关键信息基础设施安全如何保障？专家:建立智能防护网络安全体系

　　图为论坛现场。

　　正义网天津9月18日电(见习记者 单鸽)9月17日,2019国家网络安全宣传周“关键信息基础设施安全保护分论坛”在天津举行。本次论坛以“关键信息基础设施安全保护与检查评估”为主题,从政策、防护技术和行业实践等角度,全面介绍了我国当前关键信息基础设施保护和检查工作政策、标准、实践等内容,探讨了金融、能源、电力、通信、交通等领域关键信息基础设施面临的最新变化。

　　根据《中华人民共和国网络安全法》的有关规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。

　　关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。但与会专家表示,基础设施中系统的大规模集成、互联使得基础设施的脆弱性和安全威胁不再是简单的线性叠加,在有组织的、高强度攻击面前,关键信息基础设施面临着巨大挑战。因此,建立可知可信、可管可控、智能防护的网络安全体系已经成为业内共识。并且随着《中华人民共和国网络安全法》的出台,针对关键信息基础设施的安全风险进行检测评估也势在必行。

　　国家互联网应急中心(CNCERT)关键信息基础设施安全保护专家杨鹏认为,要构建关键信息基础设施安全管理秩序,维护网络空间有序运行,需要将技术与管理手段相结合,一方面,加强内部自身能力建设,建立与管理思路配套的技术平台;另一方面,建设分层次防御体系,依托全社会力量,构建关键信息基础设施外部保护屏障。

　　根据银行业关键信息基础设施安全保护实践,中国人民银行网络安全专家袁慧萍认为,要持续改进风险管理模式,健全跨部门互联网协同安全体系,持续完善配置基线档案管理制度体系形成等保测评问题整改长效机制。

　　“对于终端安全的管理需要更加关注,因为超过85%的网络安全事件威胁来自终端。”袁慧萍表示。对此,她建议建立一体化终端安全管理系统,统一策略管控、统一资产管理、统一数据展示。实现国产化、一体化、策略化、强准化、可视化。。

　　来自奇安信科技集团的安全专家韩永刚则表示,现如今,网络空间挑战已经从普通网络犯罪到组织化攻击,从通用攻击转向专门定向攻击,新一代信息化建设以数据共享为基础数据与业务应用成为了攻击者的新目标。

　　“网络安全不再是创口贴、检查者,而是帮助业务进行准备,做好业务支持的角色。”韩永刚表示,“通过‘关口前移’,实现安全与信息化的深度结合和全面覆盖,构建信息化系统的‘内生安全’能力,为信息化投资和业务运营提供保障。”

　　在落实关键信息基础设施网络安全检查中,国家互联网应急中心(CNCERT)网络安全检查测评专家陈亮认为应避免可能出现的检查对象不清、监管职责模糊、检查交叉重复、走形式走过场、只检查不负责等问题。“各行业主管部门应依据《中华人民共和国网络安全法》认真梳理监管范围内的网络运营者,组织开展抽查检,确定检查对象、明确检查事项、实施检查人员,可视工作需要委托专业检查服务机构开展网络安全检查。”陈亮说道。

　　论坛还发布了关键信息基础设施安全检查评估技术支撑平台。该平台通过与国家监测平台的威胁情报、知识库对接,能够做到关键信息基础设施网络安全风险的快速发现和处置协同闭环,帮助关键信息基础设施及时发现网络威胁,提升关键信息基础设施网络安全检查评估能力。