提及“間諜”這個詞,大眾的印象往往都還停留在《偽裝者》、《碟中諜》等劇中塑造的形象上,認(rèn)為間諜與自己相距甚遠(yuǎn),但卻不知,其實境外間諜針對我國的刀光劍影從未停止。11月22日,央視《焦點訪談》欄目就《中華人民共和國反間諜法實施細(xì)則》頒布一周年,制作了反間防諜主題節(jié)目《網(wǎng)上諜影》。沒有網(wǎng)絡(luò)安全,就沒有國家安全。隨著互聯(lián)網(wǎng)的廣泛應(yīng)用,互聯(lián)網(wǎng)逐漸成為了境外間諜情報機關(guān)竊取我國家機密的重要渠道,危害我國家安全的事件時有發(fā)生。維護(hù)網(wǎng)絡(luò)安全和國家秘密安全,是各級涉密單位、涉密人員乃至全社會的共同責(zé)任。
國家關(guān)鍵信息泄露,看不見的網(wǎng)絡(luò)世界也刀光劍影
2018年以來,境外間諜情報機關(guān)對我國黨政機關(guān)、科研院所、軍工單位等實施了多輪次大規(guī)模的網(wǎng)絡(luò)攻擊竊密活動,造成我國境內(nèi)數(shù)百臺計算機設(shè)備被攻擊控制,數(shù)十萬份文檔資料被竊取,涉及政治、經(jīng)濟(jì)、軍事、外交、科技等多個領(lǐng)域。在本期《網(wǎng)上諜影》中,講述了三起政企單位因為網(wǎng)絡(luò)安全問題泄露國家重要機密信息的案例。
針對焦點訪談提及的這三類政企單位信息安全泄露問題,筆者采訪了知道創(chuàng)宇政企產(chǎn)品線安全專家肖磊,針對政企單位如何避免信息泄露問題,以及如何構(gòu)建政企單位自身的網(wǎng)絡(luò)安全防護(hù)體系做出了詳細(xì)解讀。
國家對網(wǎng)絡(luò)安全和信息安全保護(hù)方面有哪些政策和法規(guī)要求?
首先是等級保護(hù)制度,我國從1997年開始實行計算機信息系統(tǒng)等級保護(hù)制度,隨著網(wǎng)絡(luò)安全等級保護(hù)條例(征求意見稿)的發(fā)布,等級保護(hù)也進(jìn)入了2.0時代,我們看到等級保護(hù)的內(nèi)涵發(fā)生了較大的變化,變化體現(xiàn)在保護(hù)范圍、保護(hù)內(nèi)容、建設(shè)的具體要求都有一定的變化,如保護(hù)范圍從計算機信息系統(tǒng)到信息系統(tǒng)再到網(wǎng)絡(luò)安全,其范圍是在不斷擴(kuò)大的,隨之而來的是保護(hù)內(nèi)容也出現(xiàn)了擴(kuò)大。
其次,《網(wǎng)絡(luò)安全法》的頒布和實施,社會各界對網(wǎng)絡(luò)安全的重視程度有所提升。網(wǎng)絡(luò)安全也有法可依了,這算一個質(zhì)的飛躍,政企事業(yè)單位只要有相關(guān)的網(wǎng)絡(luò)資產(chǎn)和業(yè)務(wù)承載系統(tǒng),都需要進(jìn)行等級保護(hù),且對網(wǎng)絡(luò)運營者的責(zé)任進(jìn)行了界定,如果不遵守等級保護(hù)的要求,網(wǎng)絡(luò)運營者肯定會受到相應(yīng)的處罰。如果政企事業(yè)單位的信息系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施,那就需要在等級保護(hù)基礎(chǔ)上增強防護(hù)?!蛾P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》(征求意見稿)是網(wǎng)絡(luò)安全法的延伸,針對影響國計民生的行業(yè),根據(jù)特定的業(yè)務(wù)需求,針對網(wǎng)絡(luò)和信息方面的保護(hù)也做了進(jìn)一步的要求。
