《网络安全法》实施五周年:网络安全“防护网”织牢织密
来源:
环球网
日期:2022-06-01
责编:
殷绪江
2022年6月1日是《网络安全法》正式施行五周年。作为我国互联网领域第一部专门法律,《网络安全法》为构建网络安全法律法规体系提供了基础性依据。
继《网络安全法》实施后,《数据安全法》《个人信息保护法》等法律法规陆续出台,网络安全法治化进程不断演进,构筑了一张新时代的网络安全防护网。
为何近几年业界格外重视网络空间安全?政策、法规的相继出台在网络安全领域产生了怎样的影响?目前维护网络安全行之有效的手段主要有哪些?针对上述问题,记者与业内人士进行了交流。
构筑网络安全防线势在必行
谈到网络安全的重要性,远江盛邦(北京)网络安全科技股份有限公司技术副总裁方伟表示,“在现代国家安全观的理论体系下,网络安全是国家安全16个基本面中的一个,而且是非常重要的一个。随着各产业数字化转型进程的快速推进,网络安全已经成为各大领域安全的基础保障,关系着社会运行、科学研究、生产制造和人民生活等方方面面。”
对于企业而言,随着数字化转型驶入“快车道”,协同办公模式逐渐普及,既有安全策略在新模式下的适配性风险也随之增加。Fortinet 北亚区首席技术顾问谭杰认为,数字化转型的加速,业务与互联网的融合,将海量传统资产及生产过程数字化。IT资产价值、安全风险及潜在损失都在迅速提高,必然要求对安全理念、管理规范、技术能力等进行规范和重构。
艾媒咨询数据显示,2021年中国协同办公市场规模达264.2亿元,预计2021-2023年,中国协同办公行业将保持每年10%以上的增长率,2023年的市场规模将达330.1亿元。“海量远程办公要求使得无数非IT部门工作人员都直接暴露在信息安全风险面前,也对网络信息安全提出了更高的要求。”谭杰说。
而从具体行业角度来看,方伟强调,金融、交通、能源、电信等关基行业,以及互联网、电商、物流等平台企业,都需要重点关注网络安全。
以金融业为例,由于行业相关数据的高敏感性和高价值性,全面保障数据安全和个人信息权益成为金融行业数据治理的新内核。2021年12月,由中国人民银行科技司司长李伟主编的《金融科技发展规划(2022-2025年)》提出,全面加强数据能力建设,在保障安全和隐私前提下推动数据有序共享与综合应用,充分激活数据要素潜能,有力提升金融服务质效。
对此,亚信安全首席研发官吴湘宁表示,“如今互联网每天新增的恶意代码和恶意网页都在数十万量级,还出现了威胁巨大的勒索软件新型病毒,严重威胁着金融用户的网络安全。与此同时,针对‘外部安全堡垒’建设通常较为完善的金融系统,高级黑客往往借助钓鱼邮件、水坑攻击、勒索病毒等结合社会工程学发动APT攻击,从内部瓦解金融系统坚实的安全堡垒。”
“在这种安全攻防信息持续不对等的情况下,金融系统一旦被攻破,波及范围和损失都是巨大的。为此,我国密集发布了一系列金融规范和标准,以及《网络安全法》、‘等级保护’中的具体法规条款,都反复强调了人员、制度、防治、容灾、预警机制、应急预案、应急处置等详细要求。这些监管政策不但需要金融机构敬畏、守住底线,更是金融企业品牌、可信度的有力体现,也是网络安全技术持续演化的目标。”吴湘宁说。
网络安全防护仍有“顽疾”
基于这样的背景,《网络安全法》等一系列法规的出台也有了重要的现实意义和时代价值。吴湘宁告诉记者,“相关法律法规规章的落地,对于我国网络空间安全建设整体起到了非常大的推动作用,切实提升了关键信息基础设施等重点领域、重点目标的安全保障能力,网络安全态势感知、网络攻击追踪溯源、监测预警等技术得到了持续创新和补充,实战演练能力也得到了大力加强。”
谭杰也表示,“一方面,政策法规的相继出台,指明了安全建设的原则和方向;另一方面,业务与网络的融合,对安全提出了更加专业化、精细化的要求。‘合规’‘业务’双轮驱动,使企业机构对安全建设的重视和投入大大提高,网络安全体系的规范性和全面性也有很大提升。”
IDC发布的数据显示,2021年中国网络安全相关支出有望达到102.6亿美元。预计到2025年,中国网络安全支出规模将达214.6亿美元。在2021-2025的五年预测期内,中国网络安全相关支出将以20.5%的年复合增长率增长,增速位列全球第一。可以看出,行业正在加速入局,并在网络安全领域持续加码。
