升級 法律重器祭出 護航網(wǎng)絡(luò)安全

即將于6月1日起正式實施的《網(wǎng)絡(luò)安全法》被業(yè)內(nèi)人士認為具有里程碑的意義,?！毒W(wǎng)絡(luò)安全法》是我國第一部網(wǎng)絡(luò)安全的專門性綜合性立法，提出了應(yīng)對網(wǎng)絡(luò)安全挑戰(zhàn)這一全球性問題的中國方案,。

全國人大常委會法工委經(jīng)濟法室副主任楊合慶表示,，中國是一個網(wǎng)絡(luò)大國,，也是面臨網(wǎng)絡(luò)安全威脅最嚴重的國家之一，迫切需要建立和完善網(wǎng)絡(luò)安全的法律制度,，提高全社會的網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全的保護水平,，使我們的網(wǎng)絡(luò)更加安全、更加開放,、更加便利,，也更加充滿活力。

值得注意的是,，《網(wǎng)絡(luò)安全法》第三章專門針對關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全提出了具體要求,，這也表明我國對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護上升至前所未有的高度?！毒W(wǎng)絡(luò)安全法》規(guī)定,，國家對公共通信和信息服務(wù)、能源,、交通,、水利、金融,、公共服務(wù),、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,，可能嚴重危害國家安全、國計民生,、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施,，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護,。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護辦法由國務(wù)院制定,。

中國信息通信研究院杜霖則表示，關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護已上升至國家戰(zhàn)略高度,，與其配套的法規(guī)辦法等也需進一步制定與完善,。他建議，應(yīng)盡快出臺國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例,，作為承上啟下的基本行政法規(guī),，對上承接網(wǎng)絡(luò)安全法并將法案中對關(guān)鍵信息基礎(chǔ)設(shè)施提出的安全保護要求落地，對下統(tǒng)領(lǐng)金融,、能源,、電力、通信、交通等重要行業(yè)的安全保護工作,，將更多的操作性制度進行規(guī)范和明確,。

防護 “風控前置”才可掃除安全盲區(qū)

據(jù)悉，《網(wǎng)絡(luò)安全法》特別提出,，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風險每年至少進行一次檢測評估,。

《經(jīng)濟參考報》記者在采訪中了解到，此次病毒在部分國內(nèi)關(guān)鍵行業(yè)中快速蔓延的主要原因之一,，就是由于部分單位網(wǎng)絡(luò)安全意識淡薄,，平時對于風險的評估和準備明顯不足。360企業(yè)安全公司一線應(yīng)急響應(yīng)處置的100余家機構(gòu)抽樣統(tǒng)計表明,，超過一半的單位近一年內(nèi)未對系統(tǒng)進行過全面風險評估及定期補丁更新工作,。此外，所有受影響的主機均未在近三個月內(nèi)做過補丁升級操作,，也未部署終端安全監(jiān)控與處置工具,。業(yè)內(nèi)人士分析稱，安全工作存在的盲區(qū)為大規(guī)模網(wǎng)絡(luò)安全事件的爆發(fā)提供了可乘之機,。

而未受感染的行業(yè)和企業(yè)幾乎都是進行了風控前置,。中國人民銀行金融信息中心連續(xù)多年開展重要信息系統(tǒng)等級保護測評和安全檢查，探索形成內(nèi)外部技術(shù)資源相結(jié)合的互聯(lián)網(wǎng)應(yīng)急處置協(xié)同工作機制,，確保快速落實一系列應(yīng)急措施,，如切斷病毒傳播的可能渠道,，在網(wǎng)絡(luò)層、客戶端層封堵危險端口,；實施病毒防護,，啟用勒索病毒及其若干變種的黑名單防護機制，及時更新病毒定義碼,；提升源頭免疫能力,，第一時間自動分發(fā)并確認打齊微軟操作系統(tǒng)補丁,；實施域名內(nèi)部牽引,，避免極端情況下受感染終端的不良后果等。

中國建設(shè)銀行信息技術(shù)管理部資深高級經(jīng)理郭漢利告訴記者,，截至目前,，建行全行未發(fā)生一起病毒感染事件，各信息系統(tǒng)運行穩(wěn)定,，各業(yè)務(wù)正常開展,。“除了在第一時間組織安全技術(shù)團隊開展應(yīng)急措施之外，更重要的是,，很多工作都是平時做的,。”他表示,，實際上,，微軟在今年3月就發(fā)布了此次病毒攻擊所利用系統(tǒng)漏洞的補丁，4月初建行就通過終端安全客戶端向全行辦公終端推送了該補丁,。在4月14日網(wǎng)絡(luò)黑客組織宣布泄露NSA黑客工具后,，又立刻部署防控工作，排查,、封禁高危端口,。

業(yè)內(nèi)人士也表示，除了風控前置外,，在進行風險評估時,，“網(wǎng)絡(luò)隔離是解決網(wǎng)絡(luò)安全問題最有效的方式”這一看法也需要轉(zhuǎn)變。一位網(wǎng)絡(luò)安全業(yè)內(nèi)人士對記者坦言,，有些單位信息安全工作人員仍舊簡單地以為,，只要隔離就能安全解決問題。但事件證明,，隔離不是萬能的,，內(nèi)網(wǎng)不是安全的避風港，沒有任何安全防護措施的內(nèi)網(wǎng)一旦被突破,，瞬間淪陷的危險更大,。