“永恒之蓝”勒索病毒感染事件刚刚过去,社会各界对网络安全的关注仍在持续。我国首部网络安全的专门性综合性立法《网络安全法》将于6月1日正式实施,这意味着我国对网络安全的重视和保护已上升至前所未有的高度。
据了解,在此次勒索病毒感染事件中,国内多个关键信息基础设施领域的企事业单位“中招”,只有国内金融企事业单位鲜受到波及。业内人士表示,此次事件给我国关键信息基础设施行业敲响了警钟。《网络安全法》将为这些关键行业的网络安全防控搭建法律框架,并引导和强化这些行业平时就加强对网络安全和可能存在的风险的关注。
法律重器祭出 护航网络安全
即将于6月1日起正式实施的《网络安全法》被业内人士认为具有里程碑的意义。《网络安全法》是我国第一部网络安全的专门性综合性立法,提出了应对网络安全挑战这一全球性问题的中国方案。
全国人大常委会法工委经济法室副主任杨合庆表示,中国是一个网络大国,也是面临网络安全威胁最严重的国家之一,迫切需要建立和完善网络安全的法律制度,提高全社会的网络安全意识和网络安全的保护水平,使我们的网络更加安全、更加开放、更加便利,也更加充满活力。
值得注意的是,《网络安全法》第三章专门针对关键信息基础设施的运行安全提出了具体要求,这也表明我国对关键信息基础设施安全保护上升至前所未有的高度。《网络安全法》规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
中国信息通信研究院杜霖则表示,关键信息基础设施的安全保护已上升至国家战略高度,与其配套的法规办法等也需进一步制定与完善。他建议,应尽快出台国家关键信息基础设施安全保护条例,作为承上启下的基本行政法规,对上承接网络安全法并将法案中对关键信息基础设施提出的安全保护要求落地,对下统领金融、能源、电力、通信、交通等重要行业的安全保护工作,将更多的操作性制度进行规范和明确。
“风控前置”才可扫除安全盲区
据悉,《网络安全法》特别提出,关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
据了解,此次病毒在部分国内关键行业中快速蔓延的主要原因之一,就是由于部分单位网络安全意识淡薄,平时对于风险的评估和准备明显不足。360企业安全公司一线应急响应处置的100余家机构抽样统计表明,超过一半的单位近一年内未对系统进行过全面风险评估及定期补丁更新工作。此外,所有受影响的主机均未在近三个月内做过补丁升级操作,也未部署终端安全监控与处置工具。业内人士分析称,安全工作存在的盲区为大规模网络安全事件的爆发提供了可乘之机。
而未受感染的行业和企业几乎都是进行了风控前置。中国人民银行金融信息中心连续多年开展重要信息系统等级保护测评和安全检查,探索形成内外部技术资源相结合的互联网应急处置协同工作机制,确保快速落实一系列应急措施,如切断病毒传播的可能渠道,在网络层、客户端层封堵危险端口;实施病毒防护,启用勒索病毒及其若干变种的黑名单防护机制,及时更新病毒定义码;提升源头免疫能力,第一时间自动分发并确认打齐微软操作系统补丁;实施域名内部牵引,避免极端情况下受感染终端的不良后果等。
中国建设银行(6.370, 0.09, 1.43%)信息技术管理部资深高级经理郭汉利告诉记者,截至目前,建行全行未发生一起病毒感染事件,各信息系统运行稳定,各业务正常开展。“除了在第一时间组织安全技术团队开展应急措施之外,更重要的是,很多工作都是平时做的。”他表示,实际上,微软在今年3月就发布了此次病毒攻击所利用系统漏洞的补丁,4月初建行就通过终端安全客户端向全行办公终端推送了该补丁。在4月14日网络黑客组织宣布泄露NSA黑客工具后,又立刻部署防控工作,排查、封禁高危端口。
业内人士也表示,除了风控前置外,在进行风险评估时,“网络隔离是解决网络安全问题最有效的方式”这一看法也需要转变。一位网络安全业内人士对记者坦言,有些单位信息安全工作人员仍旧简单地以为,只要隔离就能安全解决问题。但事件证明,隔离不是万能的,内网不是安全的避风港,没有任何安全防护措施的内网一旦被突破,瞬间沦陷的危险更大。(记者 张莫 崔晶 曲经纬 摘自 经济参考报)
天风证券:网络安全概念有主题机会
天风证券日前发布研报指出,6月1日起《网络安全法》即将实施,针对信息安全、网络安全领域的立法一方面显示了国家保护公民网络空间的合法权益,维护网络空间安宁的迫切需求,另一方面也昭示了国家将积极打击网络安全层面的违法犯罪,在安全管理、内网安全审计以及网络安全基础建设层面加强管理的决心。
天风证券表示,自2014年以来,我国信息安全产业规模年均增长率超过了40%,国内信息安全市场触及千亿元规模,但仍以硬件投资为主,管理和运维水平亟待提高。放眼全球,美国信息安全投资在IT总投资占比约为10%左右,欧洲信息安全投入占比8%左右,而我国这一比例不到2%,提升空间巨大。从IT投资的角度,此次勒索病毒爆发事件有望直接促进各层级加大对信息安全的重视,尤其是教育行业、政府部门、大型央企集团等重点行业,对于信息安全、网络安全及后期运维的投入有望持续加大。
天风证券称,从行业角度来看,可以关注信息安全服务厂商如蓝盾股份(10.910, 0.18, 1.68%)(拥有教育和石油石化行业客户)、北信源(5.480, 0.18, 3.40%)(信息安全管理)、卫士通(28.330, -0.07, -0.25%)(信息安全运维)、易华录(26.970, 0.21, 0.78%)(拟收购的国富瑞拥有政府和教育行业灾备解决方案和高校案例)等。还可关注启明星辰(17.890, 0.78, 4.56%)、绿盟科技(12.380, 0.35, 2.91%)等攻防技术出色的网络安全服务商。