当前位置: 首页  >> 互联网+  >> 查看详情

《网络安全法》实施五周年:网络安全“防护网”织牢织密

来源: 环球网   日期:2022-06-01  责编: 殷绪江  
分享:
   2022年6月1日是《网络安全法》正式施行五周年。作为我国互联网领域第一部专门法律,《网络安全法》为构建网络安全法律法规体系提供了基础性依据。
   继《网络安全法》实施后,《数据安全法》《个人信息保护法》等法律法规陆续出台,网络安全法治化进程不断演进,构筑了一张新时代的网络安全防护网。
   为何近几年业界格外重视网络空间安全?政策、法规的相继出台在网络安全领域产生了怎样的影响?目前维护网络安全行之有效的手段主要有哪些?针对上述问题,记者与业内人士进行了交流。
构筑网络安全防线势在必行
   谈到网络安全的重要性,远江盛邦(北京)网络安全科技股份有限公司技术副总裁方伟表示,“在现代国家安全观的理论体系下,网络安全是国家安全16个基本面中的一个,而且是非常重要的一个。随着各产业数字化转型进程的快速推进,网络安全已经成为各大领域安全的基础保障,关系着社会运行、科学研究、生产制造和人民生活等方方面面。”
   对于企业而言,随着数字化转型驶入“快车道”,协同办公模式逐渐普及,既有安全策略在新模式下的适配性风险也随之增加。Fortinet 北亚区首席技术顾问谭杰认为,数字化转型的加速,业务与互联网的融合,将海量传统资产及生产过程数字化。IT资产价值、安全风险及潜在损失都在迅速提高,必然要求对安全理念、管理规范、技术能力等进行规范和重构。
   艾媒咨询数据显示,2021年中国协同办公市场规模达264.2亿元,预计2021-2023年,中国协同办公行业将保持每年10%以上的增长率,2023年的市场规模将达330.1亿元。“海量远程办公要求使得无数非IT部门工作人员都直接暴露在信息安全风险面前,也对网络信息安全提出了更高的要求。”谭杰说。
   而从具体行业角度来看,方伟强调,金融、交通、能源、电信等关基行业,以及互联网、电商、物流等平台企业,都需要重点关注网络安全。
   以金融业为例,由于行业相关数据的高敏感性和高价值性,全面保障数据安全和个人信息权益成为金融行业数据治理的新内核。2021年12月,由中国人民银行科技司司长李伟主编的《金融科技发展规划(2022-2025年)》提出,全面加强数据能力建设,在保障安全和隐私前提下推动数据有序共享与综合应用,充分激活数据要素潜能,有力提升金融服务质效。
   对此,亚信安全首席研发官吴湘宁表示,“如今互联网每天新增的恶意代码和恶意网页都在数十万量级,还出现了威胁巨大的勒索软件新型病毒,严重威胁着金融用户的网络安全。与此同时,针对‘外部安全堡垒’建设通常较为完善的金融系统,高级黑客往往借助钓鱼邮件、水坑攻击、勒索病毒等结合社会工程学发动APT攻击,从内部瓦解金融系统坚实的安全堡垒。”
   “在这种安全攻防信息持续不对等的情况下,金融系统一旦被攻破,波及范围和损失都是巨大的。为此,我国密集发布了一系列金融规范和标准,以及《网络安全法》、‘等级保护’中的具体法规条款,都反复强调了人员、制度、防治、容灾、预警机制、应急预案、应急处置等详细要求。这些监管政策不但需要金融机构敬畏、守住底线,更是金融企业品牌、可信度的有力体现,也是网络安全技术持续演化的目标。”吴湘宁说。
网络安全防护仍有“顽疾”
   基于这样的背景,《网络安全法》等一系列法规的出台也有了重要的现实意义和时代价值。吴湘宁告诉记者,“相关法律法规规章的落地,对于我国网络空间安全建设整体起到了非常大的推动作用,切实提升了关键信息基础设施等重点领域、重点目标的安全保障能力,网络安全态势感知、网络攻击追踪溯源、监测预警等技术得到了持续创新和补充,实战演练能力也得到了大力加强。”
   谭杰也表示,“一方面,政策法规的相继出台,指明了安全建设的原则和方向;另一方面,业务与网络的融合,对安全提出了更加专业化、精细化的要求。‘合规’‘业务’双轮驱动,使企业机构对安全建设的重视和投入大大提高,网络安全体系的规范性和全面性也有很大提升。”
   IDC发布的数据显示,2021年中国网络安全相关支出有望达到102.6亿美元。预计到2025年,中国网络安全支出规模将达214.6亿美元。在2021-2025的五年预测期内,中国网络安全相关支出将以20.5%的年复合增长率增长,增速位列全球第一。可以看出,行业正在加速入局,并在网络安全领域持续加码。
