《網(wǎng)絡(luò)安全法》實(shí)施五周年:網(wǎng)絡(luò)安全“防護(hù)網(wǎng)”織牢織密
來(lái)源:
環(huán)球網(wǎng)
日期:2022-06-01
責(zé)編:
殷緒江
2022年6月1日是《網(wǎng)絡(luò)安全法》正式施行五周年�����。作為我國(guó)互聯(lián)網(wǎng)領(lǐng)域第一部專(zhuān)門(mén)法律����,《網(wǎng)絡(luò)安全法》為構(gòu)建網(wǎng)絡(luò)安全法律法規(guī)體系提供了基礎(chǔ)性依據(jù)。
繼《網(wǎng)絡(luò)安全法》實(shí)施后���,《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等法律法規(guī)陸續(xù)出臺(tái)�����,網(wǎng)絡(luò)安全法治化進(jìn)程不斷演進(jìn)��,構(gòu)筑了一張新時(shí)代的網(wǎng)絡(luò)安全防護(hù)網(wǎng)�����。
為何近幾年業(yè)界格外重視網(wǎng)絡(luò)空間安全�?政策、法規(guī)的相繼出臺(tái)在網(wǎng)絡(luò)安全領(lǐng)域產(chǎn)生了怎樣的影響���?目前維護(hù)網(wǎng)絡(luò)安全行之有效的手段主要有哪些�����?針對(duì)上述問(wèn)題���,記者與業(yè)內(nèi)人士進(jìn)行了交流。
構(gòu)筑網(wǎng)絡(luò)安全防線勢(shì)在必行
談到網(wǎng)絡(luò)安全的重要性��,遠(yuǎn)江盛邦(北京)網(wǎng)絡(luò)安全科技股份有限公司技術(shù)副總裁方偉表示��,“在現(xiàn)代國(guó)家安全觀的理論體系下��,網(wǎng)絡(luò)安全是國(guó)家安全16個(gè)基本面中的一個(gè)����,而且是非常重要的一個(gè)�����。隨著各產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的快速推進(jìn),網(wǎng)絡(luò)安全已經(jīng)成為各大領(lǐng)域安全的基礎(chǔ)保障�����,關(guān)系著社會(huì)運(yùn)行����、科學(xué)研究、生產(chǎn)制造和人民生活等方方面面����。”
對(duì)于企業(yè)而言,隨著數(shù)字化轉(zhuǎn)型駛?cè)?ldquo;快車(chē)道”�����,協(xié)同辦公模式逐漸普及�����,既有安全策略在新模式下的適配性風(fēng)險(xiǎn)也隨之增加。Fortinet 北亞區(qū)首席技術(shù)顧問(wèn)譚杰認(rèn)為�����,數(shù)字化轉(zhuǎn)型的加速��,業(yè)務(wù)與互聯(lián)網(wǎng)的融合�����,將海量傳統(tǒng)資產(chǎn)及生產(chǎn)過(guò)程數(shù)字化����。IT資產(chǎn)價(jià)值、安全風(fēng)險(xiǎn)及潛在損失都在迅速提高��,必然要求對(duì)安全理念��、管理規(guī)范�、技術(shù)能力等進(jìn)行規(guī)范和重構(gòu)。
艾媒咨詢(xún)數(shù)據(jù)顯示���,2021年中國(guó)協(xié)同辦公市場(chǎng)規(guī)模達(dá)264.2億元����,預(yù)計(jì)2021-2023年,中國(guó)協(xié)同辦公行業(yè)將保持每年10%以上的增長(zhǎng)率��,2023年的市場(chǎng)規(guī)模將達(dá)330.1億元��。“海量遠(yuǎn)程辦公要求使得無(wú)數(shù)非IT部門(mén)工作人員都直接暴露在信息安全風(fēng)險(xiǎn)面前����,也對(duì)網(wǎng)絡(luò)信息安全提出了更高的要求���。”譚杰說(shuō)�����。
