2017年6月1日�����,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》已正式實(shí)施����?����!毒W(wǎng)絡(luò)安全法》第二十一條規(guī)定國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度�。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行下列安全保護(hù)義務(wù)���,保障網(wǎng)絡(luò)免受干擾����、破壞或者未經(jīng)授權(quán)的訪問(wèn),防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取�、篡改。
早在2014年全國(guó)安標(biāo)委秘書處下達(dá)對(duì)《信息安全技術(shù) 信息系統(tǒng)等級(jí)保護(hù)基本要求》(GB/T 22239—2008)進(jìn)行修訂的任務(wù)�����,修訂工作由公安部第三研究所(公安部信息安全等級(jí)保護(hù)評(píng)估中心)主要承擔(dān)�����。從此拉開了等保2.0的序幕�。經(jīng)過(guò)三次專家評(píng)審和多次意見修改,2017年8月形成了最新版本的標(biāo)準(zhǔn)送審稿��。
等保2.0較之前的舊標(biāo)準(zhǔn)可以說(shuō)有突破性的進(jìn)展���,尤其在移動(dòng)互聯(lián)����、云計(jì)算�、物聯(lián)網(wǎng)、工控安全等新的業(yè)務(wù)環(huán)境均提供安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)���。
實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)意義重大�,在信息化建設(shè)過(guò)程中不僅有利于同步建設(shè)網(wǎng)絡(luò)安全設(shè)施,保障網(wǎng)絡(luò)安全與信息化建設(shè)協(xié)調(diào)發(fā)展�,而且為信息系統(tǒng)安全建設(shè)和管理提供了系統(tǒng)性、針對(duì)性���、可行性的指導(dǎo)和服務(wù)��,有效控制了網(wǎng)絡(luò)安全建設(shè)成本。同時(shí)��,網(wǎng)絡(luò)安全等級(jí)保護(hù)對(duì)網(wǎng)絡(luò)安全資源的配置進(jìn)行了優(yōu)化����,重點(diǎn)保障了關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈��、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng)的安全����。需要重點(diǎn)提到的是,信息安全等級(jí)保護(hù)明確了國(guó)家���、法人和其他組織��、公民的信息安全責(zé)任�����,進(jìn)一步加強(qiáng)了信息安全管理��。
隨著信息化的深入發(fā)展���,智能控制���、遠(yuǎn)程控制采集、數(shù)字化辦公�����、分布式網(wǎng)絡(luò)等新技術(shù)逐步展現(xiàn)在大家面前���。在這一過(guò)程中��,原有網(wǎng)絡(luò)系統(tǒng)的軟硬件����、通訊協(xié)議����,以及管理環(huán)節(jié)都存在諸多的安全脆弱性���,信息化程度的快速提高,直接把這些安全隱患暴露出來(lái)����,甚至某些安全問(wèn)題會(huì)被放大。信息化的深入發(fā)展需要網(wǎng)絡(luò)安全保駕護(hù)航��。
近十幾年來(lái)����,我國(guó)企業(yè)信息化得到長(zhǎng)足發(fā)展��,但是隨著世界局勢(shì)的不斷變化�,網(wǎng)絡(luò)安全問(wèn)題日益凸顯。雖然在網(wǎng)絡(luò)信息安全方面�����,我國(guó)已經(jīng)有了長(zhǎng)足的進(jìn)步��,各項(xiàng)規(guī)章制度���、安全技術(shù)也日益完善�。各類網(wǎng)絡(luò)信息安全廠商如雨后春筍遍布全國(guó)各地,而各種網(wǎng)絡(luò)安全產(chǎn)品如安全服務(wù)器���、安全網(wǎng)閘����、防火墻���、IDS�����、安全審計(jì)�����、漏洞掃描等等層出不窮����,數(shù)不勝數(shù)�����。
那么如果購(gòu)買大量的網(wǎng)絡(luò)信息安全產(chǎn)品���,就能切實(shí)提升網(wǎng)絡(luò)安全防護(hù)水平了嗎�?
