干货放送:2017网络安全法及关键信息基础设施保护培训会
发布时间:
2017-07-21
来源:
作者:
访问量:
15
人类世界的纷争,似乎永不停歇,这是否是文明繁衍无法避免的伤痛,还只是走向未来新世界黎明前的曙光,我们无从而知,但必须学会保护自己。
离开了酷热高温中的上海,北京正处于雨前的阴天,气温还是稍凉一点,行道树的国槐开的正好,摇落了一地的碎花。
北京的鸢尾
2017 年 7月 20日 - 21日在北京万寿庄宾馆召开正在召开 “网络安全法及关键信息基础设施保护培训会”和“ 2017第二届信息安全服务年会 ”。本届会议由公安第三研究所、国家网络与信息系统安全产品质量监督检验中心主办,公安三所《网络信息安全》杂志承办、上海嘉韦思信息技术有限公司协办。FB小编也应邀来到现场,参与到此次会议中。
也许因为万寿庄宾馆是隶属于中央组织部的关系,出入口都有挺拔的武警站岗。走进大门走入内部,楼体建筑和内部环境都散发着一种浓浓的国营老字号的味道,趁着会议开始之前的间隙,小编开始四处兜兜转转,也发现不少有趣的地方。
莫名亲切的怀旧感
小编从南门走到会议所在的综合楼,还是需要走上五六分钟的样子,中间还需要穿过一个小小的苏式庭院,麻雀虽小五脏俱全。这个庭院既有亭台楼阁,也有小桥流水,天气好的时候,看看风景,想必还是十分惬意的。
看到小桥了么
好了,更多精彩花絮文末再看,我们差不多该回归正题了,首先先来瞧瞧第一天的培训会有哪些看点,一起来回顾下吧!
本届网络安全法与关键信息基础设施培训会的主要目的还是对相关单位机构企业及安全厂商的信息安全服务工程师展开培训,致力于提高大家的信息安全意识,更好地掌握等级保护的政策、标准,以实现落实国家信息安全要求的工作。上下午分别由来自公安三所的嘉宾讲师进行议题的分享和培训内容的传授,随后还会对学员进行培训内容的考核,并根据学院们的成绩颁发证书。
记笔记、拍照片,学员在认真听课
信息安全等级保护
9点刚过,信安在线主持人舒首衡宣布培训开始,第一堂课程由信息安全等级保护评估中心主任陈广勇老师进行了等级保护主题的授课。
信息安全等级保护是国家信息化发展中的重要保障基础,通过信息安全等级保护制度推进,可以真正构建国家的信息安全保障体系。
信安在线主持人舒首衡宣布开始
陈广勇老师剖析了信息安全等级保护的对象、定级的方法、标准的结构、条款框架和一些主要的关键点,随后展开了对等级保护条款进行新旧条款的对比,将新增、修改、删除的条款进行列举说明。内容涉及了物理和环境安全、网络与通讯安全、设备与计算机安全、应用与数据安全、云计算安全、移动互联系统安全等等。具体则包括了:机房的具体位置;如何防静电防火;如何进行异地备份;网络架构架设;通讯传输的加密;边界保护;访问控制;入侵防范;安全审计;集中管控;身份鉴别;软件容错;资源控制;数据安全;物联网;工业控制等等。
信息安全等级保护评估中心主任陈广勇老师的讲解
可以发现,等级保护提出了对不同级别的网络服务商的不同要求,精确要求的条款给相应等级的企业安全进行了管理上以及技术上的明确要求,有利于信息安全威胁的排除。而随着时代的发展、技术的革新,一些陈旧的管理要求及实施办法被修订、删改,一些超前的“展望未来”的管理条例也有在专家商议后新增进来。
陈广勇老师在举例说明时提到的了一些真实案例,“某能源企业遭遇 WannaCry 事件时,2万个加油终端遭受影响”,“某电视台电视台有段时间一直有免密直连的 WiFi 可直接侵入导播室”等等。他也提到其实在进行安全检测时就能够发现各种隐患和漏洞,如早在几年前就检测出了该企业的 445 端口暴露在外、存在威胁,但还是由于企业自身没有落实,导致受到勒索软件的攻击影响,追悔莫及。
