性要求,其次要做好基础性防护工作,还得做好前瞻性的体系规划”
中国人民银行金融信息中心信息安全部袁慧萍主任认为,实施关键信息基础设施保护,首先要领会政策合规要求,其次要做好基础防护工作,还得做好前瞻性的体系规划。人民银行在关键信息基础设施保护方面还做了很多有益的探索,在自主可控、风险管理、互联网治理、安全合规管理活动、一体化终端管理、应用安全治理、态势感知、安全运营管理等方面做出有益探索实践。近年来,专项开展网络安全保障体系规划设计,综合政策合规、业务促进、顺应网安态势和推进精细化安全管理方面需求,聚焦新技术、新应用的要求开展网络安全保障体系总体规划和各个专项规划,努力实现可知可信、可管可控、智能防护的安全保障目标。
中国人民银行金融信息中心信息安全部主任袁慧萍
“从确定关键业务,确定支撑关键业务的信息系统,再到根据关键业务对信息系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定人社系统的关键信息基础设施。”
人力资源和社会保障部信息中心信息安全管理处副处长张嵩谈到,“人社系统关键信息基础设施网络安全能力评估会与现行标准形成配套,充分考虑人社系统的实际情况,与现有网络安全体系有效衔接,突出威胁信息共享、监测预警、应急处置等横向协同的安全域内容,在国家网络安全标准的统一框架要求基础上不断完善。”
人力资源和社会保障部信息中心信息安全管理处副处长张嵩发表演讲
感知网络安全态势是最基本最基础的工作,要全面加强网络安全检查,摸清家底,认清风险,找出漏洞,通报结果,督促整改。
南方电网数字电网研究院梁志宏讲到,首先是设备覆盖全,在系统建设过程中确保我的资产是全部白名单,一定要知道不能有漏网之鱼,二是信息收集精,我们明确的知道到底需要哪些日志哪些信息与白名单是互相配合才去收集,三是风险识别准,有了白名单的基础,我们识别出来的风险的非常准确的。最后,我们能从风险层面确保网络安全的风险可发现、可控制、可溯源。
南方电网数字电网研究院梁志宏发表演讲
梁志宏总结了下一步的工作,技术层面首先会持续优化主站系统和采集装置架构。二是接入多源安全威胁情报,进行融合处理与分析应用。三是探索人工智能在网络安全态势感知中的应用,异常流量识别,异常行为分析,风险趋势预测等。最后建立安全沙箱矩阵,提高恶意代码分析的准确性。
运行机制方面,建立7X24小时不间断的值班机制,不管攻击从白天来,还是晚上来,我们都有能力做溯源和处置。同时还要培养具备网络安全监测、数据分析、溯源取证等能力,真正符合企业安全能力需要的专业安全人才。
据了解,在即将召开的2019北京网络安全大会上,也将设置《关键信息基础设施保卫与网络安全等级保护论坛》,论坛汇集了相关政府主管机构的专家领导、院士、关键信息基础设施运营机构和网络安全领域的专家等业界重量级嘉宾,将共同探讨针对关键信息基础设施保护的新技术、新应用、新形势。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
