加强网络安全防护的思考和实践

黄果.加强网络安全防护的思考和实践[J].中国食品药品监管.2020.05(196):14-19.

从1994 年4 月20 日被国际上正式承认拥有全功能Internet 至今①,我国的互联网已经走过了26 年。26 年来,互联网技术持续升级、应用场景不断拓展、新的焦点不断涌现,但网络安全的紧迫性与重要性从未改变。

以习近平同志为核心的党中央高度重视网络安全工作,提出了一系列重大论断,突出强调了“没有网络安全就没有国家安全”“树立正确的网络安全观”。一系列网络安全制度建设方面重大举措的提出及一系列法律法规的颁布,如《中华人民共和国国家安全法》《中华人民共和国网络安全法》等,使我国网络安全工作发生了历史性变革。可以说,加强网络安全防护已经不再局限于以往狭义的技术层面,而被赋予了全新的内涵。因此,在推进药品智慧监管的实践中,我们应坚决防范化解网络安全风险,扎实有序,行稳致远。

1
网络安全进入大安全时代是外部环境

当前,网络安全早已远远超越了病毒、木马对局部的影响,超出了技术安全、系统保护的范畴,发展成为涉及政治、经济、文化、社会、军事等各个领域,涉及党政机关、企业、个人等各个方面的综合安全。全球现已有几百支“网络战”部队,国家级黑客早已入场,“网络战”已经出现,网络安全已成为关乎国家安全的战略高地,我们已进入大安全时代。
推进药品智慧监管,实现监管方式的转变和监管效能的提升,实现药品监管体系和监管能力现代化,不可能依靠某个孤立的“网络”或“系统”,更不可能依靠某个部门、某个单位的“民兵式防御”来应对各种现实、潜在的网络安全风险。我们必须充分认识到“网络战场”的高度复杂性,我们的阵地无处不在,你中有我、我中有你;我们的对手无处不在,若隐若现、诡谲多变。我们必须深入学习贯彻习近平总书记提出的总体国家安全观,以整体、动态、开放、相对、共同为防护理念,按照意识、管理、技术并重的原则,持续增强全员的网络安全意识,健全风险研判、防控协同、防范化解机制,构建多主体参与、多手段并重、全范围覆盖的安全保障体系,实现全方位、全天候维护网络安全的目标,满足当前与长远的需要。

 

2
技术进步是网络安全升级的内生动力

信息化技术,尤其是互联网科技是网络安全的根本保障。推动互联网这个最大变量成为事业发展的最大增量,不但要提高用网水平,还要提高治网水平。

为实现监管方式由传统向智慧转变,形成新的业务场景,药品智慧监管正在努力构建基于5G、云计算、大数据、物联网、移动互联等先进信息化技术的新技术架构,促进技术和监管的深度融合,但这也为网络安全保护带来新的挑战。一方面,针对新技术的安全威胁不断衍生,“李鬼”移动应用、伪基站、操作系统漏洞等问题频现,云计算和大数据接口安全、隐私保护、存储安全、数据审计、访问控制等问题如影随形,安全威胁随技术发展快速演进,攻击手段推陈出新,传统的“头痛医头、脚痛医脚”的防护手段已力不从心。另一方面,随着新技术的发展与应用,社会正在快速进入万物互联的智能化时代,过去相对独立分散的网络已经融合为深度关联、相互依赖的整体,对网络空间的攻击也已经可以穿透虚拟空间,直接威胁到现实世界的安全。

针对当前网络安全的新变化以及新技术、新应用发展的要求,我国正抓紧制修订关键信息基础设施安全保护制度及网络安全等级保护制度等,目前已发布了《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》《信息安全技术 网络安全等级保护安全设计技术要求》(即等保2.0)等技术规范。在实际工作中,我们必须密切跟踪、认真贯彻落实上述技术法规,对网络安全保护体系要求进行全面、持续升级,对新型网络系统安全防护能力进行提升,构建完善横向协同、纵向联动的安全保障技术体系。

3
责任落实是维护网络安全的基本保障

网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。要提高网络综合治理能力,形成党委领导、政府管理、企业履责、社会监督、网民自律等多主体参与,经济、法律、技术等多种手段相结合的综合治网格局,这是我们在推进智慧监管和网络安全工作中必须坚持的正确方向。

网络安全三分技术、七分管理、十分落实。要落实,就要时刻保持高度的责任意识。在智慧监管体系中,各级监管人员既有用户,也有管理人员。对系统用户来说,一个过于简单的密码、一次不安全的邮件附件点击等,都可能会带来网络安全问题;对管理人员来说,网络安全不能仅靠事后防范,而应考虑每一次的授权、配置等操作给网络安全带来的风险和影响。在实际工作中,我们要通过多种方式加强网络安全方面的全员培训与教育,增加了解网络安全知识的途径,避免网络安全意识的提高建立在“吃一堑,长一智”的基础上。

