我们的位置
地址:北京市东城区和平里7区16号楼140室
公司电话:010-84264757/010-84264758
传真 :010-84264087
云计算、物联网带来的业务转型是网络安全预算的催化剂
企业纷纷加速其云计算、在线服务的使用,准备好进行物联网的部署,却突然发现自己在招募网络安全人才和安全工具上捉襟见肘。2017全球信息安全状态调查(GSISS)——由普华永道、CIO和CSO联手进行的世界范围调查,其中最重要的结论之一就是如此。
GSISS调查显示:59%的受访者称,因为数字技术使用的增加,以及为给客户、员工和合作伙伴提供更多的数字服务和应用而革新业务模式,他们在安全方面的开销也在飞速增长。这些安全工作包括在云计算环境、数据挖掘和托管安全服务上所增加的投资。该调查自2016年4月4日起,到2016年6月3日,在网上进行。
调查发现,受访者打算在接下来1年里投注到网络安全开支上的优先度是相当可观的:企业内部的协作改进(51%),保护不断变化的业务模式(46%),捍卫IoT部署(46%)。
软件开发和IT之外的云计算的广泛采纳还将强势持续。而IT,毫不意外,是在云端执行各种功能的主力业务部门,占63%;其他诸如财务(32%)、市场和销售(34%)、客户服务(34%)和运营(35%)等部门,则在有多少业务职能运行在云环境上这方面奋起直追。
随着这些企业对云、移动和IoT的采纳趋势不断加速,这些技术对安全开支上的影响也在显现。SANS研究所新兴安全趋势主管约翰·佩斯卡托称:“安全开支倾向于在短期内受威胁改变的影响,业务技术上的改变需要更长的时间才会影响到开支,而云使用的增长将会产生最大的影响。”
贾瓦德·马利克,AlienVault安全倡导者,前 451 Research 安全分析师。他补充道,即将到来的部分趋势包括使用云、移动、API和数据以直观的方式改善客户体验。因此,IT安全运营模型必须要改变,或者调试成将这一新现实纳入考虑的模式。或许,已发生的最大改变,就是从技术上抽取安全控制,更重要的是,让安全控制远离客户。
这是怎么做到的?在监视、行为分析和意识工具上增加投入!想让企业持续创新,不受安全瓶颈影响,就得这么干——而且安全还能随时注意运营情况,给公司业务运营上保险。调查发现,63%的企业将IT服务运行在云端,62%采用托管安全服务,超过半数企业正在使用安全分析。
重大安全转变
到混合遗留云、公共云和私有云环境的过渡,企业做得怎么样?受调查对象毫无二致地回答:不是太好。
Northside Hospital IT安全经理兼 Southern Fried Security 播客主持马丁·费舍认为,IT运营团队正在分裂成不同的群体,分别关注内部托管的各个系统,其他人则将精力投放到自身业务中各种不同形式的云计算环境。“这些运营的集成非常困难,我不确定除独角兽初创公司之外,有谁是完全解决了该问题的,至少,医疗行业还没有。”
SANS的佩斯卡托同意此观点:“软件即服务(SaaS)和基础设施即服务(IaaS)在使用上的增长,绝对导致了安全方法上的分裂。投向安全软件和硬件的资金,被转向了安全人员方面的实际技术增长。”大型企业遭遇此类挑战很常见。原因在于,SaaS意味着你不能使用安全代理或应用,除非是像Outlook365、谷歌工作、Salesforce之类的大SaaS服务。这些服务具备安全功能和可用于扩展安全策略到SaaS应用的API——就是对安全人员的技术水平要求更高了点儿。同样地,IaaS中你也能使用软件和虚拟设备。
这些具备更高技术水平,或者说几乎无所不能的网络安全人才,是很难遇到的——让企业IT安全更难管理了。很多企业试图通过托管安全服务来弥合自身技术缺口。据该项调查显示,62%的受访者使用安全服务提供商来运营和强化他们的IT安全项目。他们外包的服务包括:身份验证(64%)、数据遗失预防(61%)、身份和访问管理(61%)、实时监视和分析(55%)、威胁情报(48%)。
企业也越来越习惯于外包安全方面的工作。对云安全性的不合理恐惧正在被更审慎的态度取代。不过,技术缺口问题依然存在。大多数内部安全团队不堪重负,没有时间来监视和响应所有警报。因此,将某些此类任务转给托管安全服务提供商,可以减轻些负担。
有3个主要趋势在驱动转向外包:
招聘和留住合格员工的极端困难性;
很多企业的运营预算难以应付复杂的基础设施管理;
托管安全服务提供商已经成熟到更加灵活的程度,比如说,混合安全提供商就能管理你屋里的SIEM,这在之前是不行的。
不能被轻易商品化的功能才留在内部。比如,ICS/SCADA和生物医学安全就非常特殊,很多人都觉得不能外包。但身份和访问管理是可以交给合格合作伙伴的。商品与否的界限一直在改变,是动态的。因而,作为CISO,在接下来一系列的更新周期中做出正确决策,就十分具有挑战性了。
关注威胁情报和数据共享
威胁情报、数据和信息共享是今年的热议话题。51%的受访者称自己使用安全数据分析,来建模网络安全威胁和标定正在进行的攻击。这一对数据的饥渴,就是为什么企业转向云和外包的另一个原因。依赖托管安全服务的受访者中,55%在安全监视和数据分析上依赖他们的提供商。这些提供商的另一大好处,是他们能访问安全运营和威胁情报融合中心。
迈克尔·埃克尔斯,认证信息共享与分析组织国际联盟执行董事兼CEO,前美国国土安全部网络联合项目管理办公室主任。他认为,企业越来越热衷于网络安全信息共享。通过企业间数据共享,有机会分摊开销。数据共享可使企业享用到共享合作伙伴的专业知识,或者所属利益社区、地区或行业有人可用;如果有事发生在他们身上,同样的事件也可能发生在你身上。数据共享能使你拥有极具价值的威胁情报。
这毫无疑问,且考虑到企业采纳技术创新的加速,以及当今攻击者的决心和毅力,CISO们需要所能找到的方方面面的优势。
国家网络安全宣传周将启 聚焦大数据安全
国家网络安全宣传周将启
网络安全技术高峰论坛将聚焦大数据安全
记者9月7日从中央网信办获悉,2016年国家网络安全宣传周将于9月19日至25日在湖北省武汉市举行。今年网络安全宣传周的主题是“网络安全为人民,网络安全靠人民”。
中央网信办网络安全协调局局长赵泽良在今天的新闻发布会上介绍说,今年上半年,经中央网络安全和信息化领导小组同意,中央网信办、教育部、工信部、公安部、新闻出版广电总局、共青团中央六部门联合印发了《国家网络安全宣传周活动方案》。
方案明确,从今年开始,网络安全宣传周于每年9月第三周在全国各省区市统一举行,目的是通过广泛开展网络安全宣传教育,增强全社会网络安全意识,提升广大网民的安全防护技能,营造健康文明的网络环境。
据介绍,今年宣传周活动主要内容包括:一是举办网络安全博览会。近百家国内外的知名互联网企业、网络安全企业将参加展览,这些企业是从众多报名参赛企业中按照突出知识性、互动性、体验性、趣味性的要求,由专家评审确定的。
二是首次举办网络安全技术高峰论坛。论坛围绕网络安全人才培养、大数据安全技术、智慧城市建设及安全保障、网络安全标准与技术、工业控制系统安全等主题交流讨论。国内知名院士专家、大型互联网和网络安全企业的高管、相关部门的负责同志,以及来自俄罗斯、美国、英国、以色列、南非、新西兰和中国香港的企业领袖和专家将参会并演讲。
三是首次举办网络安全电视知识竞赛。前期,在各省区市选拔赛的基础上,来自28个省区市的代表队在武汉市参加了复赛暨青少年网络安全夏令营活动。通过复赛选出了8支代表队进入决赛。决赛将在武汉市举行。
四是表彰网络安全先进典型。为加快网络安全人才培养,中央网信办、教育部指导中国互联网发展基金会网络安全专项基金组织开展了网络安全优秀人才、优秀教师等评选活动。经过中央有关部门和院士推荐、专家评审、公示,评选出网络安全杰出人才1名、优秀人才10名、优秀教师8名。中国互联网发展基金会网络安全专项基金决定奖励网络安全杰出人才100万元、优秀人才每人50万元、优秀教师每人20万元。
五是公开征集网络安全公益广告。在全国范围内共征集近两万件公益广告作品,经专家评审,最终评选出优秀微视频10个、卡通漫画9件、口号标语22条、公益广告12幅。这些公益广告作品将在全国范围播放。
据介绍,目前各省区市都已结合各地实际,制定了网络安全宣传周实施方案,各项筹备工作进展顺利。(余瀛波)
可视化 给网络安全擦亮眼睛
传统的网络安全只有专业人员才看得懂,普通人常常看不见、摸不着、抓不住——
可视化,给网络安全擦亮眼睛
网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。
习近平总书记今年4月在网络安全和信息化工作座谈会上的这段讲话,被中国科学院信息工程研究所信息安全国家重点实验室主任林东岱在日前召开的全国首届可视化网络安全技术论坛上引用。
“这‘三个不知道’,正是由于网络安全通常看不见、摸不着、抓不住。”林东岱说,解决这“三个不知道”,需要可视化技术。这一技术的本意,便是让网络安全“能感知、可体验、好追溯”。
看得见才是“真安全”
让网络安全看得见,就要建立可视化平台,让不懂安全的人看懂安全、体验安全、维护安全
何为可视化?
“有贼我知道,你倒是抓一个出来看看。我们做网络安全的,最常听到客户这样抱怨。”北京安博通科技股份有限公司CEO苏长君说,安全设备常常买、安全事件常发生、出了事儿一头雾水——客户对于网络安全不可控、不可知,就是因为缺少一个基于安全视角的可视化网络平台。
所谓可视化,就是把网络管理中人员准入、带宽流量等关键信息,以图形化方式展现出来,通过数据、配置、策略、效果的可视,使管理者全面掌握网络状态。
简而言之,可视化针对可疑的流量、数据,目的是让不懂安全的人看懂安全、体验安全、维护安全。
苏长君对可视化的关注,始于一次安博通“内贼”事件。
2014年,安博通遭受了一次网络攻击。一个员工账号总是远程登录,而登录地址又很陌生。“这位员工没有出差,为什么要远程登录呢?”苏长君试着用一些可视化的手段追踪,发现该账号一直在拷贝技术代码,对登录地址做了溯源后,追查到是一家市场上的竞争对手。最终,被证实是一名跳槽去了竞争对手公司的离职员工,仿冒在职员工的账号远程登录。
抓贼经历让苏长君开始反思:传统的网络防护还能适应新时期的安全需要么?