网络安全法
围绕网络安全法这七章79条的内容,大数据安全测评实验室负责人宋好好老师为学员分别讲解该法律的制定背景、相关概念、主要条例。
网络安全法在2013下半年提上日程,2014年形成草案,15年形成征求意见稿,16年11月人大通过,2017年6月1日正式实施。
该部法律的出台,规定了网络安全等级保护、关键信息基础设施安全保护、网络安全监测预警和信息通报、用户信息保护、网络信息安全举报投诉等制度,并为网络安全事件应急响应预案/处置、漏洞等网络安全信息发布、网络安全人员背景审查和从业禁止,网络安全教育和培训、数据留存和协助执法定下法律级别的标准。
工控安全
短暂的午餐之后,下午的议题是由工控安全评测实验室负责人、国家网络语信息系统安全产品质量监督检验中心的邹春明老师讲解的。他分别从工控安全的现状、特点、标准法规、工控等级保护、安全产品现状的五个角度展开培训。
工控安全一直以来是关键基础设施中的重要组成部分。但我们国家工控安全的基础较为薄弱,工控标准协议多,在管理制度、网络、系统、计算机设备、安全产品上都有很多脆弱点,而自2016年震网病毒开始,工控系统安全漏洞和隐患日益增多,工控系统信息安全事件频发……
今年我们也看到在世界各地工控安全事件、工控安全预警频频出现,模版钓鱼侵入能源企业,乌克兰电网 Industroyer 事件等等,加强重视,按照要求提高安全标准,促进行业安全制度规范和发展。随着互联网的普及,工业 4.0 进程加快,大数据、云计算和数字化工程的推广,工业信息网络安全道阻且长。
关键信息基础设施保护案例
杭州银行高鹏在最后一堂课上分享了关键了关键信息基础设施保护的相关案例。
重庆农商行 2014 年 7 月 22 号 数据中心发生火灾,损失巨大,紧急切换到灾备中心机房。据称事故原因在于UPS 电池放置问题导致短路走火,通过空调循环系统传到了每一个机柜中,唯有 IBM 服务器没有在火灾中烧掉。
2015 年 11 月 22日山西证券地下二层失火,UPS 没能顶上,该企业没有备用机房,交易服务直接断掉,资金面影响很大
2015 年 6 月 阿里云在香港部署节点的时候,一块硬盘坏了,处理维护的工作人员可能经验不足下掉了硬盘,却发现备件型号不对,主要事故原因是处置员工和应对该类事件的经验不足
2010 年 世博和亚运会之前,系统上线变更维护禁止变化,信息系统安全。交行升级系统时发生系统死机。
还有各类断路器跳闸,电涌,火灾,施工问题导致的安全事故
总结这些损失惨重的重要设施安全事故后,根据数据分析多年数据可以得出,多数事故发生在运行多年的机房中,3-5 年的事故率为 33%,5-10 年的事故率在 41%,发生供电故障是事故发生的主要原因约占所有事故的16.7%,而其次的故障原因多在于设备运行管理、空调系统、磁盘、系统等问题,对关键基础设施进行定级和等级保护还是非常有必要的,化被动防御为主动防护。
本次网络安全法及关键信息基础设施保护培训会在学员们的考试中愉快地落下帷幕,21日还在此处举行2017年第二届信息安全服务年会的活动。
【场外花絮】
信息安全的威胁花样繁多,与日俱增。攻击与防御之战从铁与血的方式升级到看不见摸不着的信息战层面,但人类世界的纷争,似乎永不停歇,这是否是人类文明繁衍无法避免的伤痛,还只是走向未来新世界黎明前的曙光,我们无从而知,但也必须学会保护自己,一步一步地迈向未来。
回头看看,动物世界是多么的美好纯洁。
庭院里的田园猫
宠辱不惊,亭亭玉立
*本文作者:Elaine,FreeBuf报道,转载请注明FreeBuf.COM
相关资讯
