消除网络安全死角 确保网络安全法得以贯彻执行
日前,东软集团网络安全事业部咨询总监王军民在接受记者采访时表示,需要确保《中华人民共和国网络安全法(草案)》(简称“《草案》”)得以贯彻实施,消除网络安全“死角”。
王军民认为《草案》对于关键信息基础设施安全的相关规定是很完整的,充分考虑到了安全防护的各个方面。目前从技术发展趋势来看,云计算、虚拟化正在成为政务网的必然发展方向,对于新兴技术所可能带来的安全风险,王军民希望国家能够尽快出台相关规定和指导建议。另外,《草案》中所提“关键信息基础设施”的含义非常广泛,针对于APT攻击、工控安全这些热点,“对于我国网络安全来讲尚需较长时间形成对应的完善的技术解决方案,其挑战是不言而喻的。”
在我国现阶段,许多第三方测评机构、网络安全企业都累积了大量的专业安全人才,他们都具备对关键信息基础设施运营者提供检测评估服务的能力,“但需要进行检测的系统数量非常庞大,如何有效的把这些资源整合在一起,科学合理的进行调配去对关键信息基础设施实施网络安全评估,还需要国家相关部门的统筹规划与统一协调。”
王军民提出,关键信息基础设施关乎国计民生,所以必须采取国家层面的强制措施来加强监管,一旦关键行业的IT负责人对信息安全问题没有给予足够的重视,其致命安全隐患将会长久的存在于该组织中而无法被及时发现、整改。因此,站在国家层面来看,关键信息基础设施运营者必须有自己的安全性改进时间表,清晰展现运营者在本系统安全性的路线图,将安全风险降为最低。
对于安全预警方面的问题王军民表示,安全预警信息在技术上完全可以保证让所有应该看到的人都及时看到,但能否引起责任人的足够重视还需要通过管理制度、行政法规来加强。“应该看到的人”的范围要有界定,组织机构的第一负责人、IT系统运维的相关人员是必须涵盖在这个范畴中的。
另外,周期性的安全评估服务是检测安全应急预案的有效方法。“国家也在鼓励党政机关购买服务,通过专业的第三方安全服务,不断检测自己安全应急预案的有效性,发现问题及时调整,形成良性的、动态的安全防护体系。”
《草案》第五章第五十条提出,“因维护国家安全和社会公共秩序,处置重大突发社会安全事件的需要,国务院或者省、自治区、直辖市人民政府经国务院批准,可以在部分地区对网络通信采取限制等临时措施。”王军民进一步建议在如下情况时启动该条法规:
1)安全事件关乎国计民生,可以考虑局部或全局限制网络通信;
2)网络战争爆发,可以考虑局部或全局限制网络通信;
3)影响社会稳定的反动舆论大肆传播,可以考虑局部或全局限制网络通信;
4)处理网络犯罪事件时,可以考虑局部或全局限制网络通信。
但采取对网络通信临时限制的措施前,需要有完善的执行流程和严肃的监管审计制度,这样才能最大化的避免这项法规被“滥用”。