他说,传统的网络安全还大部分停留在网络边界防护、漏洞检测和特征补丁与日志分析上,这些手段都相对孤立和静态,只有专业人员看得懂,客户则很茫然。
打个比方,企业自身的内网与互联网之间有一道门,传统网络安全好比请门卫看守大门。一旦有人带着枪炮前来,就会被门卫拦住。但现在,网络安全开始向着“高级持续潜伏”转变,敌人打入内部,一开始完全不具备“枪炮”特征,就是个正常人,通过很长一段时间,甚至3到5年的潜伏才逐步实现自己的目的。
“当门卫不再能辨别出风险时,最好的方法就是在大楼的每一个角落安装摄像头,每个人访问了什么路径、下载了什么资源、登录了什么网站,都被摄像头一一记录,通过全网可视化盯梢持续性和潜伏性的威胁。”苏长君说。
可视化平台就像是管控一个车站,先划分出不同区域,然后在进站区安装检测仪器、在站内区域和不同位置安装摄像头、重点区域有民警手动核查身份证、售票区域有执法人员打击黄牛、车站周边严防治安问题,共同构成一个防御体系。
最近,安博通与中科院信息工程研究所合作研发的SG-8000系列深度安全网关正式发布,这款采用了多媒体内容安全识别技术的产品,能够广泛应用于国防、公安、平安城市等不同场景。
“我们必须推进国产化战略,在对网络安全起重大作用的信息基础设施和信息关键核心技术方面,实行国产化替代,其中可视化安全领域就是一个重要方面。”中国工程院院士倪光南说,在“互联网+”这一挑战与机遇并存的新时代,信息化已成为全面推动产业升级的支柱力量,而与信息化相辅相成的网络安全,是发展的前提、也是发展的保障。
学老中医治“未病”
治“未病”强调事前安全,增强企业自身的网络免疫能力,将防御模式从被动转为主动
“圣人不治已病治未病,不治已乱治未乱,此之谓也。”郭峰引用了《黄帝内经》中的这句话来阐明自己的观点。
作为太极股份信息安全事业部总经理,郭峰认为,国内的信息安全圈注重攻防多于防御,过分聚焦外部的攻击和威胁,却忽视了企业信息安全自身防御体系情况。
“不治已病治未病,这一理念同样适用信息安全领域,企业对于安全的认识通常是在安全事件发生后,属于事后安全,而‘治未病’强调事前安全,增强企业自身的网络免疫能力,将防御模式从被动转为主动。”郭峰说。
他说,作为行业风向标,全球最具权威的IT研究与顾问咨询公司Gartner公布了关于2016年十大信息安全技术的研究成果,其中自适应体系的核心强调了可视化监控,让可视化在整个信息安全领域中得到了极大的关注。通过提高网络自身免疫力,让业务系统兼具自适应的防御和修复风险的能力,让业务安全可视、可管、可控,是可视化网络安全技术的核心理念。
“就像人体免疫系统随时处于战备状态,一旦有病菌侵入身体,就会迅速发现并作出反应。”苏长君说:“当我们设置好网络基线或策略时,这张网就具备了自身免疫力。”
他解释说,这相当于事先规定一栋大楼哪两道门之间不能走、哪两层楼之间不通、哪些人不能去哪些地方。一旦财务部人员的电脑访问研发部的代码服务器,就好比一个人进了不该进的办公室,可视化系统就会及时响应、触发报警、消灭外部入侵。不但敌人潜伏路径易被发现、内部的安全弱点更易暴露、入侵之后的追踪和取证也容易得多。
“这是智慧城市治理的关键技术。”在首届可视化网络安全技术论坛上,中国电子科技集团首席专家董贵山作出如下判断:基于电子政务,依托可视化技术构建的智慧城市是未来的发展趋势。
他说,通过网络空间本身的可视化,能实现网络治理的可视化;通过信息化,又能在网络空间实现社会治理的可视化。
“在未来智慧城市和网络治理中对接各类数据和应用,这一技术能为城市管理者、城市服务者、公众等智慧城市主体提供直观、科学、全面的数据资源分析结果展示和未来预判,是基于大数据和电子政务实施智慧治理的关键支撑技术,将为智慧城市的构建提供有力的网络安全保障。”董贵山说。(记者 陈莹莹)
必须高度重视网络安全和信息化工作
王金龙同志介绍了中央网信办对开展网络安全检查工作的部署和要求,对全校网络安全和信息化的有关工作做了说明布置,大家可以体会到中央及中央网信办对网络安全和信息化工作高度重视。近年来,随着信息化的快速发展和广泛应用,网络安全问题日益突出,党校信息化也面临同样的形势。从最近几年我校开展网络安全检查的情况看,一些同志对网络安全的重要性认识还不太到位,安全措施还不够有力,我校的网络安全工作还没有达到中央网信办的要求。这里,围绕中央的要求,我谈两点意见。
深入学习领会习近平总书记关于网络安全的重要论述
党的十八大以来,习近平总书记高度重视网络安全和信息化工作,强调网络安全和信息化事关国家长治久安,特别是2014年成立了中央网络安全和信息化工作领导小组,习总书记亲自担任组长,将维护网络安全上升为国家战略。从中央网络安全和信息化工作领导小组第一次会议以来,习近平总书记发表了一系列重要讲话,提出一系列新思想、新观点、新论断,体现了我们党对互联网发展治理规律的深刻认识和准确把握,为我国网络安全和信息化发展指明了方向,我们要认真学习领会习总书记重要讲话精神。
要充分认识网络安全的极端重要性。当今世界,网络已经成为陆、海、空、太空空间外的第五大战场。随着信息化的快速发展,网络正在改变人民群众的工作生活方式,正在催生“谁控制网络空间谁就能控制一切”的法则,网络安全已经成为信息时代国家安全的战略基石。习总书记多次强调没有网络安全就没有国家安全,网络安全事关我国国家安全和社会稳定,事关人民群众的切身利益。有人说,中国共产党执政成功与否,很重要的就是能否成功引领、管控互联网。国外势力一直没有放弃对我们的网络攻击,通过网络窃取我国机密、攻击我国网站等活动日益频繁,已经深深地嵌入我们的工作和生活,和我们密切相关。我校也发生过多起网络安全事件,所以大家一定要在思想上高度重视,充分认识网络安全的极端重要性,要时刻绷紧网络安全这根弦。
要树立正确的网络安全观。有些人认为,既然网络存在这么大的安全隐患,那么我们是不是可以一封了之,在日常工作中不用信息化手段。习总书记多次强调这种观点是错误的,是不符合时代潮流和发展规律的,也不是解决问题的办法。互联网发展是世界潮流,信息化发展大大提高了我们的工作效率,促进了社会文明高速发展,我们一定要顺应时代潮流,正确认识网络安全和信息化相铺相成的辩证关系。不要把网络发展与网络安全对立起来,安全是发展的前提,发展是安全的保障,安全和发展只有同步推进才能更好地服务人民、造福人民。国家网络安全要靠我们每个单位、每个人来维护,不单是信息部门的责任,因此,我们要共同参与、共筑网络安全防线。
要树立做好网络安全工作的信心。我国是有七亿多网民的互联网大国,网络内容鱼龙混杂,既有积极的正能量,也有西方国家和敌对势力对我国网民的舆论误导,对我党执政理念的恶意丑化和诽谤,对重要基础设施的网络攻击,尤其是随着大数据、云计算技术的迅猛发展,很多敏感信息都已经在互联网中存在,管理任务复杂而繁重。面对如此艰巨的任务,以习总书记的重要讲话为指导,充分调动全社会的力量,大力发展信息化的核心技术、提高竞争力,坚持互联网发展治理的原则和主张,我们一定能够做好我国的网络安全工作。所谓道高一尺,魔高一丈。
采取切实措施做好我校网络安全工作
认识是先导,关键在落实。维护好我校网络安全是个系统工程,要齐抓共管,人人守责。
第一,加强组织领导,强化部门责任。维护全校网络安全是一项系统工程,不是哪一家单位自己就可以做好的,必须全员参与。要进一步健全我校网信工作领导体系和工作机制,按照中央网信办要求,明确各直属单位领导责任和工作责任。信息中心作为网络安全的技术保障部门,要做好网络安全的顶层设计和技术防护工作,各直属单位要加强责任意识、保密意识,认真做好网络安全的日常工作,包括网络安全检查的各项工作,将网络安全当做部门的大事来抓。
第二,完善网络安全管理制度,加强网络安全事件应急演练。信息中心要按照国家有关网络和信息安全的要求,结合我校实际,建立并完善网络安全管理的各项规章制度,重点是按照国家有关信息安全等级保护工作要求,进一步做好我校重要应用系统和网站信息安全等级保护的评测、整改和制度完善等工作。细化我校网站和应用系统的应急预案,建立重大网络与信息安全事件处置和报告制度,加强网络安全的应急演练工作,发生事件后要立即采取措施降低损害程度,保存好相关记录,并按照应急处置程序及时向有关部门报告,不断提高网络安全事件应对能力。
第三,加强督促检查,提高监管水平。要建立定期督促检查的工作机制,在校网络安全和信息化领导小组的领导下,定期开展全校各直属单位的网络与信息安全监督检查工作,通过自查、抽查和安全检测等形式,做到尽早发现、提前防范、及时补救。信息中心要加强对我校各类网站和应用系统的监督管理工作,对于托管在外的网站和系统要对托管单位的资质进行检查,要通过技术手段对我校的网站和应用系统进行安全扫描,及时发现问题,及时消除隐患。
第四,确保必要的资金和人才投入,提高做好网络安全工作的能力。建立稳定的网络安全与信息化经费保障机制,重点支持信息安全等级保护、安全防护能力建设、信息安全服务、人员培训等工作。加强对信息工作人才队伍的培养,形成培养、选拔、吸引和使用网络安全人才的良性机制。研究建立多层次网络与信息安全技术防护体系,配置完善网络与信息安全防护设备和软件,不断提高信息安全能力。(徐伟新)
浅谈对推动网络安全和信息化工作的认识
5月16日,黄委党组书记、主任岳中明主持召开2016年黄委网络安全和信息化工作领导小组第一次全体(扩大)会议(以下简称“516会议”),明确指出实现黄河治理体系和治理能力的现代化,根本途径是信息化,必须以信息化倒逼管理的规范化和现代化。他强调“着力‘数字黄河’向‘智慧黄河’升级发展”,并对2016年信息化工作提出了“六个一”的要求。笔者经认真学习思考,现与读者分享一些认识和理解,以期有助于治黄信息化工作。
