升级 法律重器祭出 护航网络安全

即将于6月1日起正式实施的《网络安全法》被业内人士认为具有里程碑的意义。《网络安全法》是我国第一部网络安全的专门性综合性立法，提出了应对网络安全挑战这一全球性问题的中国方案。

全国人大常委会法工委经济法室副主任杨合庆表示，中国是一个网络大国，也是面临网络安全威胁最严重的国家之一，迫切需要建立和完善网络安全的法律制度，提高全社会的网络安全意识和网络安全的保护水平，使我们的网络更加安全、更加开放、更加便利，也更加充满活力。

值得注意的是，《网络安全法》第三章专门针对关键信息基础设施的运行安全提出了具体要求，这也表明我国对关键信息基础设施安全保护上升至前所未有的高度。《网络安全法》规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

中国信息通信研究院杜霖则表示，关键信息基础设施的安全保护已上升至国家战略高度，与其配套的法规办法等也需进一步制定与完善。他建议，应尽快出台国家关键信息基础设施安全保护条例，作为承上启下的基本行政法规，对上承接网络安全法并将法案中对关键信息基础设施提出的安全保护要求落地，对下统领金融、能源、电力、通信、交通等重要行业的安全保护工作，将更多的操作性制度进行规范和明确。

防护 “风控前置”才可扫除安全盲区

据悉，《网络安全法》特别提出，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。

《经济参考报》记者在采访中了解到，此次病毒在部分国内关键行业中快速蔓延的主要原因之一，就是由于部分单位网络安全意识淡薄，平时对于风险的评估和准备明显不足。360企业安全公司一线应急响应处置的100余家机构抽样统计表明，超过一半的单位近一年内未对系统进行过全面风险评估及定期补丁更新工作。此外，所有受影响的主机均未在近三个月内做过补丁升级操作，也未部署终端安全监控与处置工具。业内人士分析称，安全工作存在的盲区为大规模网络安全事件的爆发提供了可乘之机。

而未受感染的行业和企业几乎都是进行了风控前置。中国人民银行金融信息中心连续多年开展重要信息系统等级保护测评和安全检查，探索形成内外部技术资源相结合的互联网应急处置协同工作机制，确保快速落实一系列应急措施，如切断病毒传播的可能渠道，在网络层、客户端层封堵危险端口；实施病毒防护，启用勒索病毒及其若干变种的黑名单防护机制，及时更新病毒定义码；提升源头免疫能力，第一时间自动分发并确认打齐微软操作系统补丁；实施域名内部牵引，避免极端情况下受感染终端的不良后果等。

中国建设银行信息技术管理部资深高级经理郭汉利告诉记者，截至目前，建行全行未发生一起病毒感染事件，各信息系统运行稳定，各业务正常开展。“除了在第一时间组织安全技术团队开展应急措施之外，更重要的是，很多工作都是平时做的。”他表示，实际上，微软在今年3月就发布了此次病毒攻击所利用系统漏洞的补丁，4月初建行就通过终端安全客户端向全行办公终端推送了该补丁。在4月14日网络黑客组织宣布泄露NSA黑客工具后，又立刻部署防控工作，排查、封禁高危端口。

业内人士也表示，除了风控前置外，在进行风险评估时，“网络隔离是解决网络安全问题最有效的方式”这一看法也需要转变。一位网络安全业内人士对记者坦言，有些单位信息安全工作人员仍旧简单地以为，只要隔离就能安全解决问题。但事件证明，隔离不是万能的，内网不是安全的避风港，没有任何安全防护措施的内网一旦被突破，瞬间沦陷的危险更大。