更重要的是,相关部门也在积极部署,加快构建网络安全保障体系。工信部网络安全威胁和漏洞信息共享平台上线运行;工业互联网企业网络安全分类分级管理制度建立;工业互联网安全技术监测体系累计覆盖165个重点工业互联网平台;车联网卡实名登记管理全面实施……
虽然网络安全“防护网”越织越牢,但值得关注的是,业界还有一系列“顽疾”亟待解决。“部分单位业务迁移缓慢,老旧系统带病运行,存在较大安全隐患;部分行业对热点漏洞跟踪不及时,响应缓慢,给攻击者留下了可乘之机;供应链安全风险难以排除,风险点多,管理困难,需要各个环节高度协同;大众网络安全意识仍然较低,弱口令现象普遍,个人信息保护不足,需持续引导……”方伟举例称,这些都是需要行业继续努力去解决的问题。
此外,吴湘宁表示,勒索病毒仍被视为全球最大网络威胁之一。根据威瑞森《2021 年数据泄露调查报告》,勒索软件攻击频率在去年翻了一番,占全部网络安全事件的10%。据亚信安全的研究数据,2021年亚信安全共拦截勒索病毒58,412次,在数量增长的同时,其攻击手段、目标和平台也在不断升级,特别是“勒索软件即服务”(RaaS)市场的发展,高级黑客将自己的专业知识售卖给犯罪分子,使得勒索攻击的门槛越来越低。
据吴湘宁介绍,“双重勒索”攻击也是网络犯罪分子用得越来越多的一种策略。攻击者加密目标系统数据之前会先窃取数据,这样一来,即便受害者有备份数据,勒索软件仍然可以用泄露数据作威胁要求其支付赎金。同时,“双重”勒索还带来了“点名羞辱”的新威胁。
根据调查数据显示,在收到的勒索软件攻击企业和公共部门机构的100,101份报告中,其中11.6%是由窃取和公布数据的犯罪团伙发起的“点名羞辱”式攻击,这无疑让受害者承受更大的数据泄露压力,同时使得受害者被迫支付赎金的可能性大幅提高。
通过分析一些案例,亚信安全技术团队还发现,一些APT攻击会披上勒索软件的外套,作为探路的手段,或者逃跑的“烟雾弹”,甚至是作为攻击结束后毁灭踪迹的方法,帮助掩盖和抹去更严重攻击的证据。“例如某些工具表面看似勒索软件,会加密数据、发布勒索通知以及索要赎金,但实际上,这些软件会悄悄删除端点上的数据,同时让防御者相信数据丢失的原因是勒索软件的随机攻击。”吴湘宁说。
网络空间新生态未来可期
事实上,如今对于网络安全攻防双方而言,一边是“摩拳擦掌”,另一边也同样“跃跃欲试”,双方的博弈日趋激烈。对此,谭杰坦言,“企业往往希望追求一劳永逸的‘黑科技’,但在网络安全建设中,它是不存在的。网络与安全的融合、体系化安全才是网络安全的坚实基础。”
因此,谭杰建议,企业应将安全能力融入到网络及应用的每一个环节中,包括终端、有线及无线局域网、网络边界、广域网、数据中心(私有云)、公有云、业务应用等。所有环节都应具备信息可视化、安全分析、动态管控处置的能力,杜绝漏洞或短板。
谭杰同时强调,“安全产品技术应避免碎片化,孤立的单点技术的叠加并非真正的安全解决方案。各个产品和技术间应具备强大的交互能力,包括信息情报交换、联动响应等,从而交织成一张零信任、智能化、自动化的安全网络。”
方伟进一步表示,从技术手段而言,企业要做到精准检测、精确防御,既要保证风险发现的全面性,又要保证威胁判定的准确性,同时还要做到细粒度的灵活处置,因此机器学习、大数据分析和业务建模等手段需要运用到网络安全实践当中。
而从安全建设而言,方伟建议,“企业首先要摸清家底,清晰掌握单位自身的网络资产;其次要加强备案和管控,保证网络安全责任到人,业务管理有流程可依;然后做到立体化的安全防护和自动化的安全运营,采用主动检测和被动监测相结合的手段来提升风险发现和防护;最后还要做好应急响应,提升各个安全能力的协同配合能力,做到联防联控。”
“从国家层面上看,我们需要加快提升应对规模化攻击的防御能力,实现全网安全态势的全面分析和综合展现,为构建和完善国家级安全防护体系奠定基础。”方伟说。
近年来,我国网络安全顶层设计加速构建,网络安全政策体系日臻完善。据不完全统计,截至2021年6月底,我国已出台关于网络信息安全与数据合规的法律、行政法规等二百多部,形成了覆盖网络安全等级保护、关键信息基础设施保护、数据安全管理、个人信息保护等领域的网络安全法律法规体系。
在健全完善的法律法规、丰富多样的应用实践、成熟可用的技术等多方生态催化下,我国网络空间环境也将不断优化,为数字经济的高质量发展构筑坚实的底座。