一、珍惜机遇,奋发作为
目前,中央围绕实施国家信息化发展战略,已密集启动了系列重大行动,包括“互联网+”、大数据、云计算、智能制造等。经济社会及新一代ICT快速发展的双驱动,引发了“数字化”向“智慧化”的发展,以大数据应用为核心的智能化、智慧化已成为趋势,信息化正面临着转型发展的新机遇。
在新的发展形势和发展机遇下,黄委网络安全和信息化工作呈现出新特征。一是与其他先进行业和地方的信息化相比,近年来治黄信息化的精准推动较弱,发展速度相对变缓,行业影响力变弱。对此,我们已经有了深刻分析和清醒认识。二是“516会议”提出了推动“数字黄河”向“智慧黄河”转型发展的目标,治黄信息化正处在新一轮大发展的起点。三是新目标必将要求我们创新发展理念、激活新的发展动力。治黄信息化要遵循信息化发展普遍规律,以提升服务治黄业务能力为核心,加强信息化基础支撑能力和网络信息安全;要强化大数据思维,提升管理的前瞻性、主动性、协同性及决策智能性;要深刻理解“互联网+”内涵及物联网带来的思维变革,有效加大治黄水利工程建设对治黄信息化建设的带动。
推动治黄信息化发展及其与业务的深度融合,需“用万物之能而获利其上”。信息化建设与管理的各级力量和各级治黄业务单位的力量,需互联协作、主动作为,奋发作为、综合发力,相互转换、形成合力。
二、统筹谋划,重点带动
年初,黄委党组提出了今后5年治黄工作的总体目标,对网络安全和信息化工作也提出了相应要求,“516会议”又进一步做出部署。为使上述精神真正落到实处,必须进一步统筹谋划,深入细致地研究分析,提出指向清晰、可理解、可实施的行动方案,重点带动。
关于“十三五”发展规划。一要认真总结以往的规划及其实际作用,吸取经验、分析不足,全面研判新形势、新需求、新发展,编制好黄委网络安全和信息化发展“十三五”规划。二要认真分析研究国家推动“互联网+”、物联网、云计算、大数据、宽带通信、地理测绘信息技术、北斗导航、卫星遥感技术和无人机技术等新一代信息通信技术的战略部署和实施计划,紧抓水利部推动“数字水利”向“智慧水利”发展的机遇,充分利用公共资源,借力发展。三要准确把握实现黄河治理体系现代化和治理能力现代化的现实需求和发展需要,坚持应用至上、实用为本,坚持以新发展理念为指导。四要围绕向“智慧黄河”升级发展、全面提升治黄体系和治黄能力现代化、更好支撑流域水资源最严格管理、信息资源整合共享以及网络信息安全等,与全国水利信息化发展“十三五”规划相衔接。五要注重技术进步和创新应用,广泛吸收先进经验,着力关键点突破、短板瓶颈突破。
关于信息化资源整合共享。习近平总书记4月9日在网络安全和信息化工作座谈会上明确提出,要打通信息壁垒,构建全国信息资源共享体系,更好用信息化手段感知社会态势、畅通沟通渠道、辅助科学决策。对照这个要求,治黄信息化首先要感知黄河水沙及相关的经济社会态势,充分采集和收集数据,畅通数据信息传输,开放共享的渠道,实现智能化的科学决策。其次要打通信息壁垒,实现治黄信息化资源整合、共享、开放。“516会议”提出的“六个一”要求,本质上是治黄信息化资源整合共享。信息化资源整合共享、公共信息化服务能力的建设等,是各项业务应用系统能够高水平、可持续科学发展的必要前提和基础。
治黄信息化资源整合共享,是当前的短板,在不同的场合,水利信息化的有关领导和专家曾多次提醒。必须看到,黄河水资源管理调度项目、国家水资源监控能力项目、中小河流和山洪灾害预警项目以及国家防汛指挥二期项目等国家直管重点项目,由于建设管理体制的条块性,致使项目带动治黄信息化资源整合共享的潜能没有充分发挥出来,一定程度上还产生了资源整合共享的新问题。在资源整合共享方面,长江委、珠江委、上海水务局、北京水务局、广东省、浙江省及宁夏自治区等,走在了黄委前面。当然,黄委也积极开展了许多工作,取得了一定进展,具备了较好的发展基础和条件。
信息资源整合共享只有起点、没有终点,只要有新的信息资源产生,就要解决其共享问题;同时,资源整合又涉及各个业务方面和环节,面广、量大,工作极为细致复杂。因此,需要进一步完善、细化、丰富有关办法和标准规范,对资源整合共享做出统一规划。在体制完善、制度制定和管理落实上,要避免新建信息资源的重复和分散问题。根据水利部确定的有关工作原则和要求,要从有利于落实资源整合共享的角度,进一步统筹提炼,形成针对资源整合共享的重点项目,如黄河水信息基础平台。同时,要充分利用当前在建的相关项目和即将开展的项目,有效带动《黄委信息资源整合共享实施方案》中所列任务,处理好项目建设和资源整合共享的关系。要把资源整合共享作为刚性要求,贯彻到规划、设计、开发、验收、运行以及维护的各个环节,尽快解决信息资源整合共享这个短板,提升信息化建设成果的综合应用价值。
关于网络和信息安全。网络和信息安全已提升到国家安全的战略高度,习近平总书记在4月19日的座谈会上针对网络安全和信息化发展,提出了四个方面的要求。岳中明主任在“516会议”上强调,把网络安全和信息化工作放在更加突出的位置。网络安全威胁和风险日益突出,黄委还有不少薄弱环节、有很多课需要补。近年来,有关网络和信息安全的事件时有发生,黄委每年都收到来自国家和河南省有关部门的问题通报。产生问题的主要原因有几个方面:一是重视不够,喊得多、硬措施少、抓得不够狠,存在个别单位没有把网络和信息安全作为大事看待的现象;二是安全管理体系和技术体系不完善,制度和标准不够细致,落实不扎实;三是安全应急防护和应对管理水平不能充分满足需要;四是日常安全督察和检查力度弱、不到位;五是安全防护对象分散,专业人员队伍不足。
黄委网络和信息安全涉及的层级多、线长,涉及管理、制度、组织、人才队伍和技术条件等方方面面,覆盖物理环境、通信、计算机网络、软件系统、数据和应用等。为进一步做好网络和信息安全工作,需认真梳理分析以往发生的安全事件,剖析原因、总结经验、吸取教训,进行专题治理,着力构建和完善网络和信息安全防护体系。同时,黄委要加强大数据技术在网络安全方面的应用。要一边加强技术防护手段和措施,一边突出管理制度、管理流程及人的作用,强化内部的安全督察、检查以及安全信息通报。对于新建信息系统,要把网络和信息安全与规划、设计、建设和运行相同步。各级要把网络和信息安全作为重要抓手,进一步促进治黄信息化建设和管理规范化,带动信息化资源整合与共建共享等工作。
三、同心同力,踏石留印
黄委网络安全和信息化目标、重点工作已经明确,完成“六个一”要求之后,治黄信息化必将达到一个新高度。但是,工作人员要充分认识到,当前的任务大多是“硬骨头”,是信息化发展过程中都要面临的难题。从行业发展来看,谁先解决这些难题,谁就领先一步。
解决这些难题,必须加强统筹管理,树立大局意识;需要上下同欲、同心同力、踏石留印,将钉钉子精神和工匠精神融入日常工作中。首先,网信办要以贯彻黄委网络安全和信息化工作领导小组的要求为根本宗旨,站位治黄信息化全局,加强自身建设,不断提升统筹各方、综合管理的能力,团结和充分调动各方积极性;对于领导小组提出的工作要求,要在第一时间制订工作方案,迅速部署;对已部署的工作、已颁布的管理办法和标准规范,要抓好跟踪、监督及评估等工作;要把面向全局的管理作为服务项目,发挥优势,以问题为导向,主动出主意、想办法,有效作为。按照“一竿子到底”的工作要求,综合管理和业务部门要树立基层意识,在推进所承担的正常业务工作时,充分发挥自身对业务信息化应用熟悉、理解深的优势,主动指导基层业务信息化应用,帮助基层信息化应用发展明确新方向、注入新动力、开辟新空间,通过提升基层信息化应用而达到治黄信息化的整体联动。各层级信息化建设和管理技术单位要立足服务治黄网络安全和信息化工作主战场,加强内部管理和专业技术队伍建设,主动提供优质、高效、满意的服务。按照管理规范化和现代化的新要求,政务管理部门要进一步研究梳理政务工作流程,在管理工作流程规范化的基础上,不断提出利用信息化提高工作效率和公共服务能力的新需求。
长风破浪正当时,直挂云帆济沧海。在黄委党组的正确领导下,只要齐心协力,踏准时代发展的节拍,充分利用当前信息化发展的大好形势,创新思维、务实笃行,“日日行,不怕千万里;常常做,不怕千万事”,治黄信息化工作一定能够实现既定目标。
(作者简介:寇怀忠,黄河数学模拟系统研发首席专家,教授级高级工程师,法国科学院(CNRS)重点实验室博士,国家信息和自动化研究院(INRIA)博士后,研究领域为数据挖掘与语义网络、智慧流域。)
张明:当前是谋求网信工作战略优势的重要契机
信息化专家张明:当前是谋求网信工作战略优势的重要契机
编者按
4月19日,网络安全和信息化工作座谈会在京召开。会议的内容您都看懂了吗?由国家互联网信息办公室网络评论工作局指导,光明网出品的【学习时刻】栏目,今天连线中国现代国际关系研究院信息与社会发展研究所副研究员张明,言简意赅,带您分分钟读懂这次高大上的会。
【学习时刻】信息化专家张明:当前是谋求网信工作战略优势的重要契机
记者手记
作为一名研究信息与社会发展的学者,张明屡有相关理论文章刊发,对于这次网信工作座谈会,他也全程保持高度关注。收到“学习时刻”节目的录制邀请,他专门准备了细致的发言提纲,为了出镜效果,还特意用一盏小台灯给自己的面部补了光哦。
连线成功后,张明略显羞涩。当他发现有身后有半个电熨斗闯入画面时,更是羞涩地迅速将其藏了起来,并不好意思地向小编表达歉意。
准备工作结束,Action!录制正式开始,张明立刻进入侃侃而谈模式。
当前是谋求网信工作战略优势的重要契机
Q:会议背景知多少?
