在瑞星发布的《2015年上半年中国信息安全报告》里显示,2015上半年,网络色情事件频发,色情病毒APP、色情钓鱼网站、色情贴吧微信诈骗,都已形成规模巨大的产业链,使网民蒙受高额经济损失。而携程网瘫痪事件更是凸显了国内企业在信息安全管理上依然问题多多。
《中华人民共和国网络安全法(草案)》(简称“《草案》”)的公布,不仅为保护个人用户网络安全提供了法律依据,更能有效提高企业的网络安全建设。
本次《草案》对关键信息基础设施安全的相关规定,覆盖了主管部门、相关法律法规(如等保、分保)、国家标准、安全体系、人员职责、技能、培训、技术设施设备、专业安全产品、应急预案、安全演练、采购标准等等方面。瑞星安全专家唐威认为“从目前的草案看,对基础设施安全的相关规定在宏观上是非常全面的。”
“草案的相关规定非常全面,但落实和细则则是一项庞大的系统工程,里面包括的内容太多了。”唐威表示,《草案》里的每一项要做精做细都需要政府、企业、第三方机构花费大量的人力物力及时间成本进行投入,而且在安全方面,没有一劳永逸的事,安全是一个平衡,需要不断的发展完善。
《草案》第三章第二节重点介绍了针对关键信息基础设施的运行安全包括了哪些内容,从这些内容看,无论是设施的准入、审核、还是安全产品、数据、相对安全水平等方面,都需要大量的专业人员参与,引入专业的第三方机构可以相对快速的保障《草案》相关规定的执行。
唐威在接受赛迪网的采访过程中,当被问及“目前是否有足够合格的第三方专业机构能够对关键信息基础设施运营者的网络安全性和可能存在的风险进行检测评估”时表示,“应该是有的,例如信息安全服务资质水平认证企业”。其实,瑞星公司就拥有这方面资质和大量服务经验。瑞星自2000年开始,就针对大型网络、政府、军队、能源、金融等重点用户提供过专业的信息安全服务,包括信息安全平台构建、信息安全情况通告、安全检测评估、安全加固、培训、咨询和应急响应等等。瑞星能够依据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》,对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评。
现在关键信息基础设施运营者大多拥有成熟的IT体系,所以从设备、软件、对内服务、对外服务、安全体系、安全制度、存在的安全问题等方面大型企事业单位都应该给出达到某一标准下的具体时间表。
那么安全预警信息能否保证让所有应该看到的人都及时看到呢?唐威认为针对不同情况、不同预警内容,应该有所区分。例如,对于整个网络下的整体安全态势、紧急安全问题等信息可以针对整个网络完全公开,但对于关键部门、单位或领域,因为存在保密原则,不能对所有人公开,这块应该有全面系统的制度体系和人员权责划分,“相关负责单位、负责人、不同权限的人员应该掌握本人权限内容的信息。”
对于保障安全应急预案有效性的问题,唐威提出需要进行模拟安全演练,只有不断进行最真实的演练,才能发现问题、解决问题,从而验证预案的有效性。“类似于我们军队的实兵演习,只有通过不断真实的模拟红蓝双方,进行真实的演习,才能检验有效性。”