最后就是各行各業(yè)根據(jù)行業(yè)特點,在等保和《網(wǎng)絡(luò)安全法》的基礎(chǔ)上做了進(jìn)一步細(xì)化,如電力行業(yè)2014年電信行業(yè)頒布了《關(guān)于電信行業(yè)的網(wǎng)絡(luò)安全和信息安全的管理辦法》,還有18年國家能源局也頒布了《加強電力行業(yè)網(wǎng)絡(luò)安全指導(dǎo)意見》。
此外,政企事業(yè)單位也有前瞻性、目標(biāo)性的軟約束,如《國家十三五信息安全規(guī)劃》就對安全立法做了相應(yīng)的規(guī)劃,未來將出臺《個人信息保護(hù)法》,《未成年保護(hù)條例》,以及《密碼法》等相應(yīng)的法律,一旦這些法律條文出臺,政企就需要針對相應(yīng)的安全風(fēng)險采取相應(yīng)的防護(hù)手段。
除了政策和法規(guī)之外,國家也在相應(yīng)的技術(shù)層面推動網(wǎng)絡(luò)安全和信息保護(hù),比如說最近的IP v6的規(guī)模部署和這個行動計劃,因為IPv6是強制要求進(jìn)行加密,它相比IP4更安全,尤其對政府和大型的商業(yè)網(wǎng)站和應(yīng)用,要求強制性的上IP v6,在今年年底要求完成,這也是一個強制性的合規(guī)性要求。
隨著互聯(lián)網(wǎng)的發(fā)展和應(yīng)用,目前國內(nèi)的政企單位安全意識和安全能力水平如何?
國內(nèi)的政企在安全意識和安全能力上是有較大的提升的,可以從三個方面看,一個是剛才提到的政策推動,就是不管愿意不愿意,等保要求你必須執(zhí)行。這個是頂層設(shè)計的要求,并且如果你不符合相關(guān)要求,比如說網(wǎng)絡(luò)安全每年的公安檢查,如果檢查到信息系統(tǒng)不符合安全要求,或者是一旦出現(xiàn)網(wǎng)絡(luò)安全事件你沒有進(jìn)行相應(yīng)的等保建設(shè),那么不管是公司還是網(wǎng)絡(luò)安全負(fù)責(zé)人都會受到相應(yīng)的懲罰,尤其是政府單位,這個是后果非常嚴(yán)重的。第二點是在國家網(wǎng)絡(luò)安全周的宣貫下,國內(nèi)安全公司的安全能力也逐漸跟上了國際一線水平,并在一些領(lǐng)域?qū)崿F(xiàn)了彎道超車,我國的殺毒軟件,在國際上參加評級評獎都獲得了很出色的成績,另一方面,國內(nèi)云安全領(lǐng)域的一些企業(yè),包括知道創(chuàng)宇,也跟隨著咱們國內(nèi)的企業(yè)開始出海,然后開始為走出去的企業(yè)保駕護(hù)航。
第三點的話,隨著移動互聯(lián)網(wǎng)的普及,一旦出現(xiàn)安全事件,信息的傳播是非??斓?一些政企單位得到通知就會迅速進(jìn)行自檢。檢查自身是否會面臨同樣的風(fēng)險,然后進(jìn)行查漏補缺。
不過,我們也應(yīng)該看到政企單位的安全技術(shù)團(tuán)隊能力有限,大部分的小型企業(yè)和中端的政府部門都沒有自己的安全團(tuán)隊,即使他們擁有較強的安全意識,但是缺乏相應(yīng)的抓手,知道可能存在信息泄露的問題,但是不具體了解問題出現(xiàn)的來源,此外對安全的認(rèn)知還停留在碎片化的層級,沒有形成整體規(guī)劃的安全思路和思維。
這個也跟網(wǎng)絡(luò)安全市場上的宣傳有很大關(guān)系,目前安全的大概念被包裝出來很多細(xì)分的內(nèi)容,造成一些單位無所適從,他們無法鑒別和選擇更適合自己的安全產(chǎn)品,不了解產(chǎn)品之間的差異,如果一個企業(yè)花費了很大的成本采購了一套安全設(shè)備, 但是卻沒有起到想象中的防護(hù)效果,這就會對信心造成極大打擊。也就是說雖然整體的安全意識有較大的提高,但是在縱深的層次上,他還沒有達(dá)到一定的高度。
安全問題一般是怎樣出現(xiàn)的?尤其對涉密的政企單位來說,又有哪些方面需要重點防范?