A:这次会议的召开可以从国内和国际两方面考虑。从国内来看,通过两年来的工作摸索和实践,我国网络安全信息化工作的机制建设和法治建设已经取得了一定的进展,现阶段需要对此进行总结和回顾。从国际层面来讲,当前国际信息化进程不断加快,网络安全形势日趋复杂。面对日益严峻的网络安全形势和大数据发展带来的信息化安全问题,中央决定召开这次座谈会。这正是对当前国际国内网络安全形势和信息化发展态势的积极响应。
Q:会议议题都有啥?
A:这次座谈会的内容很广泛,也是我们一直以来网络工作的重点、难点和热点。首先我们从这次座谈会的参与者来看,有来自政府、企业、军方、学界的代表,有学技术的,有学管理的,有学法律的,也有学国际关系出身的。从参与的成员来看,决定了这次座谈会的议题是很广泛且很重要的。议题内容涵盖了网络生态建设,技术创新,互联网企业发展,网络安全,人才教育培养等重要问题。
Q:核心指导思想是什么?
A:我们不仅要探讨每个议题下习总书记的论述和具体观点,而且更要看到这次会议的核心指导思想。十八届五中全会提出了五大发展理念,强调“创新、协调、绿色、开放、共享”,而网信工作正是五大发展理念先行的实践主体。我想,这也正是因为中央考虑到网信工作自身的特点,包括它与技术的紧密联结、以及在技术方面的飞速发展,让网信工作成为五大发展理念的先行者。
Q:会议的重要意义是什么?
A:这次会议的意义是很重大的。此前,我国的网信工作已经进行了机构调整和法治建设,但还没有出台一个整体的网络安全战略。习总书记这次的讲话,正是我们将来实现网络安全信息化战略并谋求网络安全工作战略优势的重要契机。从国际层面来看,当前中国正从网络大国向网络强国迈进,中国的网络决策不仅仅是对中国网络工作的指导,对国际层面的网络安全进程和信息化发展态势也会产生重要影响。
(光明网记者康慧珍 李贝 陈城整理 剪辑:赵文月 赵伟露)
2014年我国互联网络安全形势分析
2014年,“宽带中国”战略继续推进实施,我国基础网络建设不断升级完善,安全防护水平进一步提升,但基础网络相关设备仍存在安全风险,日益普及的云服务经常发生因系统故障、网络攻击导致的安全问题,影响业务运行和用户使用。
基础网络安全防护水平进一步提升。2014年,工业和信息化部重点围绕网络安全防护措施落实、网络数据安全、用户个人电子信息保护等内容,继续推进基础通信网络安全防护工作。基础电信企业不断加大网络安全投入,加强体系、制度和手段建设,推动工作系统化、规范化和常态化。根据抽查结果,各企业符合性测评平均得分均达到90分以上,风险评估检查发现的单个网络或系统的安全漏洞数量较2013年下降72%,检查发现问题的难度也逐年加大。
截至2014年底,各企业已对80%以上的漏洞完成修复,并对其余漏洞采取了应急措施,制定了整改计划。基础网络设备仍存在较多安全漏洞风险。随着基础网络安全防护工作的深入推进,发现和处置的深层次安全风险和事件逐渐增多。2014年,CNCERT协调处置涉及基础电信企业的漏洞事件1578起,是2013年的3倍。
CNVD7收录与基础电信企业软硬件资产相关的漏洞825个,其中与路由器、交换机等网络设备相关的漏洞占比66.2%,主要包括内置后门、远程代码执行等类型,这些漏洞将可能导致网络设备或节点被操控,出现窃取用户信息、传播恶意代码、实施网络攻击、破坏网络稳定运行等安全事件。
互联网医疗移动互联网互联网+二手市场互联网+食品互联网+外贸互联网+家居互联网+家电互联网+超市互联网+购物中心互联网+百货互联网+新闻互联网+娱乐云服务日益成为网络攻击的重点目标。我国基础电信企业和许多大型互联网服务商纷加快云平台部署,大型互联网服务商纷加快云平台部署,大力推广云服务,大量金融、游戏、电子商务、电子政务等政务等业务迁移至云平台。
2014年先后发生了多起因电力、机房线路和网络故障导致的云服务宕机务宕机务宕机事件,针对云平台的攻击事件也逐年增多也逐年增多,仅由CNCERTNCERT协助处置的大规模攻击事件就达攻击事件就达十余起,涉及UCloudloudloud公司、浙公司、浙江宁波某江宁波某IDC机房等国内云国内云平台。
据有关单位报告关单位报告,2014年12月中旬,中旬,某大型互联网服务商的云平台上一家知名游戏公司遭受拒绝服务攻击,攻击峰值流量超过450Gbps。云平台运行的稳定性直接影响业务的可用性和连续性和连续性,而且针对云平台上某一目标的攻击,还可能导致其它业务受到牵连,造成大面积用户无法访问或使用。
加快我国网络安全与信息化法制建设
习近平总书记在主持召开中央网络安全和信息化领导小组第一次会议时要求,“要抓紧制定立法规划,完善互联网信息内容管理、关键基础设施保护等法律法规,依法治理网络空间,维护公民合法权益”。党的十八届四中全会决定要求,加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为。新的形势,要求加快我国网络安全与信息化法制建设步伐,促进依法管网、依法上网、依法用网,维护国家安全,建设网络强国。
一、我国网络安全与信息化法制建设面临的主要挑战
我国网络安全与信息化法制伴随国家信息化发展,初步形成了覆盖网络与信息安全、电子商务、电子政务、互联网治理、信息权益保护等信息社会核心领域的规范体系,网络安全与信息化相关争议与问题能够通过行政执法与司法机制加以解决,市场与各种社会主体的信息化法治意识初步确立。
但是,我国网络安全与信息化立法主要是由低层级的规章或者规章以下规范性文件构成,高位阶的立法非常少,一些重要领域规范缺乏,网络与信息安全面临巨大挑战;一些立法制定的时间较久,明显已经不适应网络社会快速发展的现实;一些立法更多考虑的是建设、安全、秩序与管理等需要,未能对应用、创新、权利与发展等给予同等考虑,不利于提升国家整体竞争能力,不利于构建创新型国家;一些立法质量不高,制定后不能用、不管用、难执行、难适用、难遵守,个别立法甚至形同虚设;网络安全与信息化行政执法部门职责权限边界不明确,普遍重事前审批、轻事中监管,简单照抄照搬现实社会管理方法,裁量权过大,程序制约缺失,加大市场主体守法成本,违法行为难以得到及时遏制,执法有效性与公信力均不足;对于网络安全与信息化相关争议与各种新问题,现行司法制度在审判体制、人员素质、审理程序、裁判依据等方面面临现实制约,司法裁判功能不得到充分实现;网络空间不正当竞争现象时有发生,网络违法犯罪行为屡禁不止,少数网民守法意识不强,网络社会秩序亟待规范。
二、明确立法重点,夯实网络安全基础
网络安全是推进信息化法制建设的基础,在整个工作中占据最为重要的地位。通常而言,网络安全(或者信息安全)有最广义、广义与狭义三种理解。最广义的网络安全包括作为基础设施的网络以及网络上所传输的信息安全,实际上等于网络与信息安全;广义上的理解不包括信息内容,只是指作为基础设施的网络空间,包括基础传输网络、重要的信息系统以及业务系统;狭义的理解只是指广电、电信、互联网等基础传输网络,不包括重要信息系统与业务系统。由于我国过去的文件并未严格界定概念的含义,加之缺乏高位阶网络安全立法,不同方面对于网络安全含义的理解一直非常混乱。
对网络安全应采用统一的广义理解,避免理解上的含糊或者歧义。这是因为:(1)科学界定立法的范围,有助于法律的实施,也有利于配置社会资源,降低守法成本。如果采用最广义的界定,会使性质截然不同的基础设施安全与信息内容安全混合到一起,难以制定具有统一适用性的制度,既加大立法的难度,也加大执法的难度,还会导致整个社会的守法成本高企。反之,如果采用狭义的理解,将网络安全局限在传输网络范畴,在网络社会与现实社会已经高度融合的今天,不仅在边界界定上几乎不可能,而且由于范围过小无法真正实现维护网络信息安全的立法目的。因此,只有采用广义理解,才符合网络环境下网络安全的本质特征,有利于实现立法目的,维护国家和社会的根本利益。(2)从国外网络安全法的立法经验看,几乎全部聚焦在关键基础设施方面,因为在高度互联的环境下,关键基础设施一旦被攻破,就会造成整个网络系统和建立在网络之上的各种信息系统的瘫痪,会危及整个国家安全、公共安全与社会秩序,因此,网络安全的首要任务都是保护这些关键基础设施的安全,防范系统性风险。至于传输系统的构建以及竞争秩序等,大多都由传统的电信法解决;互联网信息内容安全,则由内容规制方面的法律解决。(3)根据互联网的特点分门别类进行相应的立法,构建有效的互联网法律结构,也已经被我国决策部门所采纳,反映在国家互联网专项立法规划中。
三、全面推进网络安全与信息化法制建设
十八届四中全会明确提出了科学立法、严格执法、公正司法、严格守法的新十六字法治建设方针,要求形成完备的法律规范体系、高效的法治实施体系、严密的法治监督体系、有力的法治保障体系,形成完善的党内法规体系。四中全会的这些要求,对于网络安全与信息化法制建设有非常重要的现实意义。可以看到,目前网络安全与信息化法制建设面临的问题分别体现在立法、执法、司法、守法、法律监督等不同环节,制度建设因而必须系统设计,全面推进。
第一、根据全面推进依法治国新形势,应该从战略上进一步明确网络安全与信息化法制建设的总目标。在中央网络安全与信息化领导小组的统一部署下,坚持发展是第一要务,加快制定网络安全与信息化基本法律,优化执法体制与机制,大力加强执法能力建设,开展网络社会自觉守法意识宣传与教育,实现科学立法、严格执法、公正司法、全民守法基本要求,全面发挥网络安全与信息化法制在全面深化改革与信息化发展中的引领、推动、规范与保障作用。
第二、确立网络安全与信息化法制建设的指导思想。根据近年来的经验,为保证网络安全与信息化法制建设的顺利推进,应坚持:(1)以建设网络强国为目标,坚持发展是第一要务,以发展的思路和标准解决和评判网络安全与信息化过程中面临的各种矛盾与问题,处理好安全与发展之间的关系,以发展促安全,以安全保发展。(2)坚持依法治国、依法执政、依法行政共同推进,法治国家、法治政府、法治社会一体建设,实现科学立法、严格执法、公正司法、全民守法的网络安全与信息化法制建设基本要求。(3)准确认识和把握网络社会与信息化本身客观规律,提高制度建设的有效性和科学性,着力构建多元的信息化推动机制,充分发挥政府、市场、社会、法治与竞争机制在推动信息化过程中的不同作用,实现网络安全与信息化治理体系与治理能力的现代化。