   更重要的是,相关部门也在积极部署,加快构建网络安全保障体系。工信部网络安全威胁和漏洞信息共享平台上线运行;工业互联网企业网络安全分类分级管理制度建立;工业互联网安全技术监测体系累计覆盖165个重点工业互联网平台;车联网卡实名登记管理全面实施……
   虽然网络安全“防护网”越织越牢,但值得关注的是,业界还有一系列“顽疾”亟待解决。“部分单位业务迁移缓慢,老旧系统带病运行,存在较大安全隐患;部分行业对热点漏洞跟踪不及时,响应缓慢,给攻击者留下了可乘之机;供应链安全风险难以排除,风险点多,管理困难,需要各个环节高度协同;大众网络安全意识仍然较低,弱口令现象普遍,个人信息保护不足,需持续引导……”方伟举例称,这些都是需要行业继续努力去解决的问题。
   此外,吴湘宁表示,勒索病毒仍被视为全球最大网络威胁之一。根据威瑞森《2021 年数据泄露调查报告》,勒索软件攻击频率在去年翻了一番,占全部网络安全事件的10%。据亚信安全的研究数据,2021年亚信安全共拦截勒索病毒58,412次,在数量增长的同时,其攻击手段、目标和平台也在不断升级,特别是“勒索软件即服务”(RaaS)市场的发展,高级黑客将自己的专业知识售卖给犯罪分子,使得勒索攻击的门槛越来越低。
   据吴湘宁介绍,“双重勒索”攻击也是网络犯罪分子用得越来越多的一种策略。攻击者加密目标系统数据之前会先窃取数据,这样一来,即便受害者有备份数据,勒索软件仍然可以用泄露数据作威胁要求其支付赎金。同时,“双重”勒索还带来了“点名羞辱”的新威胁。
   根据调查数据显示,在收到的勒索软件攻击企业和公共部门机构的100,101份报告中,其中11.6%是由窃取和公布数据的犯罪团伙发起的“点名羞辱”式攻击,这无疑让受害者承受更大的数据泄露压力,同时使得受害者被迫支付赎金的可能性大幅提高。
   通过分析一些案例,亚信安全技术团队还发现,一些APT攻击会披上勒索软件的外套,作为探路的手段,或者逃跑的“烟雾弹”,甚至是作为攻击结束后毁灭踪迹的方法,帮助掩盖和抹去更严重攻击的证据。“例如某些工具表面看似勒索软件,会加密数据、发布勒索通知以及索要赎金,但实际上,这些软件会悄悄删除端点上的数据,同时让防御者相信数据丢失的原因是勒索软件的随机攻击。”吴湘宁说。
网络空间新生态未来可期
   事实上,如今对于网络安全攻防双方而言,一边是“摩拳擦掌”,另一边也同样“跃跃欲试”,双方的博弈日趋激烈。对此,谭杰坦言,“企业往往希望追求一劳永逸的‘黑科技’,但在网络安全建设中,它是不存在的。网络与安全的融合、体系化安全才是网络安全的坚实基础。”
   因此,谭杰建议,企业应将安全能力融入到网络及应用的每一个环节中,包括终端、有线及无线局域网、网络边界、广域网、数据中心(私有云)、公有云、业务应用等。所有环节都应具备信息可视化、安全分析、动态管控处置的能力,杜绝漏洞或短板。
   谭杰同时强调,“安全产品技术应避免碎片化,孤立的单点技术的叠加并非真正的安全解决方案。各个产品和技术间应具备强大的交互能力,包括信息情报交换、联动响应等,从而交织成一张零信任、智能化、自动化的安全网络。”
   方伟进一步表示,从技术手段而言,企业要做到精准检测、精确防御,既要保证风险发现的全面性,又要保证威胁判定的准确性,同时还要做到细粒度的灵活处置,因此机器学习、大数据分析和业务建模等手段需要运用到网络安全实践当中。
   而从安全建设而言,方伟建议,“企业首先要摸清家底,清晰掌握单位自身的网络资产;其次要加强备案和管控,保证网络安全责任到人,业务管理有流程可依;然后做到立体化的安全防护和自动化的安全运营,采用主动检测和被动监测相结合的手段来提升风险发现和防护;最后还要做好应急响应,提升各个安全能力的协同配合能力,做到联防联控。”
   “从国家层面上看,我们需要加快提升应对规模化攻击的防御能力,实现全网安全态势的全面分析和综合展现,为构建和完善国家级安全防护体系奠定基础。”方伟说。
   近年来,我国网络安全顶层设计加速构建,网络安全政策体系日臻完善。据不完全统计,截至2021年6月底,我国已出台关于网络信息安全与数据合规的法律、行政法规等二百多部,形成了覆盖网络安全等级保护、关键信息基础设施保护、数据安全管理、个人信息保护等领域的网络安全法律法规体系。
   在健全完善的法律法规、丰富多样的应用实践、成熟可用的技术等多方生态催化下,我国网络空间环境也将不断优化,为数字经济的高质量发展构筑坚实的底座。





