2017年6月1日,《中华人民共和国网络安全法》已正式实施。《网络安全法》第二十一条规定国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
早在2014年全国安标委秘书处下达对《信息安全技术 信息系统等级保护基本要求》(GB/T 22239—2008)进行修订的任务,修订工作由公安部第三研究所(公安部信息安全等级保护评估中心)主要承担。从此拉开了等保2.0的序幕。经过三次专家评审和多次意见修改,2017年8月形成了最新版本的标准送审稿。
等保2.0较之前的旧标准可以说有突破性的进展,尤其在移动互联、云计算、物联网、工控安全等新的业务环境均提供安全建设标准和指导。
实施网络安全等级保护意义重大,在信息化建设过程中不仅有利于同步建设网络安全设施,保障网络安全与信息化建设协调发展,而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务,有效控制了网络安全建设成本。同时,网络安全等级保护对网络安全资源的配置进行了优化,重点保障了关系国家安全、经济命脉、社会稳定等方面的重要信息系统的安全。需要重点提到的是,信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任,进一步加强了信息安全管理。
随着信息化的深入发展,智能控制、远程控制采集、数字化办公、分布式网络等新技术逐步展现在大家面前。在这一过程中,原有网络系统的软硬件、通讯协议,以及管理环节都存在诸多的安全脆弱性,信息化程度的快速提高,直接把这些安全隐患暴露出来,甚至某些安全问题会被放大。信息化的深入发展需要网络安全保驾护航。
近十几年来,我国企业信息化得到长足发展,但是随着世界局势的不断变化,网络安全问题日益凸显。虽然在网络信息安全方面,我国已经有了长足的进步,各项规章制度、安全技术也日益完善。各类网络信息安全厂商如雨后春笋遍布全国各地,而各种网络安全产品如安全服务器、安全网闸、防火墙、IDS、安全审计、漏洞扫描等等层出不穷,数不胜数。
那么如果购买大量的网络信息安全产品,就能切实提升网络安全防护水平了吗?
网络安全防护是一个体系,并不是简单的,大量的安全防护产品的堆积,而是由其中管理、人、策略、防护设备等多种因素构成的一个整体。尤其是社会工程的日趋完美,很多攻击能够很好的绕过各种尖端的防御。人员的安全意识成为防护的短板。
犹如当年攻击伊朗核设施的震网病毒。伊朗作为集权国家,对其核设施的网络安全防护能力手段不可谓不足,而且有完善的物理隔离装置,基本做到了与公网的隔离。但震网病毒却实打实对其核设施进行了针对性的破坏性打击,将伊朗的核计划硬生生的延迟了3年以上。其根本原因,就是利用其人员安全意识不足,将带有病毒的U盘不知不觉的带到了核设施的生产网络中使用,造成了巨大的破坏和损失。
所以,可以说人员是信息安全中的关键因素,同时人也是网络信息安全中最薄弱的环节。在网络安全圈流传着一句名言:3分技术7分管理, 没有绝对安全的技术,只有不安全的人。当网络中的硬件和软件技术处于时代发展主流水平,升级系统、采购设备已不能明显提升网络信息安全水平时,信息系统的安全往往取决于系统中最薄弱的环节:人。
《网络安全法》第三十四条规定关键信息基础设施的运营者除了需要履行第二十一条规定外,还需要定期对从业人员进行网络安全教育、技术培训和技能考核,制定网络安全事件应急预案,定期演练等。
在所有网络安全事件中,只有20%-30%是由于黑客入侵或其他外部原因造成的,其他70%-80%是由于内部员工的疏忽或有意泄密造成的。经常听到这样的信息:病毒、蠕虫造成了严重的破坏,黑客获取了信用卡的信息,大型网站主页被黑等等。人们普遍认为这是由于企业没有安装安全产品(如防火墙、入侵检测系统等)造成的,而实际上有许多是由于安全管理没有有效实施造成的。网络安全的核心要素是安全管理,而安全管理的关键因素取决于人。
当前,我国各级政府部门、企事业单位等相关从业人员对网络安全的认识与意识不容乐观。具体体现在:不清楚风险在哪里、不了解基本的安全常识、不知道如何应对常见风险;其结果是:“一念之差就把敌人引进了家门”“一项误操作就进入了别人设下的圈套”“出了大事还在火上浇油”。综上所述,提升相关人员对网络安全的认识和网络安全意识迫在眉睫。
网络信息已经深入到企业生产和管理的全过程,涉及企业、工业生产的各个层面,企业生产与管理对其依赖性日益增大。目前,在政府部门、企业的安全文化建设中,信息安全管理仍然处于从属地位,需要进行不断努力,使之成为企业安全文化的中坚力量。
信息安全及其相关技能的教育是政府部门、企业安全管理中重要的内容,其实施力度将直接关系到政府部门、企业安全策略被理解的程度和被执行的效果。为了保证信息安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行企业信息安全策略。
因此,有必要围绕政府、企事业单位的从业人员开展网络安全方面的培训,提升对网络安全的认识和意识,加大网络安全管理方面的教育,有助于全方位的提高政府、企事业单位的网络安全防护水平。
(e安在线,微信公众号:ean-online)