第三、明确网络安全与信息化法制建设的主要任务。根据目前面临的问题,主要任务应该包括以下四个方面:(1)加快制定信息化基本法律。加快制定《网络安全法》、《电信法》、《电子商务法》、《个人信息保护法》、《政府数据开放条例》等法律法规,研究制定《信息化推进基本法》、《电子政务法》、《互联网信息内容服务与管理法》、《密码法》等信息化基本法律,实现信息化法律关系主要依靠基本法律支撑的结构性改变。同时,加快对不适应信息化发展的现行法律法规的修改与废止,提高信息化立法的质量,推动信息化立法的不断完善。(2)优化信息化执法体制与机制。改革与完善信息化执法体制,推进政府职能整合,着力解决执法权交叉、执法权限模糊、管辖权不明确等问题;加大违法行为的法律责任,改变违法成本过低现象;建立快速处理各类争议的行政执法与司法裁判程序,迅速处理与处置各种法律争议问题;充分利用市场机制、私法执法、信息披露等多元化执法方式,处理好行政执法与刑事执法的有效衔接,提高执法效果,形成执法合力;大力培育行业自律等社会治理机制,形成网络社会多元治理格局。(3)大力加强信息化执法能力建设。加强现行法律在信息化环境下的立法、执法与司法解释,充分利用好现有立法资源;加强对国家机关工作人员信息化知识培养与教育,培养复合型人才,提高信息化应用能力;推广负面清单管理方式,将不增设新的行政许可或者其他事前管理机制作为电子商务的基本原则,为互联网产业与电子商务发展提供宽松的制度环境;通过执法方式改革与手段创新,建立实时风险监测、预警与预测,推行过程监管,加强部门信息共享与执法合作;扩大信息化执法国际交流与合作,推动建立公正、透明国际互联网治理体系;规范执法程序,明确裁量基准,强化执法监督,并通过严格的行政执法责任追究,切实解决执法不作为、乱作为与执法谋私等现象。(4)开展网络社会自觉守法意识宣传与教育。以多种形式开展信息化法律宣传教育,弘扬法治价值,促进社会公平正义,处理好维稳与维权的关系;提倡文明上网、理性上网、公平竞争、合法经营、规范执法,减少或杜绝选择性执法现象;全面树立“网络无边界、法律无死角”观念,提高全社会自觉守法意识。
第四、尽快启动制定《网络安全与信息化法制建设实施纲要》。网络安全与信息化法制建设覆盖范围广、涉及部门多、相关问题复杂,需要统筹规划,系统设计,稳步实施。我国网络安全与信息化法制建设目前存在的各种问题,与缺乏统筹协调有很大的关系。为此,应尽快启动制定《网络安全与信息化法制建设实施纲要》,明确时间表、路线图与任务分工等基本内容,作为中央网络安全与信息化领导小组推动网络安全与信息化法制工作的纲领性文件。(作者单位:中国社科院法学所研究员)
我们的客户
客户正在跟进中
我们的研究
信息系统安全问题单凭技术是无法得到彻底解决的,它的解决涉及到政策法规、管理、标准、技术等方方面面,任何单一层次上的安全措施都不可能提供真正的全方位的安全,信息系统安全问题的解决更应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险评估占有重要的地位,它是信息系统安全的基础和前提。
安全评估作为信息系统安全工程重要组成部分,已经不仅仅是个别企业的问题,而是关系到国民经济的每一方面的重大问题,它将逐渐走上规范化和法制化的轨道上来,国家对各种配套的安全标准和法规的制定将会更加健全,评估模型、评估方法、评估工具的研究、开发将更加活跃,信息系统及相关产品的风险评估认证将成为必需环节。
帮助您实现的价值
了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁与影响程度,为安全策略的确定、信息系统的建立及安全运行提供依据。同时通过第三方权威或者国际机构评估和认证,也给用户提供了信息技术产品和系统可靠性的信心,增强产品、单位的竞争力。
我们为您提供的服务
对信息系统进行风险评估,首先应确保风险分析的内容与范围应该覆盖信息系统的整个体系,应包括:系统基本情况分析、信息系统基本安全状况调查、信息系统安全组织、政策情况分析、信息系统弱点漏洞分析等。
风险评估具体评估过程如下:
确定资产
安全评估的第一步是确定信息系统的资产,并明确资产的价值,资产的价值是由对组织、供应商、合作伙伴、客户和其他利益相关方在安全事件中对保密性、完整性和可用性的影响来衡量的。资产的范围很广,一切需要加以保护的东西都算作资产,包括:信息资产、纸质文件、软件资产、物理资产、人员、公司形象和声誉、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产。
脆弱性和威胁分析。
对资产进行细致周密的分析,发现它的脆弱点及由脆弱点所引发的威胁,统计分析发生概率、被利用后所造成的损失等。
制定及评估控制措施
在分析各种威胁及它们发生可能性基础上,研究消除/减轻/转移威胁风险的手段。这一阶段不需要做出什么决策,主要是考虑可能采取的各种安全防范措施和它们的实施成本。制定出的控制措施应当全面,在有针对性的同时,要考虑系统地、根本性的解决方法,为下一阶段的决策作充足的准备,同时将风险和措施文档化。
决策
这一阶段包括评估影响,排列风险,制定决策。应当从3 个方面来考虑最终的决策:接受风险、避免风险、转移风险。对安全风险决策后,明确信息系统所要接受的残余风险。在分析和决策过程中,要尽可能多地让更多的人参与进来,从管理层的代表到业务部门的主管,从技术人员到非技术人员。
沟通与交流
由上一阶段所做出的决策,必须经过领导层的签字和批准,并与各方面就决策结论进行沟通。这是很重要的一个过程,沟通能确保所有人员对风险有清醒地认识,并有可能在发现一些以前没有注意到的脆弱点。
监督实施
最后的步骤是安全措施的实施。实施过程要始终在监督下进行,以确保决策能够贯穿于工作之中。在实施的同时,要密切注意和分析新的威胁并对控制措施进行必要的修改。另外,由于信息系统及其所在环境的不断变化,在信息系统的运行过程中,绝对安全的措施是不存在的:攻击者不断有新的方法绕过或扰乱系统中的安全措施;系统的变化会带来新的脆弱点;实施的安全措施会随着时间而过时等等,所有这些表明,信息系统的风险评估过程是一个动态循环的过程,应周期性的对信息系统安全进行重评估。
您目前可能的困惑
在过去的几十年时间里,信息技术已经翻天地覆地改变了整个世界。信息在人们的生产、生活中扮演着越来越重要的角色,人类越来越依赖基于信息技术所创造出来的产品,以信息技术为基础的信息产业已经成为世界经济的重要支柱产业,信息产业的发达程度已经成为一个国家的综合国力和国际竞争力强弱的重要标志。然而人们在尽情享受信息技术带给人类巨大进步的同时,也逐渐意识到它是一把双刃剑,在该领域“潘多拉盒子”已经不止一次被打开,近年来,由于信息系统安全问题所产生的损失、影响不断加剧,信息系统的安全问题越来越受到人们的普遍关注,它已经成为影响信息技术发展的重要因素。然而,传统的事后、被动、单一,针对出现的问题,采用一些安全防护措施,并以某个问题的暂时解决为过程结束标志的信息系统安全建设已经远不能适应信息系统安全防护的发展要求。这种模式往往缺少系统的考虑,就事论事,带有很大盲目性,经常是花费不少、收效甚微,造成资金、人员的巨大浪费。
业务简介
依据《GB/T 20984-2007 信息安全技术信息安全风险评估规范》,通过风险评估项目的实施,对信息系统的重要资产、资产所面临的威胁、资产存在的脆弱性、已采取的防护措施等进行分析,对所采用的安全控制措施的有效性进行检测,综合分析、判断安全事件发生的概率以及可能造成的损失,判断信息系统面临的安全风险,提出风险管理建议,为系统安全保护措施的改进提供参考依据。
公安部关于《网络安全等级保护条例(征求意见稿)》 公开征求意见的公告
公安部关于《网络安全等级保护条例(征求意见稿)》 公开征求意见的公告
来源:admin 发布日期:2018-06-27
为贯彻落实《中华人民共和国网络安全法》,深入推进实施国家网络安全等级保护制度,经广泛征求意见,反复研究修改,公安部会同有关部门起草了《网络安全等级保护条例(征求意见稿)》。为保障公众知情权和参与权,凝聚各界共识和智慧,提高立法质量,现向社会公开征求意见。
公众可登陆公安部网站(网址:http://www.mps.gov.cn)查阅征求意见稿,有关建议可在2018年7月27日前通过电子邮件方式发送至djbhtl@163.com,或传真至010-66262319。
公安部
2018年6月27日
《网络安全等级保护条例(征求意见稿)》
目 录
第一章 总 则
第二章 支持与保障
第三章 网络的安全保护
第四章 涉密网络的安全保护
第五章 密码管理
第六章 监督管理
第七章 法律责任
第八章 附 则
第一章 总 则
第一条【立法宗旨与依据】为加强网络安全等级保护工作,提高网络安全防范能力和水平,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,依据《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》等法律,制定本条例。
第二条【适用范围】在中华人民共和国境内建设、运营、维护、使用网络,开展网络安全等级保护工作以及监督管理,适用本条例。个人及家庭自建自用的网络除外。
第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。
前款所称“网络”是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。
第四条【工作原则】网络安全等级保护工作应当按照突出重点、主动防御、综合防控的原则,建立健全网络安全防护体系,重点保护涉及国家安全、国计民生、社会公共利益的网络的基础设施安全、运行安全和数据安全。
网络运营者在网络建设过程中,应当同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。
涉密网络应当依据国家保密规定和标准,结合系统实际进行保密防护和保密监管。
第五条【职责分工】中央网络安全和信息化领导机构统一领导网络安全等级保护工作。国家网信部门负责网络安全等级保护工作的统筹协调。
国务院公安部门主管网络安全等级保护工作,负责网络安全等级保护工作的监督管理,依法组织开展网络安全保卫。
国家保密行政管理部门主管涉密网络分级保护工作,负责网络安全等级保护工作中有关保密工作的监督管理。
国家密码管理部门负责网络安全等级保护工作中有关密码管理工作的监督管理。
国务院其他有关部门依照有关法律法规的规定,在各自职责范围内开展网络安全等级保护相关工作。
县级以上地方人民政府依照本条例和有关法律法规规定,开展网络安全等级保护工作。
第六条【网络运营者责任义务】网络运营者应当依法开展网络定级备案、安全建设整改、等级测评和自查等工作,采取管理和技术措施,保障网络基础设施安全、网络运行安全、数据安全和信息安全,有效应对网络安全事件,防范网络违法犯罪活动。
第七条【行业要求】行业主管部门应当组织、指导本行业、本领域落实网络安全等级保护制度。
第二章 支持与保障
第八条【总体保障】国家建立健全网络安全等级保护制度的组织领导体系、技术支持体系和保障体系。
各级人民政府和行业主管部门应当将网络安全等级保护制度实施纳入信息化工作总体规划,统筹推进。
第九条【标准制定】国家建立完善网络安全等级保护标准体系。国务院标准化行政主管部门和国务院公安部门、国家保密行政管理部门、国家密码管理部门根据各自职责,组织制定网络安全等级保护的国家标准、行业标准。
国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全等级保护国家标准、行业标准的制定。
第十条【投入和保障】各级人民政府鼓励扶持网络安全等级保护重点工程和项目,支持网络安全等级保护技术的研究开发和应用,推广安全可信的网络产品和服务。
第十一条【技术支持】国家建设网络安全等级保护专家队伍和等级测评、安全建设、应急处置等技术支持体系,为网络安全等级保护制度提供支撑。
第十二条【绩效考核】行业主管部门、各级人民政府应当将网络安全等级保护工作纳入绩效考核评价、社会治安综合治理考核等。
