升級 法律重器祭出 護航網絡安全

即將于6月1日起正式實施的《網絡安全法》被業內人士認為具有里程碑的意義。《網絡安全法》是我國第一部網絡安全的專門性綜合性立法，提出了應對網絡安全挑戰這一全球性問題的中國方案。

全國人大常委會法工委經濟法室副主任楊合慶表示，中國是一個網絡大國，也是面臨網絡安全威脅最嚴重的國家之一，迫切需要建立和完善網絡安全的法律制度，提高全社會的網絡安全意識和網絡安全的保護水平，使我們的網絡更加安全、更加開放、更加便利，也更加充滿活力。

值得注意的是，《網絡安全法》第三章專門針對關鍵信息基礎設施的運行安全提出了具體要求，這也表明我國對關鍵信息基礎設施安全保護上升至前所未有的高度。《網絡安全法》規定，國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

中國信息通信研究院杜霖則表示，關鍵信息基礎設施的安全保護已上升至國家戰略高度，與其配套的法規辦法等也需進一步制定與完善。他建議，應盡快出臺國家關鍵信息基礎設施安全保護條例，作為承上啟下的基本行政法規，對上承接網絡安全法并將法案中對關鍵信息基礎設施提出的安全保護要求落地，對下統領金融、能源、電力、通信、交通等重要行業的安全保護工作，將更多的操作性制度進行規范和明確。

防護 “風控前置”才可掃除安全盲區

據悉，《網絡安全法》特別提出，關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估。

《經濟參考報》記者在采訪中了解到，此次病毒在部分國內關鍵行業中快速蔓延的主要原因之一，就是由于部分單位網絡安全意識淡薄，平時對于風險的評估和準備明顯不足。360企業安全公司一線應急響應處置的100余家機構抽樣統計表明，超過一半的單位近一年內未對系統進行過全面風險評估及定期補丁更新工作。此外，所有受影響的主機均未在近三個月內做過補丁升級操作，也未部署終端安全監控與處置工具。業內人士分析稱，安全工作存在的盲區為大規模網絡安全事件的爆發提供了可乘之機。

而未受感染的行業和企業幾乎都是進行了風控前置。中國人民銀行金融信息中心連續多年開展重要信息系統等級保護測評和安全檢查，探索形成內外部技術資源相結合的互聯網應急處置協同工作機制，確保快速落實一系列應急措施，如切斷病毒傳播的可能渠道，在網絡層、客戶端層封堵危險端口；實施病毒防護，啟用勒索病毒及其若干變種的黑名單防護機制，及時更新病毒定義碼；提升源頭免疫能力，第一時間自動分發并確認打齊微軟操作系統補丁；實施域名內部牽引，避免極端情況下受感染終端的不良后果等。

中國建設銀行信息技術管理部資深高級經理郭漢利告訴記者，截至目前，建行全行未發生一起病毒感染事件，各信息系統運行穩定，各業務正常開展。“除了在第一時間組織安全技術團隊開展應急措施之外，更重要的是，很多工作都是平時做的。”他表示，實際上，微軟在今年3月就發布了此次病毒攻擊所利用系統漏洞的補丁，4月初建行就通過終端安全客戶端向全行辦公終端推送了該補丁。在4月14日網絡黑客組織宣布泄露NSA黑客工具后，又立刻部署防控工作，排查、封禁高危端口。

業內人士也表示，除了風控前置外，在進行風險評估時，“網絡隔離是解決網絡安全問題最有效的方式”這一看法也需要轉變。一位網絡安全業內人士對記者坦言，有些單位信息安全工作人員仍舊簡單地以為，只要隔離就能安全解決問題。但事件證明，隔離不是萬能的，內網不是安全的避風港，沒有任何安全防護措施的內網一旦被突破，瞬間淪陷的危險更大。