提及“间谍”这个词,大众的印象往往都还停留在《伪装者》、《碟中谍》等剧中塑造的形象上,认为间谍与自己相距甚远,但却不知,其实境外间谍针对我国的刀光剑影从未停止。11月22日,央视《焦点访谈》栏目就《中华人民共和国反间谍法实施细则》颁布一周年,制作了反间防谍主题节目《网上谍影》。没有网络安全,就没有国家安全。随着互联网的广泛应用,互联网逐渐成为了境外间谍情报机关窃取我国家机密的重要渠道,危害我国家安全的事件时有发生。维护网络安全和国家秘密安全,是各级涉密单位、涉密人员乃至全社会的共同责任。
国家关键信息泄露,看不见的网络世界也刀光剑影
2018年以来,境外间谍情报机关对我国党政机关、科研院所、军工单位等实施了多轮次大规模的网络攻击窃密活动,造成我国境内数百台计算机设备被攻击控制,数十万份文档资料被窃取,涉及政治、经济、军事、外交、科技等多个领域。在本期《网上谍影》中,讲述了三起政企单位因为网络安全问题泄露国家重要机密信息的案例。
针对焦点访谈提及的这三类政企单位信息安全泄露问题,笔者采访了知道创宇政企产品线安全专家肖磊,针对政企单位如何避免信息泄露问题,以及如何构建政企单位自身的网络安全防护体系做出了详细解读。
国家对网络安全和信息安全保护方面有哪些政策和法规要求?
首先是等级保护制度,我国从1997年开始实行计算机信息系统等级保护制度,随着网络安全等级保护条例(征求意见稿)的发布,等级保护也进入了2.0时代,我们看到等级保护的内涵发生了较大的变化,变化体现在保护范围、保护内容、建设的具体要求都有一定的变化,如保护范围从计算机信息系统到信息系统再到网络安全,其范围是在不断扩大的,随之而来的是保护内容也出现了扩大。
其次,《网络安全法》的颁布和实施,社会各界对网络安全的重视程度有所提升。网络安全也有法可依了,这算一个质的飞跃,政企事业单位只要有相关的网络资产和业务承载系统,都需要进行等级保护,且对网络运营者的责任进行了界定,如果不遵守等级保护的要求,网络运营者肯定会受到相应的处罚。如果政企事业单位的信息系统属于关键信息基础设施,那就需要在等级保护基础上增强防护。《关键信息基础设施保护条例》(征求意见稿)是网络安全法的延伸,针对影响国计民生的行业,根据特定的业务需求,针对网络和信息方面的保护也做了进一步的要求。
最后就是各行各业根据行业特点,在等保和《网络安全法》的基础上做了进一步细化,如电力行业2014年电信行业颁布了《关于电信行业的网络安全和信息安全的管理办法》,还有18年国家能源局也颁布了《加强电力行业网络安全指导意见》。
此外,政企事业单位也有前瞻性、目标性的软约束,如《国家十三五信息安全规划》就对安全立法做了相应的规划,未来将出台《个人信息保护法》,《未成年保护条例》,以及《密码法》等相应的法律,一旦这些法律条文出台,政企就需要针对相应的安全风险采取相应的防护手段。
除了政策和法规之外,国家也在相应的技术层面推动网络安全和信息保护,比如说最近的IP v6的规模部署和这个行动计划,因为IPv6是强制要求进行加密,它相比IP4更安全,尤其对政府和大型的商业网站和应用,要求强制性的上IP v6,在今年年底要求完成,这也是一个强制性的合规性要求。
随着互联网的发展和应用,目前国内的政企单位安全意识和安全能力水平如何?
国内的政企在安全意识和安全能力上是有较大的提升的,可以从三个方面看,一个是刚才提到的政策推动,就是不管愿意不愿意,等保要求你必须执行。这个是顶层设计的要求,并且如果你不符合相关要求,比如说网络安全每年的公安检查,如果检查到信息系统不符合安全要求,或者是一旦出现网络安全事件你没有进行相应的等保建设,那么不管是公司还是网络安全负责人都会受到相应的惩罚,尤其是政府单位,这个是后果非常严重的。第二点是在国家网络安全周的宣贯下,国内安全公司的安全能力也逐渐跟上了国际一线水平,并在一些领域实现了弯道超车,我国的杀毒软件,在国际上参加评级评奖都获得了很出色的成绩,另一方面,国内云安全领域的一些企业,包括知道创宇,也跟随着咱们国内的企业开始出海,然后开始为走出去的企业保驾护航。
第三点的话,随着移动互联网的普及,一旦出现安全事件,信息的传播是非常快的,一些政企单位得到通知就会迅速进行自检。检查自身是否会面临同样的风险,然后进行查漏补缺。
不过,我们也应该看到政企单位的安全技术团队能力有限,大部分的小型企业和中端的政府部门都没有自己的安全团队,即使他们拥有较强的安全意识,但是缺乏相应的抓手,知道可能存在信息泄露的问题,但是不具体了解问题出现的来源,此外对安全的认知还停留在碎片化的层级,没有形成整体规划的安全思路和思维。
这个也跟网络安全市场上的宣传有很大关系,目前安全的大概念被包装出来很多细分的内容,造成一些单位无所适从,他们无法鉴别和选择更适合自己的安全产品,不了解产品之间的差异,如果一个企业花费了很大的成本采购了一套安全设备, 但是却没有起到想象中的防护效果,这就会对信心造成极大打击。也就是说虽然整体的安全意识有较大的提高,但是在纵深的层次上,他还没有达到一定的高度。
安全问题一般是怎样出现的?尤其对涉密的政企单位来说,又有哪些方面需要重点防范?
安全问题的来源主要是两种,一部分是外部的,一部分是内部造成的。外部就是说,比如你的系统本身比较脆弱存在一些漏洞,系统没有及时打补丁或者提供解决方案,就有可能会被别有用心的人利用,然后进入你的系统进行内网渗透。而内部造成的安全问题可能是别人发送钓鱼邮件,然后你点一下邮件之后可能就被对方获取了你的信息,然后对方会以此为跳板的,进一步的进入你的系统,然后去获取更大的信息;还有一类的就是内部管理制度没有建立起来,对于系统的操作权限没有明确的界定,导致没有权限的人获取了不该获得信息;再有一类是无意识的泄露,如很多企业为了便利性需求,都使用企业微信进行办公,无意识的就把重要文档泄露给第三方无关人员了。
一般涉密政企单位都是隔离网,觉得进行物理隔离和加密就比较安全了,但是在现在安全攻击黑客越来越专业和攻击来源不确定性的背景下,涉密网络也越来越不安全了,而且因为隔离导致系统升级不够及时,一旦出现安全风险,在内部的传播速度是比较快的,比如今年爆发的勒索病毒,同时涉密网络中一机两用的现象也比较普遍。针对涉密信息系统的保护在原有加密和隔离的基础,我们建议及时升级系统,采购新的安全设备或服务,如在终端上部署企业终端管理系统,对流量中的威胁进行检测等多种防护手段来增强防护。同时需要构建安全管理制度,严格规范员工的日常行为,明确责任,并进行日常安全宣贯。
政企单位应该如何构建自身的网络安全跟信息安全防护机制?
前线战事告急 大批F-16战机猛烈空袭 一支航
我国成功发射第四十五颗北斗导航卫星 东方