第十三条【宣传教育培训】各级人民政府及其有关部门应当加强网络安全等级保护制度的宣传教育,提升社会公众的网络安全防范意识。
国家鼓励和支持企事业单位、高等院校、研究机构等开展网络安全等级保护制度的教育与培训,加强网络安全等级保护管理和技术人才培养。
第十四条【鼓励创新】国家鼓励利用新技术、新应用开展网络安全等级保护管理和技术防护,采取主动防御、可信计算、人工智能等技术,创新网络安全技术保护措施,提升网络安全防范能力和水平。
国家对网络新技术、新应用的推广,组织开展网络安全风险评估,防范网络新技术、新应用的安全风险。
第三章 网络的安全保护
第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。
(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。
(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。
(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。
(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。
(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。
第十六条【网络定级】网络运营者应当在规划设计阶段确定网络的安全保护等级。
当网络功能、服务范围、服务对象和处理的数据等发生重大变化时,网络运营者应当依法变更网络的安全保护等级。
第十七条【定级评审】对拟定为第二级以上的网络,其运营者应当组织专家评审;有行业主管部门的,应当在评审后报请主管部门核准。
跨省或者全国统一联网运行的网络由行业主管部门统一拟定安全保护等级,统一组织定级评审。
行业主管部门可以依据国家标准规范,结合本行业网络特点制定行业网络安全等级保护定级指导意见。
第十八条【定级备案】第二级以上网络运营者应当在网络的安全保护等级确定后10个工作日内,到县级以上公安机关备案。
因网络撤销或变更调整安全保护等级的,应当在10个工作日内向原受理备案公安机关办理备案撤销或变更手续。
备案的具体办法由国务院公安部门组织制定。
第十九条【备案审核】公安机关应当对网络运营者提交的备案材料进行审核。对定级准确、备案材料符合要求的,应在10个工作日内出具网络安全等级保护备案证明。
第二十条【一般安全保护义务】网络运营者应当依法履行下列安全保护义务,保障网络和信息安全:
(一)确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度;
(二)建立安全管理和技术保护制度,建立人员管理、教育培训、系统安全建设、系统安全运维等制度;
(三)落实机房安全管理、设备和介质安全管理、网络安全管理等制度,制定操作规范和工作流程;
(四)落实身份识别、防范恶意代码感染传播、防范网络入侵攻击的管理和技术措施;
(五)落实监测、记录网络运行状态、网络安全事件、违法犯罪活动的管理和技术措施,并按照规定留存六个月以上可追溯网络违法犯罪的相关网络日志;
(六)落实数据分类、重要数据备份和加密等措施;
(七)依法收集、使用、处理个人信息,并落实个人信息保护措施,防止个人信息泄露、损毁、篡改、窃取、丢失和滥用;
(八)落实违法信息发现、阻断、消除等措施,落实防范违法信息大量传播、违法犯罪证据灭失等措施;
(九)落实联网备案和用户真实身份查验等责任;
(十)对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。
(十一)法律、行政法规规定的其他网络安全保护义务。
第二十一条【特殊安全保护义务】第三级以上网络的运营者除履行本条例第二十条规定的网络安全保护义务外,还应当履行下列安全保护义务:
(一)确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(二)制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(三)对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(四)对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(五)落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(六)落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(七)建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(八)法律和行政法规规定的其他网络安全保护义务。
第二十二条【上线检测】新建的第二级网络上线运行前应当按照网络安全等级保护有关标准规范,对网络的安全性进行测试。
新建的第三级以上网络上线运行前应当委托网络安全等级测评机构按照网络安全等级保护有关标准规范进行等级测评,通过等级测评后方可投入运行。
第二十三条【等级测评】第三级以上网络的运营者应当每年开展一次网络安全等级测评,发现并整改安全风险隐患,并每年将开展网络安全等级测评的工作情况及测评结果向备案的公安机关报告。
第二十四条【安全整改】网络运营者应当对等级测评中发现的安全风险隐患,制定整改方案,落实整改措施,消除风险隐患。
第二十五条【自查工作】网络运营者应当每年对本单位落实网络安全等级保护制度情况和网络安全状况至少开展一次自查,发现安全风险隐患及时整改,并向备案的公安机关报告。
第二十六条【测评活动安全管理】网络安全等级测评机构应当为网络运营者提供安全、客观、公正的等级测评服务。
网络安全等级测评机构应当与网络运营者签署服务协议,并对测评人员进行安全保密教育,与其签订安全保密责任书,明确测评人员的安全保密义务和法律责任,组织测评人员参加专业培训。
第二十七条【网络服务机构要求】网络服务提供者为第三级以上网络提供网络建设、运行维护、安全监测、数据分析等网络服务,应当符合国家有关法律法规和技术标准的要求。
网络安全等级测评机构等网络服务提供者应当保守服务过程中知悉的国家秘密、个人信息和重要数据。不得非法使用或擅自发布、披露在提供服务中收集掌握的数据信息和系统漏洞、恶意代码、网络入侵攻击等网络安全信息。
第二十八条【产品服务采购使用的安全要求】网络运营者应当采购、使用符合国家法律法规和有关标准规范要求的网络产品和服务。
第三级以上网络运营者应当采用与其安全保护等级相适应的网络产品和服务;对重要部位使用的网络产品,应当委托专业测评机构进行专项测试,根据测试结果选择符合要求的网络产品;采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第二十九条【技术维护要求】第三级以上网络应当在境内实施技术维护,不得境外远程技术维护。因业务需要,确需进行境外远程技术维护的,应当进行网络安全评估,并采取风险管控措施。实施技术维护,应当记录并留存技术维护日志,并在公安机关检查时如实提供。
第三十条【监测预警和信息通报】地市级以上人民政府应当建立网络安全监测预警和信息通报制度,开展安全监测、态势感知、通报预警等工作。
第三级以上网络运营者应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时向行业主管部门报送和报告。
行业主管部门应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,按照规定向同级网信部门、公安机关报送网络安全监测预警信息,报告网络安全事件。
第三十一条【数据和信息安全保护】网络运营者应当建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据和信息在收集、存储、传输、使用、提供、销毁过程中的安全;建立异地备份恢复等技术措施,保障重要数据的完整性、保密性和可用性。
未经允许或授权,网络运营者不得收集与其提供的服务无关的数据和个人信息;不得违反法律、行政法规规定和双方约定收集、使用和处理数据和个人信息;不得泄露、篡改、损毁其收集的数据和个人信息;不得非授权访问、使用、提供数据和个人信息。
第三十二条【应急处置要求】第三级以上网络的运营者应当按照国家有关规定,制定网络安全应急预案,定期开展网络安全应急演练。
网络运营者处置网络安全事件应当保护现场,记录并留存相关数据信息,并及时向公安机关和行业主管部门报告。
公安机关和行业主管部门应当向同级网信部门报告重大网络安全事件处置情况。
发生重大网络安全事件时,有关部门应当按照网络安全应急预案要求联合开展应急处置。电信业务经营者、互联网服务提供者应当为重大网络安全事件处置和恢复提供支持和协助。
第三十三条【审计审核要求】网络运营者建设、运营、维护和使用网络,向社会公众提供需取得行政许可的经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。
第三十四条【新技术新应用风险管控】网络运营者应当按照网络安全等级保护制度要求,采取措施,管控云计算、大数据、人工智能、物联网、工控系统和移动互联网等新技术、新应用带来的安全风险,消除安全隐患。
第四章 涉密网络的安全保护
第三十五条【分级保护】涉密网络按照存储、处理、传输国家秘密的最高密级分为绝密级、机密级和秘密级。
第三十六条【网络定级】涉密网络运营者应当依法确定涉密网络的密级,通过本单位保密委员会(领导小组)的审定,并向同级保密行政管理部门备案。
第三十七条【方案审查论证】涉密网络运营者规划建设涉密网络,应当依据国家保密规定和标准要求,制定分级保护方案,采取身份鉴别、访问控制、安全审计、边界安全防护、信息流转管控、电磁泄漏发射防护、病毒防护、密码保护和保密监管等技术与管理措施。
第三十八条【建设管理】涉密网络运营者委托其他单位承担涉密网络建设的,应当选择具有相应涉密信息系统集成资质的单位,并与建设单位签订保密协议,明确保密责任,采取保密措施。
第三十九条【信息设备、安全保密产品管理】涉密网络中使用的信息设备,应当从国家有关主管部门发布的涉密专用信息设备名录中选择;未纳入名录的,应选择政府采购目录中的产品。确需选用进口产品的,应当进行安全保密检测。
涉密网络运营者不得选用国家保密行政管理部门禁止使用或者政府采购主管部门禁止采购的产品。
涉密网络中使用的安全保密产品,应当通过国家保密行政管理部门设立的检测机构检测。计算机病毒防护产品应当选用取得计算机信息系统安全专用产品销售许可证的可靠产品,密码产品应当选用国家密码管理部门批准的产品。
第四十条【测评审查和风险评估】涉密网络应当由国家保密行政管理部门设立或者授权的保密测评机构进行检测评估,并经设区的市级以上保密行政管理部门审查合格,方可投入使用。
涉密网络运营者在涉密网络投入使用后,应定期开展安全保密检查和风险自评估,并接受保密行政管理部门组织的安全保密风险评估。绝密级网络每年至少进行一次,机密级和秘密级网络每两年至少进行一次。
