1、国际网络安全冲突不断
近期在国际上,俄乌这两个国家目前不止在进行大规模的武装力量冲突,其中还包括网络前线,这甚至在战争之前就表现出来了。乌克兰从局势紧张开始时,大量的政府网站就已经瘫痪了,俄罗斯政府网站随后也连续遇到麻烦。可以说,在这场军事冲突开始之前,双方的网络战就已经先打响了。针对通信、银行、供水、电力、能源等关键基础设施的网络攻击,已经成为危害国家安全的重要手段。
2、国内重视关键信息基础设施保护
在国内,2021年国家互联网信息办公室通告,启动网络安全审查的“滴滴出行”和“运满满”、“货车帮”、“BOSS直聘”,涉及公共信息服务、交通、等重要重要行业和领域,其业务信息系统属于关键信息基础设施的范畴。国内对关键信息基础设施的保护越来越重视,已经针对关键信息基础设施颁布了一系列政策措施。
《网络安全法》首次在我国法律层面明确关键信息基础设施的概念,并对关键信息基础设施安全防护提出专门要求。《关键信息基础设施安全保护条例》则聚焦关键信息基础设施安全,建立专门保护制度,明确关键信息基础设施的认定原则和程序,压实关键信息基础设施运营者的义务和责任。
近年来,我国面临国际上有组织、高烈度的网络对抗,面临在极端情况下的网络战、军事行动的威胁。我们必须审慎对待、提高警惕,在做好各项应急准备的同时,重点加强关键信息基础设施的保护。
1、什么是关键信息基础设施:
是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2、关键信息基础设施认定条件:
据《关键信息基础设施安全保护条例》规定,主要考虑三个方面的因素:一是网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用。二是网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。三是对其他行业和领域具有重要关联性影响。
符合以下条件之一的,可认定为关键信息基础设施:
● 县级(含)以上党政机关网站;
● 重点新闻网站或者日均访问超过100万人次的网站等。
符合以下条件之一的,可认定为关键信息基础设施:
● 注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万;
● 日均成交订单额或交易额超过1000万元等。
符合以下条件之一的,可认定为关键信息基础设施:
● 地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统;
● 规模超过3000个标准机架的数据中心等。
根据《关键信息基础设施安全保护条例》,对运营者建立健全网络安全保护制度和责任制,对关键信息基础设施安全保护,以及重大网络安全事件具备完善的处置能力,提出了更高要求。
1、分析识别:
运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础;
2、安全防护:
运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
3、检测评估:
为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件。
4、监测预警:
制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。
5、技术对抗:
以对攻击行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施,提升对网络威胁与攻击行为的认知和攻防对抗能力。
6、事件处置
对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
关保安全防护环节标准框架图(图片来源互联网,侵删)
1、安全通信网络的互联安全:
关键信息基础设施通常可能承载多个业务系统(包括同一系统的不同安全域或VPC),各系统等级不同,但业务需要互访,这种情况下需要对系统与系统间的访问策略进行限制,同时加强身份管理(例如准入系统)和密钥管理。等保2.0对四级系统要求远程通信必须开启双向认证,关保也同样强调使用密码技术(国密算法为主,国际加密算法为辅)进行双向认证。
沃通CA提供国密SSL证书,首推“SM2/RSA双证书”部署模式,在国密SSL支持模块或国密SSL网关上部署SM2/RSA双SSL证书,遵循国家标准技术规范并参考国际标准支持SM2/SM3/SM4国产密码算法和国密安全协议,满足政企国产/国密SSL证书应用需求。
2、网络安全检测和风险评估:
根据《关键信息基础设施安全保护条例》中第十七条:运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估;《商用密码应用安全性评估管理办法(试行)》中第二章第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少一次密评。
沃通CA提供一站式、全流程密码测评整改解决方案,帮助政企客户高效有序地完成测评整改工作,满足业务应用安全需求并符合法规政策要求。
面向Web应用实现网络通信层面的国密算法改造。提供国密证书、国密浏览器、国密网关、国密Ukey构成“国密四要素”,实现HTTPS国密通信加密。
沃通时间戳服务按照国内外相关时间戳技术与服务标准,根据我国可信时间戳服务体系规划建设的权威第三方公共可信时间戳服务。
沃通具备密码应用产品能力及服务能力,提供一站式、全流程密码测评整改解决方案,帮助政企客户高效有序地完成测评整改工作。
电子政务的创新发展推动实现经济社会可持续发展。沃通提供基于 PKI 技术的电子政务安全解决方案,确保电子政务服务质量和网上政务的信息安全。
电子认证服务许可证
电子认证服务使用密码许可证
电子政务电子认证服务资质
从2020年上半年开始,更多的政企业务加速转移到互联网上,“互联网+”新业态得到快速增长,例如“互联网+政务”、“互联网+医疗”、“互联网+金融”、“互联网+教育”等,政企架构网络化和业务在线化已成为基础常态。随之而来的网络安全风险日益险峻,而且成为我国乃至全球网络安全产业持续健康发展的主要困扰因素。
由于国际形势的变幻带来国家层面网络安全攻击与对抗趋势加剧,网络安全问题不仅关系到国计民生、社会发展,而且影响到国家的安全和主权。国产密码技术的应用是实现国家网络安全自主可控的重要基础,在我国网络信息安全的各环节采用国产密码技术加密数据,对应对目前的网络安全形势具有重要的战略意义。
● 关键基础设施正成为网络攻击的主要目标,提高安全防御能力迫在眉睫
2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击导致美国宣布进入紧急状态事件,引起全球网络安全领域的关注。该攻击事件的元凶是“年轻且专业”的黑客组织DarkSide,他们渗透进公司内网后挟持了约100GB的资料文件,要求支付赎金,否则就会在互联网上公开。
● 《关键信息基础设施安全保护条例》解读,开启网络安全新时代
自党的十八大以来,以习近平同志为核心的党中央高度重视关键信息基础设施安全保护工作,就加强关键信息基础设施安全保护工作作出了一系列重大决策和部署。总书记强调,“要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民的合法权益”。不难看出,保障关键信息基础设施安全对社会运行具有重大意义,是网络安全的重中之重。
● 2021网安法规大盘点:重磅法规持续落地,数据安全迎新机遇
2021年,我国数字化经济风起云涌,企业数字化转型如火如荼。2021年3月,《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》发布,并提出“要激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。”
Claroty最新发布的《2021年全球工控安全台式报告》显示,2021年80%的关键基础设施组织遭受了勒索软件攻击,同样比例的组织报告称其安全预算自2020年以来有所增加。在遭受勒索软件攻击的80%的受访者中,有47%表示其工业控制系统(ICS)环境受到了影响,超过60%的人支付了赎金,其中一半以上的赎金为50万美元或更多。此外,大多数受访者估计其运营停机每小时的收入损失等于或大于支出。
网站使用条款|隐私声明|粤ICP备15002424号|邮编:518067|WoSign®、沃通®为沃通电子认证服务有限公司注册商标
©2004-2022 沃通电子认证服务有限公司 WoTrus CA Limited All Rights Reserved
4006-967-446
沃通数字证书商店