安全問題的來源主要是兩種,一部分是外部的,一部分是內(nèi)部造成的。外部就是說,比如你的系統(tǒng)本身比較脆弱存在一些漏洞,系統(tǒng)沒有及時打補丁或者提供解決方案,就有可能會被別有用心的人利用,然后進(jìn)入你的系統(tǒng)進(jìn)行內(nèi)網(wǎng)滲透。而內(nèi)部造成的安全問題可能是別人發(fā)送釣魚郵件,然后你點一下郵件之后可能就被對方獲取了你的信息,然后對方會以此為跳板的,進(jìn)一步的進(jìn)入你的系統(tǒng),然后去獲取更大的信息;還有一類的就是內(nèi)部管理制度沒有建立起來,對于系統(tǒng)的操作權(quán)限沒有明確的界定,導(dǎo)致沒有權(quán)限的人獲取了不該獲得信息;再有一類是無意識的泄露,如很多企業(yè)為了便利性需求,都使用企業(yè)微信進(jìn)行辦公,無意識的就把重要文檔泄露給第三方無關(guān)人員了。
一般涉密政企單位都是隔離網(wǎng),覺得進(jìn)行物理隔離和加密就比較安全了,但是在現(xiàn)在安全攻擊黑客越來越專業(yè)和攻擊來源不確定性的背景下,涉密網(wǎng)絡(luò)也越來越不安全了,而且因為隔離導(dǎo)致系統(tǒng)升級不夠及時,一旦出現(xiàn)安全風(fēng)險,在內(nèi)部的傳播速度是比較快的,比如今年爆發(fā)的勒索病毒,同時涉密網(wǎng)絡(luò)中一機兩用的現(xiàn)象也比較普遍。針對涉密信息系統(tǒng)的保護(hù)在原有加密和隔離的基礎(chǔ),我們建議及時升級系統(tǒng),采購新的安全設(shè)備或服務(wù),如在終端上部署企業(yè)終端管理系統(tǒng),對流量中的威脅進(jìn)行檢測等多種防護(hù)手段來增強防護(hù)。同時需要構(gòu)建安全管理制度,嚴(yán)格規(guī)范員工的日常行為,明確責(zé)任,并進(jìn)行日常安全宣貫。
政企單位應(yīng)該如何構(gòu)建自身的網(wǎng)絡(luò)安全跟信息安全防護(hù)機制?
