《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 關于網絡空間安全發(fā)展的啟示建議

關于網絡空間安全發(fā)展的啟示建議

2022-03-19
來源:信息安全與通信保密雜志社
關鍵詞: 網絡空間安全

  縱觀2021年全球網絡安全態(tài)勢發(fā)展,網絡安全前景不容樂觀。勒索軟件數量在2021年呈現指數級增長,,也隨著爆炸式增長的攻擊次數而轉型,同時,,網絡攻擊呈現多樣化和復雜化趨勢,以關鍵基礎設施為目的的網絡攻擊行動也將繼續(xù)增長,,高度警惕關鍵基礎設施網絡安全勢在必行,;數據時代背景下,各國對數據安全問題都高度重視,。數據戰(zhàn)略價值凸顯,,各國圍繞數據展開戰(zhàn)略競爭;另一方面數據成為安全重災區(qū),,針對數據的攻擊,、竊取、劫持,、濫用等手段不斷推陳出新,,給經濟、政治,、社會等各領域帶來巨大風險。

  1

  持續(xù)完善相關法律法規(guī),,配套制度建設迫不及待

  面對日益嚴峻的數據安全威脅,,2021年部分國家通過頒布政策法規(guī)、加強監(jiān)管執(zhí)法,、提升安全治理技術能力等舉措,,全面強化數據安全保護,。我國《數據安全法》于6月經表決通過,是圍繞網絡,、數據,、信息安全主題的系列法律之一,與《網絡安全法》以及將要出臺的《個人信息保護法》構成該領域的三大基礎性法律,?!稊祿踩ā酚绕浯_立了數據安全管理的大原則,以及國家黨政機構的管理和處罰權限,。

  當前,,我國數據安全法已經落地,完善數據安全保護的配套法規(guī)制度迫不及待,。目前,,還缺乏配套的下位法,部分問題處于模糊地帶,,需進一步出臺與之配套的法律法規(guī),,針對具體問題制定相應的解決措施,強化數據安全保護,。例如,,針對數據確權問題,考慮通過采用數據分類確權思路,,厘清數據類型和數據性質,,明確主體數據權利邊界;針對政務數據安全共享問題,,出臺相關政策文件,,以明確上下游責任邊界,促進政務數據安全共享,,實現政務數據管理模式由縱向到橫向的轉型,,保障政務數據的可享、可管,、可信,。建立健全數據安全保護標準規(guī)范。針對數據開放共享,、交易,、跨境流動等不同場景,完善相應的標準規(guī)范,;制定數據安全評測指南,,持續(xù)加強數據安全標準的宣貫實施。同時,對特殊敏感數據進行分類專項保護,。根據數據的不同特征選取不同治理模式,,促進治理精細化。

 ?。?/p>

  加快完善網絡安全治理體系,,提升網絡安全管理水平

  當前,我國網絡安全領域仍然存在著如黑客攻擊,、信息泄露,、網絡勒索和系統(tǒng)性安全等問題,對社會和企業(yè)的正常運行產生了不利影響,,也對公民的個人生活造成了困擾,。網絡安全問題治理與網絡本身的開放性、無中心性,、信息量大和廣泛連接等特性有關,,也與新技術的廣泛應用有關,新技術與新問題同時出現,,解決問題的新技術具有滯后性,。在應用過程中出現的新問題,也給監(jiān)管部門提出了挑戰(zhàn),,即監(jiān)管的滯后性和問題的先發(fā)性,,成為了解決網絡安全問題面臨的另一困境。治理完善方面,,應著重于建立預防,、治理和懲戒三位一體的治理體系,以實現對網絡安全問題的有效治理,。預防層面,,要在網絡安全問題進行清晰界定的基礎上,對預防主體的職能,、網絡安全問題的檢測方法和預警體系的建立等功能進行整合,,形成高效的預防體系。治理層面,,要著重于體制的完善,,建立集中有效的監(jiān)管機制,同時以法律的形式對機構的功能進行保障,。懲戒層面,,應將完善網絡安全立法和強化追責機制有機結合起來,以確保對引發(fā)網絡安全問題主體的震懾,,實現對網絡安全問題的有效治理,。