而從具體行業(yè)角度來(lái)看���,方偉強(qiáng)調(diào),金融�����、交通�、能源、電信等關(guān)基行業(yè)����,以及互聯(lián)網(wǎng)��、電商��、物流等平臺(tái)企業(yè)�,都需要重點(diǎn)關(guān)注網(wǎng)絡(luò)安全�����。
以金融業(yè)為例�����,由于行業(yè)相關(guān)數(shù)據(jù)的高敏感性和高價(jià)值性���,全面保障數(shù)據(jù)安全和個(gè)人信息權(quán)益成為金融行業(yè)數(shù)據(jù)治理的新內(nèi)核����。2021年12月��,由中國(guó)人民銀行科技司司長(zhǎng)李偉主編的《金融科技發(fā)展規(guī)劃(2022-2025年)》提出��,全面加強(qiáng)數(shù)據(jù)能力建設(shè),在保障安全和隱私前提下推動(dòng)數(shù)據(jù)有序共享與綜合應(yīng)用��,充分激活數(shù)據(jù)要素潛能����,有力提升金融服務(wù)質(zhì)效。
對(duì)此���,亞信安全首席研發(fā)官吳湘寧表示��,“如今互聯(lián)網(wǎng)每天新增的惡意代碼和惡意網(wǎng)頁(yè)都在數(shù)十萬(wàn)量級(jí)�����,還出現(xiàn)了威脅巨大的勒索軟件新型病毒,嚴(yán)重威脅著金融用戶(hù)的網(wǎng)絡(luò)安全���。與此同時(shí)����,針對(duì)‘外部安全堡壘’建設(shè)通常較為完善的金融系統(tǒng)�����,高級(jí)黑客往往借助釣魚(yú)郵件����、水坑攻擊�����、勒索病毒等結(jié)合社會(huì)工程學(xué)發(fā)動(dòng)APT攻擊����,從內(nèi)部瓦解金融系統(tǒng)堅(jiān)實(shí)的安全堡壘����。”
“在這種安全攻防信息持續(xù)不對(duì)等的情況下,金融系統(tǒng)一旦被攻破��,波及范圍和損失都是巨大的����。為此,我國(guó)密集發(fā)布了一系列金融規(guī)范和標(biāo)準(zhǔn)�,以及《網(wǎng)絡(luò)安全法》、‘等級(jí)保護(hù)’中的具體法規(guī)條款��,都反復(fù)強(qiáng)調(diào)了人員����、制度���、防治、容災(zāi)��、預(yù)警機(jī)制���、應(yīng)急預(yù)案��、應(yīng)急處置等詳細(xì)要求����。這些監(jiān)管政策不但需要金融機(jī)構(gòu)敬畏�、守住底線,更是金融企業(yè)品牌����、可信度的有力體現(xiàn)�,也是網(wǎng)絡(luò)安全技術(shù)持續(xù)演化的目標(biāo)。”吳湘寧說(shuō)���。
網(wǎng)絡(luò)安全防護(hù)仍有“頑疾”
基于這樣的背景��,《網(wǎng)絡(luò)安全法》等一系列法規(guī)的出臺(tái)也有了重要的現(xiàn)實(shí)意義和時(shí)代價(jià)值�。吳湘寧告訴記者,“相關(guān)法律法規(guī)規(guī)章的落地��,對(duì)于我國(guó)網(wǎng)絡(luò)空間安全建設(shè)整體起到了非常大的推動(dòng)作用�����,切實(shí)提升了關(guān)鍵信息基礎(chǔ)設(shè)施等重點(diǎn)領(lǐng)域���、重點(diǎn)目標(biāo)的安全保障能力���,網(wǎng)絡(luò)安全態(tài)勢(shì)感知、網(wǎng)絡(luò)攻擊追蹤溯源��、監(jiān)測(cè)預(yù)警等技術(shù)得到了持續(xù)創(chuàng)新和補(bǔ)充��,實(shí)戰(zhàn)演練能力也得到了大力加強(qiáng)���。”
