什么是网络安全?
众所周知,网络安全是广义概念,指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露系统连续可靠正常地运行,网络服务不中断。
《网络安全法》自2015年至2016年历经三次审议,于2016年11月7日正式颁布,2017年6月1日正式实施,该法律的出台是落实国家总体安全观的重要举措。
· 什么是关键信息基础设施?
“关键信息基础设施”概念首次出现在我国的法律法规中,引起了社会各界的广泛关注。在《网络安全法》中对关键信息基础设施给出了明确的定义,即指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统。
大多数关键信息基础设施都涉及数据采集、数据传输、自动数据分析与控制(SCADA系统),自动化程度很高,可遵循工业控制系统安全防护思路。尤其,数字化时代的到来,关键信息基础设施是在网运行,安全更是重中之重,比如电力的供应、天然气的输送、地铁的正常运行等,一旦遭到破坏、丧失功能或则数据泄露,将会严重危害国家安全、国计民生以及公众的利益。
网络安全等级保护技术2.0
为贯彻落实《网络安全法》第二十一条:国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行相关保护义务。目前等保2.0体系已于2019年5月10日发布,2019年12月1日正式实施。
等保1.0与等保2.0定级对象的区别:
相较等保1.0体系,等保2.0在定级对象方面进行扩充:
等保2.0的定级对象:信息系统、云计算平台、物联网系统、工业控制系统、移动互联系统。
工业控制系统信息安全防护指南
2016年,工业和信息化部在《关于加强工业控制系统信息安全管理的通知》([2011]451号,下称451号文)的基础之上发布了《工业控制系统信息安全防护指南》(下称指南)。主要内容如下:
1. 资产安全
· 建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置原则。
· 确保系统资产可查,应建设工业控制系统资产清单,定期更新清单库,并对资产进行分类。资产应指定责任人,并且明确责任人的职责,明确资产使用权。制定资产在生产、调试、运行、维护、报废等过程中的处置原则。
2. 安全软件选择与管理
· 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
· 为适应工控环境,宜采用“白名单”机制的可信、可靠终端安全防护软件,为工控应用程序提供认证、授权,从根本上保证工控主机安全。
3. 安全监测
· 在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
· 在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
工控系统网络设备众多,随时面临非法入侵、恶意代码、人为误操作的风险,网络中应当有工控安全监测审计设备,能够对工控协议进行深度解析、建立协议、流量基线,对异常行为进行实时告警。
4. 边界安全防护
· 分离工业控制系统的开发、测试和生产环境。
· 通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
· 通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
· 按照业务性质划分区域,区域之间应进行网络隔离,并制定严格的访问策略,能够识别工业控制环境常见的病毒、蠕虫。宜采用工业控制防火墙进行网络隔离,深度检测并过滤工控协议携带的安全风险。对单向访问的需求,可使用网闸物理隔离。
5. 身份认证
· 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
· 合理分类设置账户权限,以最小特权原则分配账户权限。
· 强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认密码或弱密码,定期更新口令。
· 加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。
软件安全 网络安全的最后一道防线
中科天齐公司是在中科院计算技术研究所的大力推动下
以中科院计算所国际领先的自主研究成果
为基础组建的高新技术企业
关键词标签:数字经济 网络安全 数据安全 软件安全
