Page 36 - 金融科技视界2022-9期
P. 36
Technical Tracking
技术追踪
风险评估持续保障
习总书记讲“网络安全的威
胁来源和攻击手段不断变化,依
靠 装 几个 安全 设 备 和安全软件
就想永保 安 全 的 想法已 不合 时
宜,需要树立动态、综合的防护
理念。”关基的动态特性,使得它
很难用固定标准或方法去保护,
未来亟需通过风险评估不断找出
威胁源,不断迭代安全措施,并
检验安全措施有效性。具体来讲
一 是 需要通 过 风 险 评估 促 进 关
投入和安全产出的统筹。从保护 警、主动防御、事件处置等方面, 键信息基础设施运营者开展保护
角度而言安全无小事,在实际工 提出关键信息基础设施安全保护 体系 建 设 和重 点保 护 措施 的 落
作中有可能就是因为一个关键设 要求,采取必要措施保护关键信 实,做 到分重点保 护,明确保 护
备的补丁没打、开启了一个多余服 息基础设施业务连续运行,及其 对象范围,厘清保护责任和保护
务、一个不合理的网络暴露面,就 重要数据不受破坏,切实加强关 主体;二是需要通过风险评估找
可能被恶意利用而导致网络整体 键信息基础设施安全保护。在日常 出可能导致关基业务停摆、生产
失陷,所以在某种程度上保护工 实践中,要注意以下几点:第一,要 事故、重 要 数 据 失窃、泄 露、破
作确实需要面面俱到,尤其是基 立足本单位网络安全实际分清轻 坏的安全隐患,降低关键基础设
础防护工作。但同时也要分清主 重缓急,根据各项保护工作所处 施一旦遭受攻击后可能带来的恶
次、重点突出。要明确保护边界、 的客观地位来决定,评估哪项工 劣影响,尤其是涉及到国家政治
现阶段保护重点,不能过保护或 作在现实中确实能够牵动全局, 安全、经济安全、以及民生安全
做无效的保护。关于关基保护应 哪项工作必要性紧迫性最高,以 的关键业务、重要数据和个人信
该重点突出的具体做法,目前除了 此来投入建设,果断应对。第二, 息,一旦被恶意利用将直接影响
《关键信息基础设施保护条例》 正确处理全局和重点的关系。例 国家安全;三是需要通过风险评
外,可重点参考《关键信息基础 如在抓好数据安全重点工作的同 估促进关键信息基础设施安全防
设施安全保护要求》。保护要求 时,不可忽视数据支撑环境的安 御体系的改进提升,检验当前的
主要是在国家网络安全等级保护 全工作,明确数据安全管理作为 安全防护措施是否有效,防护体
制度基础上,借鉴我国相关部门 整体网络安全管理的一个重要组 系是否可以满足当下的网络安全
在重要行业和领域开展网络安全 成,明确加强数据安全建设的同 形势,最终达到“以评促建”,提
保护工作的成熟经验,吸纳国内 时也是对整体网络安全的加强。 升整体安全防御体系的目的。风
外在关键信息基础设施安全保护 要根据保护工作重点目标与其他 险 评估作 为动 态 发 现 关 基 风 险
方面的举措,结合我国现有网络 工作的内在联系,把各项保护工作 的有效手段,需要一以贯之的在
安全保障体系等成果,从分析识 一起搞上去,使主次配合,统筹兼 关基建设的全生命周期持续发挥
别、安全防护、检测评估、监测预 顾,而不要顾此失彼、搞单打一。 作用。
34 金融科技视界