要落实,还要建立健全切实有效的防范制度。笔者认为,当前最急迫的就是健全网络安全监测通报机制,明确网络安全监测、通报预警、应急处置和监督评估等一系列规定,做好打持久战的思想和工作准备。2019 年,国家药监局信息中心坚持网络信息安全预防在先,制定监测计划,及时发布网络安全信息预警通报及业务系统监测告警通知,对新上线的业务系统进行反复的渗透测试,发现并修复多项系统漏洞,通过有力的监测预警手段,保障了各类业务系统的安全、稳定运行。在今后的实际工作中,监测通报要持续加强,专项检查、攻防演练等更需频繁开展。

 

4

全生命周期的安全技术防护体系是铜墙铁壁

造成网络安全事件发生的一个重要原因是由于系统建设的前期未重视网络安全保护要求,没有采取相应的安全技术措施或配备相应的安全设备,导致系统先天不足,而后天这些隐患的消除往往需要付出极大代价。因此,必须关口前移,在信息系统设计、建设、投入使用阶段就统筹考虑网络安全技术防护工作。

《网络安全法》明确要求,做好关键信息基础设施重点保护,必须重视并保证安全技术措施的同步规划、同步建设、同步使用。“三同步”原则已经成为建设全生命周期安全技术防护体系的基本要求。在实际工作中,我们要认真落实“三同步”,将安全风险控制由事后关注转变为全生命周期管理,按照“谁主管、谁负责”工作分工,在系统建设使用各阶段持续加强安全,包括:在业务规划阶段,同步纳入安全要求、申请安全经费、引入安全措施;在系统建设阶段,落实相关责任,保证安全措施与系统建设同步开展,确保只有符合安全要求的系统才能上线;在验收后的日常运营维护中,保持系统处于持续优化的安全防护水平。

当前,在推进智慧监管的进程中,落实“三同步”原则已经取得阶段性成效。在建设药监云的同时,我们同步建设了药监云态势感知系统;设立网络安全监控中心,建立安全防范、监测、通报、响应和处置机制;利用“综合监控运维系统”,实现网络资源统一管理、设备运行状态实时监测、系统运维一体化管理,主动安全防御已初具规模。2019 年,国家药监局网络安全实现“零事故”的目标。但同时我们必须认识到,智慧监管是一个系统工程,涉及基础设施、数据资产、业务应用、管理制度等各个方面,需要我们以更加宏观的视角去思考网络安全防护工作。尤其要强调的是,各级监管部门、机构都要分层级制定网络安全策略、管理办法、管理程序和标准,并且细化可落地执行的细则、规范、记录、表单等,按照药品智慧监管的统一规划,同步完善网络安全技术防护体系。

 

5
数据安全是安全防护的重中之重

党的十九届四中全会提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。”数据作为生产要素之一参与分配,这对数据的安全防护提出了更高要求。
智慧监管正在汇聚更加完整、权威的数据;同时,随着智慧监管大数据平台建设的不断完善,各类药品监管相关的多元异构数据也将逐步集中,经过数据清洗、关联分析后,将会产生巨大的价值,但这些数据也可能为不法分子所觊觎,成为“网络战”攻击的目标。因此,我们在布局、鼓励和推动智慧监管大数据发展应用的同时,必须同步谋划、积极应对大数据带来的安全挑战。
在实际工作中,一是要把大数据资源保护纳入到网络安全战略框架中,完善大数据环境下的信息安全体系,提高应急处置能力和安全防范能力,提升服务能力和运作效率。二是通过规划设计,明确大数据资源保护的整体规划和近远期的重点工作。三是对大数据资源实施分级分类安全保护思路,积极开展大数据安全风险评估工作,针对不同级别大数据特点加强安全防范。四是制定不同级别的大数据采集、存储、备份、迁移、处理和发布等关键环节的安全规范和标准,配套完善相应的监管措施。五是加强大数据信息安全系统建设,针对大数据的收集、处理、分析、挖掘等过程设计与配置相应的安全产品,并组成统一的、可管控的安全系统。

6
人才队伍是打赢网络安全保卫战的关键

网络安全问题的本质是对抗,对抗的本质是攻防两端能力的较量,归根结底是人的竞争。因此,要打赢智慧监管网络安全保卫战,人才是关键。我们迫切需要建立一支既深入了解监管业务,又全面掌握信息安全技术的复合型人才队伍。要打造这样一支队伍,一方面,要充分发挥现有信息安全人才队伍的作用,重视人才、尊重人才,在实践中发现人才、培养人才。另一方面,要积极借用外部力量,依托高校、科研机构等研究平台,开展联合培养。同时,支持通过任务外包、产业合作、学术交流等方式,充分利用全社会的专业人才资源,为智慧监管提供技术保障。

新时代赋予新使命、新矛盾要求新作为。随着内外部环境的变化以及智慧监管推进的深入,更多的网络安全问题呈现在我们面前。大安全需要我们具备大格局、大视野,不断修炼“内功”,从而提升网络安全防护的能力,打造智慧监管网络安全的新格局。

发表评论

相关文章

//pagead2.googlesyndication.com/pagead/js/adsbygoogle.jshttps://www.googletagmanager.com/gtag/js?id=UA-108371172-1