临沂新闻网

首页 > 正文

如何保障关键信息基础设施安全?听听业内大咖们怎么说

www.nk7x.cn2019-10-07
?

中国经济日报经济网天津9月18日,关键的信息基础设施是经济和社会运行的神经中枢,这是网络安全的重中之重。但是,基础架构中系统的大规模集成和互连使基础架构的脆弱性和安全威胁不再是简单的线性覆盖。面对有组织的高强度攻击,关键的信息基础架构面临着巨大的挑战。当前,迫切需要建立一种可信任,可管理和智能保护的网络安全系统。随着相关法律政策(例如《网络安全法》)的引入,必须对关键信息基础架构的安全风险进行测试和评估。

图为全国网络安全促进周``关键信息基础设施安全保护论坛''站点。

Failure when receiving data from the peer

“通过技术与管理手段相结合,构建关键信息基础设施安全管理秩序,维护网络空间有序运行。”国家互联网应急中心关键信息基础设施安全保护专家杨鹏表示,一方面,需综合运用管理、技术、法律、宣传等手段,加强内部自身能力建设,如围绕识别、保护、监测、预警、检测、响应、处置等环节,建立与管理思路配套的技术平台;另一方面,建设分层次防御体系,依托全社会力量,构建关键信息基础设施外部保护屏障。

根据银行业关键信息基础设施安全保护的实践经验,中国人民银行网络安全专家袁慧萍认为,关键信息基础设施保护应从五个方向入手,如坚持自主可控,持续改进风险管理模式,健全跨部门互联网协同安全体系,持续完善配置基线档案管理制度体系形成等保测评问题整改长效机制,关注终端安全管理等。

“超过85%的网络安全事件威胁来自终端,对于终端安全的管理需要更加关注,建立一体化终端安全管理系统,统一策略管控、统一资产管理、统一数据展示。实现国产化、一体化、策略化、强准化、可视化。”袁慧萍表示。

奇安信安全专家韩永刚则认为,网络空间面临的安全问题与过去不同,对手组织化、环境“云”化、目标数据化、战法实战化。当前新一代信息化建设以数据共享为基础数据与业务应用成为攻击者的新目标。

“网络安全不再是创口贴、检查者,而是帮助业务进行准备、做好业务支持的角色,”韩永刚表示,网络安全需进化到内生安全时代,将安全能力构建在关键基础设施单位内部的信息化环境与业务系统上,从而保证信息化环境生长出安全能力,实现自适应、自主、自成长。“通过‘关口前移’,实现安全与信息化的深度结合和全面覆盖,构建信息化系统的“内生安全”能力,为信息化投资和业务运营提供保障。”

国家互联网应急中心网络安全检查测评专家陈亮表示,在落实关键信息基础设施网络安全检查中,应避免可能出现的检查对象不清、监管职责模糊、检查交叉重复、走形式走过场、只检查不负责等问题,各行业主管部门应依据《网络安全法》认真梳理自有(含下属单位)及主管监管范围内的网络运营者,组织开展抽查检,确定检查对象、明确检查事项、实施检查人员,可视工作需要委托专业检查服务机构开展网络安全检查。

论坛同期还发布了关键信息基础设施安全检查评估技术支撑平台。这一平台由国家互联网应急中心组织研发,通过资产管理、脆弱性评估、威胁检测等手段完成关键信息基础设施的安全检查、风险评估、可视化呈现。同时,通过与国家监测平台的威胁情报、知识库对接,动态实时的完成应急协同、威胁情报接入、信息流转、防护规则更新等信息交换,做到关键信息基础设施网络安全风险的快速发现和处置协同闭环,帮助关键信息基础设施及时发现网络威胁,提升关键信息基础设施网络安全检查评估能力。

热门浏览
热门排行榜
热门标签
日期归档