 ?。?/p>

  提升防范勒索軟件攻擊的整體防護水平,,自力更生自主創(chuàng)新

  面對數字化時代如此嚴峻的網絡安全形勢,,尤其是2021年上半年美國最大的成品油管道公司科羅尼爾遭到勒索軟件攻擊事件前后,美國政府已經在逐步采取一系列措施,,頒布法案或者行政命令,,為維護關鍵信息基礎設施的網絡安全提供制度保障,這也給我們敲響了警鐘,。當前,,勒索軟件迭代進化加速,攻擊手段會更加復雜多樣,,攻擊范圍也將不斷擴大并且更加難以防范,。面對愈加強大的定向勒索攻擊者,我們對網絡安全防御需要提升整體的防護水平,,要以面對APT組織攻擊的策略進行防御體系建設,,才能夠抵御目前網絡攻擊技術水平愈加高強的定向針對性勒索軟件攻擊。要實現整體安全,,必須加強技術升級換代,,聚焦核心技術突破,在基礎性技術,、前沿性技術,、顛覆性技術投入研發(fā)方面花大力氣,盡早實現關鍵信息基礎設施網絡安全裝備自主創(chuàng)新,。

 ?。?/p>

  提前布局前沿技術,打造網絡安全產業(yè)國際競爭力

  當前,,除CrowdStrike,、Okta、Fortinet 等專業(yè)網絡安全企業(yè)積極布局網絡安全領域外,,微軟,、谷歌、亞馬遜等全球科技巨頭也在不斷提升自身產品安全性能,,構建強大的網絡安全產品線和服務體系,。經研究,國外網絡安全領域重點針對網絡攻擊追蹤溯源技術,、面向人工智能應用的網絡安全技術,、大數據威脅情報分析技術、云環(huán)境下數據存儲安全技術,、信息內容理解和研判技術等技術開展研究,,并研發(fā)出Cloud Sniper,、Kubetriker、REW-sploit等新型網絡安全工具,。

  2021年,,我國網絡安全企業(yè)綜合實力穩(wěn)步提升,但在快速發(fā)展的同時,,大部分網絡安全企業(yè)核心技術創(chuàng)新能力仍有提升空間,。對此,我們要提前布局前沿技術,,密切關注相關領域的顛覆性技術創(chuàng)新,,尤其是在AI、零信任,、隱私增強計算等方面做好技術儲備,。針對勒索軟件威脅,積極引入人工智能進行檢測,,如趨勢科技公司正在開發(fā)的勒索軟件移除解決方案本質上是一個智能反勒索軟件工具,,其利用最新的人工智能算法,包括防病毒,、家庭保護,、密碼管理和隱私保護等安全包,對檢測勒索軟件極為有效,;針對傳統(tǒng)防護手段缺陷,,采用零信任架構降低風險,如美國能源部已于2021年10 月啟動用于清潔能源系統(tǒng)的零信任網絡安全解決方案,,將支持電網現代化,,解決網絡安全漏洞;針對數據泄露風險,,引入隱私增強技術,,Gartner 預計到 2025 年60%的大型企業(yè)機構將使用一種或多種隱私增強計算技術。

 ?。?/p>

  加強開展網絡演習活動,,謀求提升同網絡作戰(zhàn)能力

  2021年,美西方國家繼續(xù)開展網絡演習競賽活動,,并在聯合演習中增大網絡作戰(zhàn)科目,,呈現出“專聯兼顧、實戰(zhàn)性強,、形式創(chuàng)新,、技戰(zhàn)結合、整體協(xié)同”的主要特點,。當前,,國內也如火如荼地舉辦了各種級別,、多種形式的演習,我們應該尋求一些新的形式來進行這種攻防演習,,讓演習真正提高我們的安全防御水平,,無論從關鍵基礎設施還是國家層面都有安全的保證。我們應該重視場景化設計,,鼓勵使用高仿真的靶場進行相關的演習,,進行桌面推演的訓練 ,從而針對不同的安全場景要有相關防守方的應對措施,。同時,我國要把關鍵信息基礎設施管理運營單位將開展常態(tài)化網絡安全演練納入管理制度和考核指標中,。尤其針對關鍵信息基礎設施防護,,引入現實社會因素,設置訓練題目和訓練流程,,盡可能真實地模擬現實復雜情況,,在演練中發(fā)現問題解決問題,不斷提高網絡安全防護水平,。




微信圖片_20220318121103.jpg

本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點,。轉載的所有的文章,、圖片、音/視頻文件等資料的版權歸版權所有權人所有,。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者,。如涉及作品內容、版權和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失,。聯系電話:010-82306118,;郵箱:[email protected]