公安机关、国家安全机关涉密网络投入使用的管理,依照国家保密行政管理部门会同公安机关、国家安全机关制定的有关规定执行。
第四十一条【涉密网络使用管理总体要求】涉密网络运营者应当制定安全保密管理制度,组建相应管理机构,设置安全保密管理人员,落实安全保密责任。
第四十二条【涉密网络预警通报要求】涉密网络运营者应建立健全本单位涉密网络安全保密监测预警和信息通报制度,发现安全风险隐患的,应及时采取应急处置措施,并向保密行政管理部门报告。
第四十三条【涉密网络重大变化的处置】有下列情形之一的,涉密网络运营者应当按照国家保密规定及时向保密行政管理部门报告并采取相应措施:
(一)密级发生变化的;
(二)连接范围、终端数量超出审查通过的范围、数量的;
(三)所处物理环境或者安全保密设施变化可能导致新的安全保密风险的;
(四)新增应用系统的,或者应用系统变更、减少可能导致新的安全保密风险的。
对前款所列情形,保密行政管理部门应当及时作出是否对涉密网络重新进行检测评估和审查的决定。
第四十四条【涉密网络废止的处理】涉密网络不再使用的,涉密网络运营者应当及时向保密行政管理部门报告,并按照国家保密规定和标准对涉密信息设备、产品、涉密载体等进行处理。
第五章 密码管理
第四十五条【确定密码要求】国家密码管理部门根据网络的安全保护等级、涉密网络的密级和保护等级,确定密码的配备、使用、管理和应用安全性评估要求,制定网络安全等级保护密码标准规范。
第四十六条【涉密网络密码保护】涉密网络及传输的国家秘密信息,应当依法采用密码保护。
密码产品应当经过密码管理部门批准,采用密码技术的软件系统、硬件设备等产品,应当通过密码检测。
密码的检测、装备、采购和使用等,由密码管理部门统一管理;系统设计、运行维护、日常管理和密码评估,应当按照国家密码管理相关法规和标准执行。
第四十七条【非涉密网络密码保护】非涉密网络应当按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。第三级以上网络应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。
第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,委托密码应用安全性测评机构开展密码应用安全性评估。网络通过评估后,方可上线运行,并在投入运行后,每年至少组织一次评估。密码应用安全性评估结果应当报受理备案的公安机关和所在地设区市的密码管理部门备案。
第四十八条【密码安全管理责任】网络运营者应当按照国家密码管理法规和相关管理要求,履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。
任何单位和个人不得利用密码从事危害国家安全、社会公共利益的活动,或者从事其他违法犯罪活动。
第六章 监督管理
第四十九条【安全监督管理】县级以上公安机关对网络运营者依照国家法律法规规定和相关标准规范要求,落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作,实行监督管理;对第三级以上网络运营者按照网络安全等级保护制度落实网络基础设施安全、网络运行安全和数据安全保护责任义务,实行重点监督管理。
县级以上公安机关对同级行业主管部门依照国家法律法规规定和相关标准规范要求,组织督促本行业、本领域落实网络安全等级保护制度,开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作情况,进行监督、检查、指导。
地市级以上公安机关每年将网络安全等级保护工作情况通报同级网信部门。
第五十条【安全检查】县级以上公安机关对网络运营者开展下列网络安全工作情况进行监督检查:
(一)日常网络安全防范工作;
(二)重大网络安全风险隐患整改情况;
(三)重大网络安全事件应急处置和恢复工作;
(四)重大活动网络安全保护工作落实情况;
(五)其他网络安全保护工作情况。
公安机关对第三级以上网络运营者每年至少开展一次安全检查。涉及相关行业的可以会同其行业主管部门开展安全检查。必要时,公安机关可以委托社会力量提供技术支持。
公安机关依法实施监督检查,网络运营者应当协助、配合,并按照公安机关要求如实提供相关数据信息。
第五十一条【检查处置】公安机关在监督检查中发现网络安全风险隐患的,应当责令网络运营者采取措施立即消除;不能立即消除的,应当责令其限期整改。
公安机关发现第三级以上网络存在重大安全风险隐患的,应当及时通报行业主管部门,并向同级网信部门通报。
第五十二条【重大隐患处置】公安机关在监督检查中发现重要行业或本地区存在严重威胁国家安全、公共安全和社会公共利益的重大网络安全风险隐患的,应报告同级人民政府、网信部门和上级公安机关。
第五十三条【对测评机构和安全建设机构的监管】国家对网络安全等级测评机构和安全建设机构实行推荐目录管理,指导网络安全等级测评机构和安全建设机构建立行业自律组织,制定行业自律规范,加强自律管理。
非涉密网络安全等级测评机构和安全建设机构具体管理办法,由国务院公安部门制定。保密科技测评机构管理办法由国家保密行政管理部门制定。
第五十四条【关键人员管理】第三级以上网络运营者的关键岗位人员以及为第三级以上网络提供安全服务的人员,不得擅自参加境外组织的网络攻防活动。
第五十五条【事件调查】公安机关应当根据有关规定处置网络安全事件,开展事件调查,认定事件责任,依法查处危害网络安全的违法犯罪活动。必要时,可以责令网络运营者采取阻断信息传输、暂停网络运行、备份相关数据等紧急措施。
网络运营者应当配合、支持公安机关和有关部门开展事件调查和处置工作。
第五十六条【紧急情况断网措施】网络存在的安全风险隐患严重威胁国家安全、社会秩序和公共利益的,紧急情况下公安机关可以责令其停止联网、停机整顿。
第五十七条【保密监督管理】保密行政管理部门负责对涉密网络的安全保护工作进行监督管理,负责对非涉密网络的失泄密行为的监管。发现存在安全隐患,违反保密法律法规,或者不符合保密标准保密的,按照《中华人民共和国保守国家秘密法》和国家保密相关规定处理。
第五十八条【密码监督管理】密码管理部门负责对网络安全等级保护工作中的密码管理进行监督管理,监督检查网络运营者对网络的密码配备、使用、管理和密码评估情况。其中重要涉密信息系统每两年至少开展一次监督检查。监督检查中发现存在安全隐患,或者违反密码管理相关规定,或者不符合密码相关标准规范要求的,按照国家密码管理相关规定予以处理。
第五十九条【行业监督管理】行业主管部门应当组织制定本行业、本领域网络安全等级保护工作规划和标准规范,掌握网络基本情况、定级备案情况和安全保护状况;监督管理本行业、本领域网络运营者开展网络定级备案、等级测评、安全建设整改、安全自查等工作。
行业主管部门应当监督管理本行业、本领域网络运营者依照网络安全等级保护制度和相关标准规范要求,落实网络安全管理和技术保护措施,组织开展网络安全防范、网络安全事件应急处置、重大活动网络安全保护等工作。
第六十条【监督管理责任】网络安全等级保护监督管理部门及其工作人员应当对在履行职责中知悉的国家秘密、个人信息和重要数据严格保密,不得泄露、出售或者非法向他人提供。
第六十一条【执法协助】网络运营者和技术支持单位应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供支持和协助。
第六十二条【网络安全约谈制度】省级以上人民政府公安部门、保密行政管理部门、密码管理部门在履行网络安全等级保护监督管理职责中,发现网络存在较大安全风险隐患或者发生安全事件的,可以约谈网络运营者的法定代表人、主要负责人及其行业主管部门。
第七章 法律责任
第六十三条【违反安全保护义务】网络运营者不履行本条例第十六条,第十七条第一款,第十八条第一款、第二款,第二十条、第二十二条第一款,第二十四条,第二十五条,第二十八条第一款,第三十一条第一款,第三十二条第二款规定的网络安全保护义务的,由公安机关责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第三级以上网络运营者违反本条例第二十一条、第二十二条第二款、第二十三条规定、第二十八条第二款,第三十条第二款,第三十二条第一款规定的,按照前款规定从重处罚。
第六十四条【违反技术维护要求】网络运营者违反本条例第二十九条规定,对第三级以上网络实施境外远程技术维护,未进行网络安全评估、未采取风险管控措施、未记录并留存技术维护日志的,由公安机关和相关行业主管部门依据各自职责责令改正,依照《中华人民共和国网络安全法》第五十九条第一款的规定处罚。
第六十五条【违反数据安全和个人信息保护要求】网络运营者违反本条例第三十一条第二款规定,擅自收集、使用、提供数据和个人信息的,由网信部门、公安机关依据各自职责责令改正,依照《中华人民共和国网络安全法》第六十四条第一款的规定处罚。
第六十六条【网络安全服务责任】违反本条例第二十六条第三款,第二十七条第二款规定的,由公安机关责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿,直至通知发证机关吊销相关业务许可证或者吊销营业执照。
违反本条例第二十七条第二款规定,泄露、非法出售或者向他人提供个人信息的,依照《中华人民共和国网络安全法》第六十四条第二款的规定处罚。
第六十七条【违反执法协助义务】网络运营者违反本条例规定,有下列行为之一的,由公安机关、保密行政管理部门、密码管理部门、行业主管部门和有关部门依据各自职责责令改正;拒不改正或者情节严重的,依照《中华人民共和国网络安全法》第六十九条的规定处罚。
(一)拒绝、阻碍有关部门依法实施的监督检查的;
(二)拒不如实提供有关网络安全保护的数据信息的;
(三)在应急处置中拒不服从有关主管部门统一指挥调度的;
(四)拒不向公安机关、国家安全机关提供技术支持和协助的;
(五)电信业务经营者、互联网服务提供者在重大网络安全事件处置和恢复中未按照本条例规定提供支持和协助的。
第六十八条【违反保密和密码管理责任】违反本条例有关保密管理和密码管理规定的,由保密行政管理部门或者密码管理部门按照各自职责分工责令改正,拒不改正的,给予警告,并通报向其上级主管部门,建议对其主管人员和其他直接责任人员依法给予处分。
第六十九条【监管部门渎职责任】网信部门、公安机关、国家保密行政管理部门、密码管理部门以及有关行业主管部门及其工作人员有下列行为之一,对直接负责的主管人员和其他直接责任人员,或者有关工作人员依法给予处分:
(一)玩忽职守、滥用职权、徇私舞弊的;
(二)泄露、出售、非法提供在履行网络安全等级保护监管职责中获悉的国家秘密、个人信息和重要数据;或者将获取其他信息,用于其他用途的。
第七十条【法律竞合处理】违反本条例规定,构成违反治安管理行为的,由公安机关依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第八章 附 则
第七十一条【术语解释】本条例所称的“内”、“以上”包含本数;所称的“行业主管部门”包含行业监管部门。
第七十二条【军队】军队的网络安全等级保护工作,按照军队的有关法规执行。