譚杰也表示�,“一方面�,政策法規(guī)的相繼出臺(tái),指明了安全建設(shè)的原則和方向�;另一方面����,業(yè)務(wù)與網(wǎng)絡(luò)的融合����,對(duì)安全提出了更加專(zhuān)業(yè)化、精細(xì)化的要求�。‘合規(guī)’‘業(yè)務(wù)’雙輪驅(qū)動(dòng),使企業(yè)機(jī)構(gòu)對(duì)安全建設(shè)的重視和投入大大提高����,網(wǎng)絡(luò)安全體系的規(guī)范性和全面性也有很大提升。”
IDC發(fā)布的數(shù)據(jù)顯示����,2021年中國(guó)網(wǎng)絡(luò)安全相關(guān)支出有望達(dá)到102.6億美元。預(yù)計(jì)到2025年�,中國(guó)網(wǎng)絡(luò)安全支出規(guī)模將達(dá)214.6億美元。在2021-2025的五年預(yù)測(cè)期內(nèi)�����,中國(guó)網(wǎng)絡(luò)安全相關(guān)支出將以20.5%的年復(fù)合增長(zhǎng)率增長(zhǎng)��,增速位列全球第一�。可以看出����,行業(yè)正在加速入局,并在網(wǎng)絡(luò)安全領(lǐng)域持續(xù)加碼�����。
更重要的是�,相關(guān)部門(mén)也在積極部署,加快構(gòu)建網(wǎng)絡(luò)安全保障體系�。工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)上線運(yùn)行;工業(yè)互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)安全分類(lèi)分級(jí)管理制度建立�;工業(yè)互聯(lián)網(wǎng)安全技術(shù)監(jiān)測(cè)體系累計(jì)覆蓋165個(gè)重點(diǎn)工業(yè)互聯(lián)網(wǎng)平臺(tái);車(chē)聯(lián)網(wǎng)卡實(shí)名登記管理全面實(shí)施……
雖然網(wǎng)絡(luò)安全“防護(hù)網(wǎng)”越織越牢���,但值得關(guān)注的是����,業(yè)界還有一系列“頑疾”亟待解決�����。“部分單位業(yè)務(wù)遷移緩慢��,老舊系統(tǒng)帶病運(yùn)行,存在較大安全隱患���;部分行業(yè)對(duì)熱點(diǎn)漏洞跟蹤不及時(shí)���,響應(yīng)緩慢,給攻擊者留下了可乘之機(jī)��;供應(yīng)鏈安全風(fēng)險(xiǎn)難以排除�,風(fēng)險(xiǎn)點(diǎn)多,管理困難��,需要各個(gè)環(huán)節(jié)高度協(xié)同��;大眾網(wǎng)絡(luò)安全意識(shí)仍然較低�,弱口令現(xiàn)象普遍,個(gè)人信息保護(hù)不足��,需持續(xù)引導(dǎo)……”方偉舉例稱(chēng)��,這些都是需要行業(yè)繼續(xù)努力去解決的問(wèn)題���。
此外����,吳湘寧表示����,勒索病毒仍被視為全球最大網(wǎng)絡(luò)威脅之一。根據(jù)威瑞森《2021 年數(shù)據(jù)泄露調(diào)查報(bào)告》��,勒索軟件攻擊頻率在去年翻了一番���,占全部網(wǎng)絡(luò)安全事件的10%���。據(jù)亞信安全的研究數(shù)據(jù),2021年亞信安全共攔截勒索病毒58,412次��,在數(shù)量增長(zhǎng)的同時(shí)�����,其攻擊手段�、目標(biāo)和平臺(tái)也在不斷升級(jí),特別是“勒索軟件即服務(wù)”(RaaS)市場(chǎng)的發(fā)展���,高級(jí)黑客將自己的專(zhuān)業(yè)知識(shí)售賣(mài)給犯罪分子����,使得勒索攻擊的門(mén)檻越來(lái)越低。