網(wǎng)絡(luò)安全防護(hù)是一個(gè)體系,并不是簡(jiǎn)單的�����,大量的安全防護(hù)產(chǎn)品的堆積�,而是由其中管理、人�、策略、防護(hù)設(shè)備等多種因素構(gòu)成的一個(gè)整體�����。尤其是社會(huì)工程的日趨完美,很多攻擊能夠很好的繞過(guò)各種尖端的防御��。人員的安全意識(shí)成為防護(hù)的短板�。
猶如當(dāng)年攻擊伊朗核設(shè)施的震網(wǎng)病毒�����。伊朗作為集權(quán)國(guó)家����,對(duì)其核設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力手段不可謂不足���,而且有完善的物理隔離裝置,基本做到了與公網(wǎng)的隔離����。但震網(wǎng)病毒卻實(shí)打?qū)崒?duì)其核設(shè)施進(jìn)行了針對(duì)性的破壞性打擊,將伊朗的核計(jì)劃硬生生的延遲了3年以上�����。其根本原因�����,就是利用其人員安全意識(shí)不足���,將帶有病毒的U盤不知不覺的帶到了核設(shè)施的生產(chǎn)網(wǎng)絡(luò)中使用�,造成了巨大的破壞和損失���。
所以���,可以說(shuō)人員是信息安全中的關(guān)鍵因素,同時(shí)人也是網(wǎng)絡(luò)信息安全中最薄弱的環(huán)節(jié)。在網(wǎng)絡(luò)安全圈流傳著一句名言:3分技術(shù)7分管理�����, 沒(méi)有絕對(duì)安全的技術(shù)�,只有不安全的人。當(dāng)網(wǎng)絡(luò)中的硬件和軟件技術(shù)處于時(shí)代發(fā)展主流水平���,升級(jí)系統(tǒng)����、采購(gòu)設(shè)備已不能明顯提升網(wǎng)絡(luò)信息安全水平時(shí)�,信息系統(tǒng)的安全往往取決于系統(tǒng)中最薄弱的環(huán)節(jié):人。
《網(wǎng)絡(luò)安全法》第三十四條規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者除了需要履行第二十一條規(guī)定外���,還需要定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育�����、技術(shù)培訓(xùn)和技能考核,制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案�����,定期演練等。
在所有網(wǎng)絡(luò)安全事件中����,只有20%-30%是由于黑客入侵或其他外部原因造成的,其他70%-80%是由于內(nèi)部員工的疏忽或有意泄密造成的�����。經(jīng)常聽到這樣的信息:病毒����、蠕蟲造成了嚴(yán)重的破壞,黑客獲取了信用卡的信息�,大型網(wǎng)站主頁(yè)被黑等等。人們普遍認(rèn)為這是由于企業(yè)沒(méi)有安裝安全產(chǎn)品(如防火墻�����、入侵檢測(cè)系統(tǒng)等)造成的�����,而實(shí)際上有許多是由于安全管理沒(méi)有有效實(shí)施造成的����。網(wǎng)絡(luò)安全的核心要素是安全管理,而安全管理的關(guān)鍵因素取決于人。
當(dāng)前�����,我國(guó)各級(jí)政府部門���、企事業(yè)單位等相關(guān)從業(yè)人員對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)與意識(shí)不容樂(lè)觀��。具體體現(xiàn)在:不清楚風(fēng)險(xiǎn)在哪里�����、不了解基本的安全常識(shí)�、不知道如何應(yīng)對(duì)常見風(fēng)險(xiǎn)�����;其結(jié)果是:“一念之差就把敵人引進(jìn)了家門”“一項(xiàng)誤操作就進(jìn)入了別人設(shè)下的圈套”“出了大事還在火上澆油”���。綜上所述��,提升相關(guān)人員對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和網(wǎng)絡(luò)安全意識(shí)迫在眉睫���。
網(wǎng)絡(luò)信息已經(jīng)深入到企業(yè)生產(chǎn)和管理的全過(guò)程,涉及企業(yè)����、工業(yè)生產(chǎn)的各個(gè)層面,企業(yè)生產(chǎn)與管理對(duì)其依賴性日益增大�。目前,在政府部門����、企業(yè)的安全文化建設(shè)中,信息安全管理仍然處于從屬地位����,需要進(jìn)行不斷努力,使之成為企業(yè)安全文化的中堅(jiān)力量��。
信息安全及其相關(guān)技能的教育是政府部門��、企業(yè)安全管理中重要的內(nèi)容�,其實(shí)施力度將直接關(guān)系到政府部門、企業(yè)安全策略被理解的程度和被執(zhí)行的效果�。為了保證信息安全的成功和有效,高級(jí)管理部門應(yīng)當(dāng)對(duì)企業(yè)各級(jí)管理人員�、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)��,所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)信息安全策略。
因此���,有必要圍繞政府�、企事業(yè)單位的從業(yè)人員開展網(wǎng)絡(luò)安全方面的培訓(xùn)�����,提升對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)和意識(shí)�����,加大網(wǎng)絡(luò)安全管理方面的教育�����,有助于全方位的提高政府��、企事業(yè)單位的網(wǎng)絡(luò)安全防護(hù)水平�����。
(e安在線�,微信公眾號(hào):ean-online)