隨著互聯(lián)網(wǎng)+的推進(jìn),現(xiàn)在很多的業(yè)務(wù)都搬上互聯(lián)網(wǎng)了,不管從服務(wù)效率還是競爭力考慮,互聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)成為了很好的服務(wù)抓手。但是網(wǎng)上承載的業(yè)務(wù)越多,所包含的敏感信息也就越多,風(fēng)險性是逐漸增長的。那么不同體量的政企單位如何構(gòu)建自己的安全防護(hù)機制呢?對于大型的政企單位而言,他本身的資產(chǎn)規(guī)模比較大,需要防護(hù)的內(nèi)容也比較多,建設(shè)信息安全防護(hù)機制可能周期也較長。這個時候一旦出現(xiàn)信息泄漏,影響范圍是比較大的。 所以大型的政企單位應(yīng)該建立態(tài)勢感知體系,目前無論是從政策角度還是從實踐的角度,態(tài)勢感知都可以對企業(yè)的業(yè)務(wù)資產(chǎn)進(jìn)行持續(xù)性的監(jiān)控,無論是流量、資產(chǎn)還是終端可以全方位的監(jiān)測風(fēng)險點。針對每個不同的風(fēng)險點進(jìn)行一個整體的規(guī)劃來保護(hù)信息安全。
針對小型體量的政企單位,它組織結(jié)構(gòu)也比較簡單,同時也沒有相應(yīng)的安全團(tuán)隊,這種情況建議他們從市場采購SaaS服務(wù),會比較節(jié)省資源,也不需要后期的運維。SaaS服務(wù)尤其是針對小型的事業(yè)單位來說,它本身一般都具有主機防護(hù),數(shù)據(jù)庫防護(hù),還有這個云端的web系統(tǒng)防護(hù),web系統(tǒng)呢,因為主要是對外的,一般會成為別人主要的攻擊的一個點。應(yīng)用了SaaS服務(wù),你只需要簡單的幾步,比如說你通過DNS指向接入云防護(hù)平臺,后期的所有的運維和威脅報告等等數(shù)據(jù),都是由這個SaaS服務(wù)商提供的。對企業(yè)來說就是沒有消息就是最好的消息,沒有消息就意味著你沒有出現(xiàn)任何的安全風(fēng)險。
作為知名的網(wǎng)絡(luò)安全企業(yè),知道創(chuàng)宇如何幫助政企單位構(gòu)建安全體系的?
知道創(chuàng)宇作為行業(yè)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全企業(yè),也有一些成功的經(jīng)驗和成熟的產(chǎn)品可以給大家借鑒。從兩個維度來說,一個是結(jié)合企業(yè)體量來看一個是從企業(yè)的具體業(yè)務(wù)需求來看。比如說企業(yè)已經(jīng)建設(shè)好了一部分內(nèi)容的話,可以考慮采購一些安全的模塊,目前知道創(chuàng)宇的安全產(chǎn)品已經(jīng)全面覆蓋了云、管、端,有一系列的產(chǎn)品能夠完全滿足政企單位的安全需求。
對于大型企事業(yè)單位,知道創(chuàng)宇能夠從態(tài)勢感知能力上對他們進(jìn)行支撐。知道創(chuàng)宇的態(tài)勢感知產(chǎn)品目前已經(jīng)被多地市的公關(guān)、政府和企業(yè)采用,我們的態(tài)勢感知不僅是能夠從資產(chǎn)普查這個角度,從流量的角度,終端應(yīng)用的一個角度,然后呢同時還可以對接第三方的數(shù)據(jù)源,第三方數(shù)據(jù)源對接到我們的態(tài)勢感知平臺上進(jìn)行綜合的分析,最終以可視化的形式進(jìn)行展現(xiàn)。同時還可以對安全風(fēng)險、安全事件進(jìn)行通報預(yù)警,并且與我們的情報系統(tǒng)進(jìn)行關(guān)聯(lián),能夠?qū)@個攻擊進(jìn)行溯源。
對于中小型政企單位來說,我們還有諸多的安全模塊可以提供給政企單位,目前也有眾多重量級單位應(yīng)用。比如說像知道創(chuàng)宇的云安全防護(hù)平臺,目前知道創(chuàng)宇云安全是國內(nèi)市場占有率第一的云安全平臺,然后從上線到現(xiàn)在,沒有發(fā)生過一例被黑事件,在云安全平臺背后也有知道創(chuàng)宇專業(yè)的安全團(tuán)隊運維,然后24小時對平臺進(jìn)行維護(hù)?;旧夏芏伦∫磺胁还苁侵暗囊阎┒催€是未知漏洞,能為政企單位提供強有力的保護(hù),確保信息不被泄露。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!