據(jù)吳湘寧介紹�,“雙重勒索”攻擊也是網(wǎng)絡(luò)犯罪分子用得越來(lái)越多的一種策略。攻擊者加密目標(biāo)系統(tǒng)數(shù)據(jù)之前會(huì)先竊取數(shù)據(jù)����,這樣一來(lái),即便受害者有備份數(shù)據(jù)�����,勒索軟件仍然可以用泄露數(shù)據(jù)作威脅要求其支付贖金�����。同時(shí)����,“雙重”勒索還帶來(lái)了“點(diǎn)名羞辱”的新威脅。
根據(jù)調(diào)查數(shù)據(jù)顯示�����,在收到的勒索軟件攻擊企業(yè)和公共部門(mén)機(jī)構(gòu)的100,101份報(bào)告中�,其中11.6%是由竊取和公布數(shù)據(jù)的犯罪團(tuán)伙發(fā)起的“點(diǎn)名羞辱”式攻擊,這無(wú)疑讓受害者承受更大的數(shù)據(jù)泄露壓力,同時(shí)使得受害者被迫支付贖金的可能性大幅提高���。
通過(guò)分析一些案例����,亞信安全技術(shù)團(tuán)隊(duì)還發(fā)現(xiàn)���,一些APT攻擊會(huì)披上勒索軟件的外套,作為探路的手段��,或者逃跑的“煙霧彈”�����,甚至是作為攻擊結(jié)束后毀滅蹤跡的方法����,幫助掩蓋和抹去更嚴(yán)重攻擊的證據(jù)。“例如某些工具表面看似勒索軟件����,會(huì)加密數(shù)據(jù)、發(fā)布勒索通知以及索要贖金�,但實(shí)際上,這些軟件會(huì)悄悄刪除端點(diǎn)上的數(shù)據(jù),同時(shí)讓防御者相信數(shù)據(jù)丟失的原因是勒索軟件的隨機(jī)攻擊����。”吳湘寧說(shuō)。
網(wǎng)絡(luò)空間新生態(tài)未來(lái)可期
事實(shí)上����,如今對(duì)于網(wǎng)絡(luò)安全攻防雙方而言,一邊是“摩拳擦掌”���,另一邊也同樣“躍躍欲試”���,雙方的博弈日趨激烈。對(duì)此��,譚杰坦言�����,“企業(yè)往往希望追求一勞永逸的‘黑科技’�,但在網(wǎng)絡(luò)安全建設(shè)中,它是不存在的���。網(wǎng)絡(luò)與安全的融合�、體系化安全才是網(wǎng)絡(luò)安全的堅(jiān)實(shí)基礎(chǔ)。”
因此��,譚杰建議�����,企業(yè)應(yīng)將安全能力融入到網(wǎng)絡(luò)及應(yīng)用的每一個(gè)環(huán)節(jié)中���,包括終端、有線及無(wú)線局域網(wǎng)�、網(wǎng)絡(luò)邊界、廣域網(wǎng)�����、數(shù)據(jù)中心(私有云)�����、公有云���、業(yè)務(wù)應(yīng)用等����。所有環(huán)節(jié)都應(yīng)具備信息可視化、安全分析����、動(dòng)態(tài)管控處置的能力,杜絕漏洞或短板��。
譚杰同時(shí)強(qiáng)調(diào)�����,“安全產(chǎn)品技術(shù)應(yīng)避免碎片化�����,孤立的單點(diǎn)技術(shù)的疊加并非真正的安全解決方案���。各個(gè)產(chǎn)品和技術(shù)間應(yīng)具備強(qiáng)大的交互能力��,包括信息情報(bào)交換����、聯(lián)動(dòng)響應(yīng)等��,從而交織成一張零信任��、智能化、自動(dòng)化的安全網(wǎng)絡(luò)�。”
方偉進(jìn)一步表示,從技術(shù)手段而言���,企業(yè)要做到精準(zhǔn)檢測(cè)���、精確防御,既要保證風(fēng)險(xiǎn)發(fā)現(xiàn)的全面性��,又要保證威脅判定的準(zhǔn)確性���,同時(shí)還要做到細(xì)粒度的靈活處置,因此機(jī)器學(xué)習(xí)��、大數(shù)據(jù)分析和業(yè)務(wù)建模等手段需要運(yùn)用到網(wǎng)絡(luò)安全實(shí)踐當(dāng)中����。
