感知風險,以不變應萬變
關鍵信息基礎設施是經濟社會的中樞神經,也是網絡安全的重中之重。此前,烏克蘭電力系統遭黑客攻擊,導致大規模停電事件,一直是業界的熱議話題。“大量電力行業新業態湧現,使得電力系統控制範圍擴大、結構變得更複雜,電力行業已成為網絡攻擊的重要目標。”國家能源局電力安全監管司副司長張揚民說。
與電力行業類似,中國移動信息安全管理與運行中心總經理張濱經常把通信設施比作一張“網”,它包含了通信終端、接入網、支撐系統、傳送網等多個層面,任何一個環節出現問題,都會對整個系統產生影響。“現在,網越來越大,應用越來越廣,風險也會越來越大。”張濱說。
中國電子科技網絡信息安全有限公司副總經理王文勝認為,目前,關鍵信息基礎設施安全防護能力還存在手段不多、單點防護、高低有別、信息隔離、體系不全等問題;另外,持續監控和分析能力不足,內外協調聯動力度不夠,導致難以面對有組織、高強度的針對性攻擊。
張濱建議,要加強標準體系完善,做到以不變應萬變,以無序對有序;還要注重布局“預”的能力,基於大數據分析做好預警、預知和預防,把事後的安全向事前、事中去轉移。
“感知網絡安全態勢是做好網絡安全工作的基礎。”在國家計算機網絡應急技術處理協調中心副主任雲曉春看來,要不斷加強網絡安全信息統籌機制和平台建設,強化檢測認證與審查的工作。另外,網絡安全漏洞也是重要資源,應逐漸完善漏洞共享、利用、披露機制,發揮漏洞在網絡對抗中的關鍵作用。
完善立法,提供系統性、體系化保護
近年來,個人信息與隱私洩漏事件頻發,與之相關的電信和網絡犯罪行為也成為社會的一大頑疾。今年國家網絡宣傳周期間發布的《2018年網民網絡安全感滿意度調查報告》顯示,過半網民認為在購物、社交聊天時,個人信息洩露風險更大;近四成網民認為手機APP、搜索信息對個人信息保護不夠安全;三成以上網民認為利用雲盤存儲、投資理財不夠安全。
公安部第一研究所副所長於銳表示,實際上,絕大部分單位並不具備存儲和管理海量個人信息的能力,也缺少保護海量個人信息的責任,在技術上也缺乏保障個人信息以及隱私數據絕對安全的有效措施。“采集、存儲和管理個人信息及隱私數據,並非相關企業開展互聯網業務的必要前提,卻成了個人信息犯罪難以遏止的‘泛濫洪水’之源。”
新的網絡安全環境下,應該如何保護網民的個人信息安全?於銳說,長期實踐表明,單獨強調技術手段或行政監管產生的效果都很有限,應該做到技術手段與行政監管並重,“畢竟好的技術手段需要依托行政監管落地,行政制度也需要技術手段來做支撐”。
公安部第三研究所副所長李建瓴認為,在個人數據保護方面,我國個人數據保護立法尚不完善。2017年個人信息保護雖然已經寫入《網絡安全法》,讓個人數據的保護力度大大提升,但仍存在著立法分散、可操作性不強等問題。因此,李建瓴建議:“需盡快推進專門的個人信息保護法規的制定和出台,為個人信息提供系統性、體系化的保護。”
(光明日報) |