 

【免责声明】: 凡注明 “环球科技网” 字样的图片或文字内容均属于本网站专稿,如需转载图片请保留 “环球科技网” 水印,转载文字内容请注明来源“环球科技网”;凡本网注明“来源:XXX(非环球科技网)”的作品,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其作品内容的实质真实性负责,转载信息版权属于原媒体及作者。如转载内容涉及版权或者其他问题,请投诉至邮箱;1978751725@qq.com 
 
本网公告
环球科技网从不发布负面新闻资讯,也绝不会发布负面信息。如发现负面信息链接请甄别是否为环球科技网所发。
本网系北京伯乐传媒广告有限公司主办、所有。本网唯一域名(www.hqkjw.cn),其它域名链接均为假冒。望广大网民及企业主认真甄别。


咨询、采访、合作、投稿等请致电:13911566744(含微信)

     
 


 

相关新闻

  • 最低6元即可更改IP地址?360安全专家称可能会造成隐私泄露 最低6元即可更改IP地址?360安全专家称可能会造成隐私泄露 2022-05-18 16:46:10

       近日,微博、抖音、今日头条、快手、知乎、小红书等各大平台宣布上线IP归属地功能。这一功能上线让很多大V现出原形,很多说在国外的博主,IP属地却显示是在国内。也因此,付费IP代理生意开始爆火,最低6元即可更改IP。    修改IP地址的原理是什么?是否会对用户造成安全隐患?360安全专家葛健对记者表示,修改IP其... [阅读]

  • 共筑网络安全防线 守护网络空间精神家园 共筑网络安全防线 守护网络空间精神家园 2021-10-14 11:22:25

       随着数字化、网络化、智能化深入推进,网络安全对国家总体安全、经济社会运行、人民生产生活的影响愈加凸显。10月11日至17日,以“网络安全为人民,网络安全靠人民”为主题的2021年国家网络安全宣传周主场活动在陕西西安举行。自2014年以来,中央网信办等十部门共同连续举办国家网络安全宣传周,有效提升了全民网络安全... [阅读]

  • 首届“陇剑杯”网络安全大赛启动报名 首届“陇剑杯”网络安全大赛启动报名 2021-08-20 14:55:06

       近日,首届“陇剑杯”网络安全大赛启动报名。大赛由公安部网络安全保卫局指导,甘肃省委网信办、甘肃省公安厅、甘肃省百万职工职业技能素质提升活动组委会联合主办,兰州新区管理委员会承办,北京永信至诚科技股份有限公司提供技术支持。   作为国家级网络安全大赛,“陇剑杯”首次聚焦数字安全防御,结合大数据、... [阅读]

  • CNIC&Coremail邮件安全联合实验室在京正式成立 CNIC&Coremail邮件安全联合实验室在京正式成立 2021-07-15 10:16:49

       近日,由中国科学院计算机网络信息中心与Coremail论客共同创建的“邮件安全联合实验室”在北京正式挂牌成立。    中国科学院计算机网络信息中心纪委书记蔺占兵、Coremail副总裁何园共同为邮件安全联合实验室揭牌。同时,中国科学院计算机网络信息中心和Coremail双方团队的核心成员... [阅读]

新闻排行榜