而從安全建設(shè)而言,方偉建議���,“企業(yè)首先要摸清家底����,清晰掌握單位自身的網(wǎng)絡(luò)資產(chǎn);其次要加強(qiáng)備案和管控�,保證網(wǎng)絡(luò)安全責(zé)任到人,業(yè)務(wù)管理有流程可依�;然后做到立體化的安全防護(hù)和自動(dòng)化的安全運(yùn)營(yíng),采用主動(dòng)檢測(cè)和被動(dòng)監(jiān)測(cè)相結(jié)合的手段來(lái)提升風(fēng)險(xiǎn)發(fā)現(xiàn)和防護(hù)�����;最后還要做好應(yīng)急響應(yīng)����,提升各個(gè)安全能力的協(xié)同配合能力,做到聯(lián)防聯(lián)控��。”
“從國(guó)家層面上看�����,我們需要加快提升應(yīng)對(duì)規(guī)?���;舻姆烙芰Γ瑢?shí)現(xiàn)全網(wǎng)安全態(tài)勢(shì)的全面分析和綜合展現(xiàn)��,為構(gòu)建和完善國(guó)家級(jí)安全防護(hù)體系奠定基礎(chǔ)���。”方偉說(shuō)���。
近年來(lái)���,我國(guó)網(wǎng)絡(luò)安全頂層設(shè)計(jì)加速構(gòu)建,網(wǎng)絡(luò)安全政策體系日臻完善�。據(jù)不完全統(tǒng)計(jì),截至2021年6月底����,我國(guó)已出臺(tái)關(guān)于網(wǎng)絡(luò)信息安全與數(shù)據(jù)合規(guī)的法律、行政法規(guī)等二百多部����,形成了覆蓋網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)�、數(shù)據(jù)安全管理����、個(gè)人信息保護(hù)等領(lǐng)域的網(wǎng)絡(luò)安全法律法規(guī)體系。
在健全完善的法律法規(guī)�����、豐富多樣的應(yīng)用實(shí)踐、成熟可用的技術(shù)等多方生態(tài)催化下���,我國(guó)網(wǎng)絡(luò)空間環(huán)境也將不斷優(yōu)化��,為數(shù)字經(jīng)濟(jì)的高質(zhì)量發(fā)展構(gòu)筑堅(jiān)實(shí)的底座��。
【免責(zé)聲明】:
凡注明 “環(huán)球科技網(wǎng)” 字樣的圖片或文字內(nèi)容均屬于本網(wǎng)站專(zhuān)稿����,如需轉(zhuǎn)載圖片請(qǐng)保留 “環(huán)球科技網(wǎng)” 水印,轉(zhuǎn)載文字內(nèi)容請(qǐng)注明來(lái)源“環(huán)球科技網(wǎng)”�����;凡本網(wǎng)注明“來(lái)源:XXX(非環(huán)球科技網(wǎng))”的作品�����,均轉(zhuǎn)載自其它媒體��,轉(zhuǎn)載目的在于傳遞更多信息���,并不代表本網(wǎng)贊同其觀點(diǎn)和對(duì)其作品內(nèi)容的實(shí)質(zhì)真實(shí)性負(fù)責(zé)�,轉(zhuǎn)載信息版權(quán)屬于原媒體及作者。如轉(zhuǎn)載內(nèi)容涉及版權(quán)或者其他問(wèn)題���,請(qǐng)投訴至郵箱�;1978751725@qq.com
本網(wǎng)公告
環(huán)球科技網(wǎng)從不發(fā)布負(fù)面新聞資訊���,也絕不會(huì)發(fā)布負(fù)面信息�����。如發(fā)現(xiàn)負(fù)面信息鏈接請(qǐng)甄別是否為環(huán)球科技網(wǎng)所發(fā)�����。
本網(wǎng)系北京伯樂(lè)傳媒廣告有限公司主辦���、所有。本網(wǎng)唯一域名(www.m.lzsczx.com)����,其它域名鏈接均為假冒�。望廣大網(wǎng)民及企業(yè)主認(rèn)真甄別���。
咨詢(xún)、采訪�、合作、投稿等請(qǐng)致電:13911566744(含微信)