第七十三条【生效时间】本条例由自 年 月 日起施行。
信息安全风险评估简要介绍
信息安全风险评估
信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全的风险评估。
风险评估从早期简单的漏洞扫描、人工审计、渗透性测试这种类型的纯技术操作,逐渐过渡到目前普遍采用国际标准的BS7799、ISO17799、国家标准《信息系统安全等级评测准则》等方法,充分体现以资产为出发点、以威胁为触发因素、以技术/管理/运行等方面存在的脆弱性为诱因的信息安全风险评估综合方法及操作模型。
风险评估相关
资产,任何对组织有价值的事物。
威胁,指可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
脆弱点,是指资产或资产组中能背威胁利用的弱点。如员工缺乏信息安全意思,使用简短易被猜测的口令、操作系统本身有安全漏洞等。
风险,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害饿潜在可能性,即特定威胁事件发生的可能性与后果的结合。
风险评估,对信息和信息处理设施的威胁、影响和脆弱点及三者发生的可能性评估。
风险评估也称为风险分析,就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,去顶资产风险等级和优先控制顺序。
信息安全现状
伴随着信息技术的飞速发展,我国高校信息化建设不断取得新的成果,高校信息的安全是学校正常运行的保证。据统计,100%的一类重点本科高校拥有校园网,10%以上的高校已经开始建设数字化校园。各个院校对网络和信息系统的依赖程度越来越大,同时面临的信息安全问题也更加复杂化,如何在有限的人力、物力、财力条件下最大限度保障信息安全是每个院校面临的共同问题。因此,对高校进行信息安全风险评估势在必行。
风险评估目的
风险评估的目的是全面、准确的了解组织机构的网络安全现状,发现系统的安全问题及其可能的危害,为系统最终安全需求的提出提供依据。准确了解组织的网络和系统安全现状。
风险评估工作组织管理
为了更好的了解信息安全状况,根据《信息安全风险评估指南》和GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》要求,总体评估信息化建设风险。
风险评估工作过程
风险评估步骤
风险评估依据标准及法规
《信息安全风险评估指南》
《信息系统安全等级保护测评准则》
《信息系统安全等级保护基本要求》
《信息系统安全保护等级定级指南》(试用版v3.2)
《计算机机房场地安全要求》(GB9361-88)
《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002) 《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)
《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)
《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002) 《计算机信息系统安全等级保护管理要求》(GA/T391-2002)
《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)
综合评价和建议
综合评价
(一)应用科学的方法,针对确定的对象,进行认真仔细的风险分析,同时进 行合理的风险判断。尽管机房运行风险的基本情况已在附表中罗列,但是在实际工作中必须进行具体的风险分析,才能制定出切合实际的防范对策。
(二)确立风险预先处置理念。通过分析机房运行风险可以发现,对机房运行风险要区别对待,因此笔者提出机房运行风险预先处置的理念,即通过科学的防范措施,尽可能避免一级风险的发生,减少二、三级风险的发生。
防范建议
风险转移。将一些可以预见但发生概率较低的风险,通过购买保险、设备维修外包等形式,转移给保险公司和机房设备服务商。如购买财产保险,可将机房风险(机房建筑物风险、火灾风险等)转移给保险公司;通过机房设备外包的方式,可将UPS、精密空调等设备故障风险转移给设备维修服务公司。
科学监控。机房保障系统的运行故障大部分有一个从量变到质变的过程,机房设备的使用寿命也有一定的规律可循,而且机房设备的运行故障必定有其特定的原因。因此,通过健全科学的实时监控措施,对发生故障随机性强的机房保障系统进行长期实时检测,通过对采集的运行参数进行有机分析,可以及时采取有效的规避风险的措施。由实时监控系统组成的预警系统,可以对其监控的设备进行运行状态检测、运行异常警告、运行故障原因分析,从而达到防范运行故障和及时处置风险的目的。
制订应急方案。应对运行风险的目标,是尽可能避免发生运行风险,一旦发生风险就要做到快速反应、快速恢复。要制订一整套科学有效的机房运行风险应急方案,包括如何启动风险处置的报告体系、组建负责人力资源调动和现场协调指挥的组织机构、安排负责处置风险的各方面专业技术人员等内容。制订应急方案时要特别注意实用性,其基本原则是方案要分门别类、描述要直观明确、处置方法要准确详尽,以确保方案能起到较好应急的效果。
总之,高度重视机房运行保障的重要性,客观地认知机房运行规律,科学地应对机房运行风险,不断探索和掌握机房运行维护技术,有效提高机房保障管理水平,就能最大限度地规避机房运行风险,为各种计算机应用系统提供可靠保证。渗透测试介绍
渗透测试的定义
渗透测试(Penetration Testing)是受信任的第三方通过模拟黑客可能使用到的攻击手段和漏洞挖掘技术对目标网络或目标系统的安全性作出风险评估和脆弱性分析并给出安全加固建议的一个测试过程。
渗透测试是站在第三者的角度来思考企业系统的安全性的,通过渗透测试可以发觉企业潜在却未纰漏的安全性问题。企业可以根据测试的结果对内部系统中的不足以及安全脆弱点进行加固以及改善,从而使企业系统变得更加安全,减低企业的风险。
渗透测试按照渗透的方法与视角可以分为以下三类:
黑盒测试
黑盒测试(Black-box Testing)也称为外部测试(External Testing)。采用这种方式时,渗透测试团队将从一个远程网络位置来评估目标网络基础设施,并没有任何目标网络内部拓扑等相关信息,他们完全模拟真实网络环境中的外部攻击者,采用流行的攻击技术与工具,有组织有步骤地对目标组织进行逐步的渗透和入侵,揭示目标网络中一些已知或未知的安全漏洞,并评估这些漏洞能否被利用获取控制权或者操作业务资产损失等。
黑盒测试的缺点是测试较为费时费力,同时需要渗透测试者具备较高的技术能力。优点在于这种类型的测试更有利于挖掘出系统潜在的漏洞以及脆弱环节、薄弱点等
白盒测试
白盒测试(White-box Testing)也称为内部测试(Internal Testing)。进行白盒测试的团队将可以了解到关于目标环境的所有内部和底层知识,因此这可以让渗透测试人员以最小的代价发现和验证系统中最严重的漏洞。白盒测试的实施流程与黑盒测试类似,不同之处在于无须进行目标定位和情报收集,渗透测试人员可以通过正常渠道向被测试单位取得各种资料,包括网络拓扑、员工资料甚至网站程序的代码片段,也可以和单位其他员工进行面对面沟通。
白盒测试的缺点是无法有效的测试客户组织的应急响应程序,也无法判断出他们的安全防护计划对检测特定攻击的效率。优点是在测试中发现和解决安全漏洞所花费的时间和代价要比黑盒测试少很多。
灰盒测试
灰盒测试(Grey-box Testing)是白盒测试和黑盒测试基本类型的组合,它可以提供对目标系统更加深入和全面的安全审查。组合之后的好处就是能够同时发挥两种渗透测试方法的各自优势。在采用灰盒测试方法的外部渗透攻击场景中,渗透测试者也类似地需要从外部逐步渗透进目标网络,但他所拥有的目标网络底层拓扑与架构将有助于更好地决策攻击途径与方法,从而达到更好的渗透测试效果。
渗透测试执行标准(Penetration Testing Execution Standard,PTES)是由安全业界领军企业技术专家共同发起的,期望为企业组织与安全服务提供商设计并制定用来实施渗透测试的通用描述准则。
这个标准可以在任意环境中进行富有成果的渗透测试,它由渗透测试的7个阶段组成:
前期交互
在进行渗透测试之前,渗透测试团队需要与客户就渗透测试目标、渗透测试范围、渗透测试方式(白盒、黑盒、灰盒以及是否涉及社会工程学、DDOS等)、服务合同等细节进行商议,达成一致协议。该阶段是之后进行渗透测试的基础与关键所在。
信息收集
在确定了渗透测试目标以及范围之后,接下来就需要进入信息收集阶段。在这个阶段,渗透测试人员需要使用各种公开的资源尽可能的获取与测试目标相关的信息。可以借助互联网进行信息收集,比如说:官方网站、论坛、博客等渠道。同时也可以借助各大搜索引擎来获取相关信息,比如说:Google、Baidu等。同时也可以借助Kali Linux中的一些工具来对DNS信息、注册人信息、服务信息、WAF信息等进行收集。在这个阶段收集到的信息越充分对之后的渗透测试越有利,渗透测试的成功率也大大提高。
威胁建模
在完成了对目标系统的信息收集工作之后,接下来就是威胁建模阶段了。在这个阶段渗透测试团队需要聚集在一起就获取到的信息进行分析并且做出攻击的规划。这是渗透测试过程中非常重要但是又很容易被忽略的一个关键点。在这个过程中必须要理清思路,确定出最有效、最可行的攻击方案。
漏洞分析
在确定了最可行的攻击方案之后,接下来就需要考虑如何获取目标系统的访问控制权限。这个阶段也被称为漏洞分析阶段。
在这一个阶段,渗透测试人员需要综合分析之前信息收集阶段所获取到的信息,特别是系统类型、系统开启的服务、漏洞扫描的结果等信息,通过可以获取的渗透代码资源找出可以实施渗透攻击的攻击点,并在测试过程中进行验证。在这一阶段渗透测试人员不仅需要验证系统是否存在已知的漏洞,同时也需要去挖掘系统一些潜在的漏洞,并且开发出相应的漏洞利用代码。
渗透攻击
在仔细检查和发现目标系统中的漏洞之后,就可以使用已有的漏洞利用程序对目标系统进行渗透了。但是在一般情况下渗透测试人员都需要考虑到目标系统的环境对漏洞利用程序(exploit)进行修改和额外的研究,否则它就无法正常工作。同时在该阶段也要考虑到对目标系统的安全机制的逃逸,从而避免让目标系统发觉。
后渗透攻击
深度利用阶段是整个渗透测试过程中最能够体现渗透测试团队技术能力的环节。前面的环节可以说都是在按部就班的完成非常普遍的目标,而在这个环节中,需要渗透测试团队根据目标组织的业务经营模式、资产保护模式和安全防御规划的不同特点,资助设计出攻击目标,识别关键基础设施,并寻找客户组织组织最具价值和尝试安全保护的信息和资产,最终达到能够对客户组织造成最重要业务影响的攻击途径。
整个渗透测试的过程最终需要以书面文档的形式向客户提交,这份报告也就是我们常说的渗透测试报告。这份报告涵盖了之前所有阶段中渗透测试团队所获取的到各种有价值信息以及探测和挖掘出来的相关安全漏洞、成功攻击的过程,以及对业务造成的影响后果分析。同时在这个阶段也要对系统中存在的脆弱环节、存在的安全问题给出修复建议。