集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

《网络安全审查办法》新出炉:加速划定法律红线与抢滩能力建设

2020-06-04

 6月1日,由国家互联网信息办公室、国家发改委等12个部门联合发布的《网络安全审查办法》正式实施。

《办法》全文共二十二条,指明了关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。其核心思想极其明确,关键信息基础设施安全已成国家安全的“咽喉命脉”,不可忽视。

事实上,世界各国早已开始对关键信息基础设施安全划定法律红线。


奉法者国强:

关键基础设施立法成风潮


古语有云:“奉法者强,则国强”。

作为网络空间重要载体的关键信息基础设施,是国家重要战略资产。以立法形式保护国家关键基础设施的信息安全,是各国网络空间安全制度建设的核心。

1995年6月,美国率先特设关键信息基础设施安全保护机构,经历了从“司法部关键基础设施工作组( CIWG ) ”“总统关键基础设施保护委员会( PCCIP ) ”“司法部联邦调查局国家基础设施保护委员会( NIPC ) ”“总统关键基础设施保护委员会 ( PCIPB) ”再到“国土安全部( DHS) ”的演变。并接连发布了《网络空间安全国家战略》、《国家网络基础设施保护法案2010》《关键基础设施网络安全框架规范》一系列法规,不断强化基础设施保护领域的“安全线”;

1999年12 月20 日,英国政府设立国家关键基础设施安全协调中心( NISCC),并在2007年演变为国家基础设施保护中心(CPNI),于2016年公布的国家网络安全战略中对关键国家基础设施做了界定;

2001年,澳大利亚发布政府信息安全行动计划“保护国家信息基础设施政策”,之后相继出台了信息安全管理体系标准、澳大利亚联邦政府IT安全手册、IT安全管理的信息技术指南等一系列信息安全标准;

2009年11月23日,澳大利亚政府发布《国家信息安全战略》;

2013年,俄罗斯出台《俄联邦关键网络基础设施安全》,其中规定对入侵交通、市政等国家关键部门信息系统的黑客最高可处以10年监禁;

中国也在奋起直追,2016年施行的《国家安全法》中有明确条例强调保障关键信息基础设施的运行安全。

2017年5月,《网络产品和服务安全审查办法(试行)》探索试行,2020年4月正式对外发布《审查办法》。《审查办法》与《网络安全法》作为一套 “组合拳”,正是我国追赶超越国际网络安全法律体系建设的过程。



 悬在关键基础设施上的

达摩克利斯之剑


近年,化工、能源、金融、电网、水厂、核电站、交通乃至军事等各领域关键基础设施,越发成为网络攻击的“香饽饽”。

2010 年,伊朗核设施遭受“震网”病毒攻击,一举摧毁伊朗浓缩铀工厂五分之一的离心机,感染了全球超过20万台电脑;

2015 年和 2016 年,乌克兰电力系统遭到网络攻击全国大断电,近200万人受影响;

2019 年3 月,委内瑞拉电站遭网络攻击陷入崩溃,全国持续6天陷入停电状态 ……

这种攻击不再是“指哪打哪”而是“隔山打虎”,看似瞄准某一特定关键基础设施领域,实则威胁国家安全、军事战局、社会稳定、经济命脉、公民安全。

随着关键基础设施信息化程度提高,其也面临着新威胁和大挑战。

 

01 新威胁:“玩家”升级,国家级力量进场

当前针对基础设施发起攻击的“玩家”普遍是具有较高“战术素养”的团伙,更有弹药充足的“武器库”,包括0day 漏洞、变种勒索软件等资源和先进技术手段都能为其所用,其组织化程度和技术实力之高堪比国家级。

 

02 大挑战:战术周密,长期潜伏

2019 年 1 月,360 发现美国国家安全局运用网络武器,针对某移动厂商机房长达 6 年的 APT 攻击活动; 

2020 年 3 月,360 发现并披露美国中情局攻击组织(APT-C-39)对中国航空领域、科研机构、石油行业、大型互联网公司、政府机构等关键领域长达 11 年的网络渗透攻击。

“打一枪换个地方”的传统作战早已过时,当前针对关键基础设施的攻击往往经过周密的战略和策略部署的秘密战。

攻击者可能会花几个月、几年甚至更长时间对目标网络进行“踩点”,通过“静默”的方式绕过各种检测手段,深入对手关键弱点,伺机而动,瞬时致瘫。

开放的攻击入口、无处不在的漏洞后门、 无前后方、内外围之别的网络攻击,使关键信息基础设施安全成为悬在各国头上的达摩克利斯之剑。


 打铁强自身:

以整体思维构建安全防御能力


随着关键基础设施的高度数字化,以工业互联网、5G基建、特高压为代表的新兴基础设施建设成了新风口,但其背后的安全隐患也更加突显。“打铁还需自身硬“,《审查办法》的出台是国家为关键信息基础设施安全防护体系“划顶”,同时,仍需要持续提升安全能力建设。

今年两会期间,360董事长兼CEO周鸿祎针对新基建安全,提出建议:


落到“打铁队”一员的安全厂商身上,需要打磨一套整体化、能力导向、协同联动的关键基础设施安全解决方案。

基于此,360汇聚全视海量安全大数据、全球顶级安全专家、全面独有攻防知识等核心安全能力,运用整体思维、顶层设计打造了超融合网络安全防御体系——360安全大脑。

面对连接在一张网络上的复杂关键基础设施系统,360安全大脑以网络空间不受时空限制的特点,充分利用新一代信息技术的能力,建立了一种能够改变攻防不对称形势的全新战法。

如果将我国关键信息基础设施安全体系建设视为“蓝海”,必然需要国家以及安全厂商携手“抢滩”,自上而下打造一套完备的防御体系,共同为新基建保驾护航。