新的网络形势下如何提升网络安全管理及防护水平

    保卫网络发展空间国家主权已成为我国重要战略，提升网络信息安全风险管理及防护技术水平，已经可以成为各级政府、企事业单位不得不面对的问题，2017年6月1日，我国《中华人民共和国网络安全法》已正式实施，根据《网络安全法》第二十一条国家实行网络安全等级保护制度，网络运营者应“履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改”。
    早在2014年全国安标委秘书处下达对《信息安全技术 信息系统等级保护基本要求》（GB/T 22239—2008）进行修订的任务。修订工作由公安部第三研究所（公安部信息安全等级保护评估中心）主要承担，从此拉开了等保2.0的序幕。经过三次专家评审和多次意见修改，形成了最新版本的标准送审稿。
    总而言之，等保2.0较之前的旧标准可以说有突破性的进展，尤其在移动互联、云计算、物联网等新的业务环境均提供安全建设标准和指导。
    实施网络安全等级保护意义重大，在信息化建设过程中不仅有利于同步建设网络安全设施，保障网络安全与信息化建设协调发展。而且为信息系统安全建设和管理提供了系统性、针对性、可行性的指导和服务，有效控制了网络安全建设成本，同时，  网络安全等级保护对网络安全资源的配置进行了优化，重点保障了关系到方方面面的重要信息系统的安全。 需要强调的是，信息安全等级保护明确了国家、法人和其他组织、公民的信息安全责任，进一步加强了信息安全管理。
    随着信息化的深入发展，数字化办公、分布式网络等新技术逐步展现在大家面前，在这一过程中，原有网络系统的软硬件、通讯协议，以及管理环节都存在诸多的安全脆弱性，信息化程度的快速提高，直接把这些安全隐患暴露出来，甚至某些安全问题会被放大。信息化的深入发展需要通过网络信息安全保驾护航。
    近年来，信息化得到长足发展，但是随着局势的不断变化，网络安全问题日益凸显，虽然在网络进行信息系统安全管理方面，我国发展已经有了长足的进步，各项规章制度、安全教育技术也日益完善，各类网络信息安全厂商如雨后春笋遍布全国各地，而各种网络安全产品如安全服务器、安全网闸、  防火墙、漏洞扫描等等层出不穷，数不胜数。
    那么如果购买大量的网络信息安全产品，能否有效提高网络安全防护水平？？
    网络安全是一个防护体系，而不是大量的安全产品的简单堆积，而是通过各种管理，人员，政策，和其他防护设备构成的。尤其是社会发展工程的日趋完美,很多攻击能够得到很好的绕过我们各种尖端的防御，人员的安全意识成为防护的短板。
    就像攻击伊朗核设施的网络病毒。伊朗作为一个集权国家，对于核设施的网络安全防护手段不可谓不够，并有完善的物理隔离装置，从公共网络基本隔离。但震网病毒却实打实对其核设施进行进行了研究针对性的破坏性打击，将伊朗的核计划硬生生的延迟了3年以上。其根本原因是利用其工作人员缺乏安全意识，不知不觉中把带有病毒的U盘带进了核设施的生产网络中，造成了巨大的破坏和损失。
    人是信息安全中的关键因素，同时人也是信息安全中最薄弱的环节，在网络安全圈流传着一句名言：３分技术７分管理， 没有绝对安全的技术，只有不安全的人。当网络的硬件和软件技术在时代发展的主流水平，升级系统，采购设备并没有显著提高网络信息安全水平，信息系统的安全性往往取决于系统中最薄弱的环节上：人。
    《网络安全法》第三十四条规定关键信息基础设施的运营者除了需要履行第二十一条规定外，还需要定期对从业人员进行网络安全教育、技术培训和技能考核，制定网络安全事件应急预案，定期演练等。
    统计结果表明，在商业银行信息安全事故中，只有20％～30％是由于黑客入侵或其他外部原因造成的，70％～80％是由于内部员工的疏忽或有意泄密造成的，我们经常听到这样令人感兴趣的信息：病毒、蠕虫造成了严重的破坏，黑客获取了信用卡的信息，大型网站主页被黑等等。 一般认为，这是由于企业未能安装安全产品（如防火墙、入侵检测系统等）。 而事实上，许多是由于未能有效实施安全管理，安全管理是网络安全的核心，安全管理的核心要取决于人。
    当前，我国企业各级人民政府管理部门、企事业单位等相关会计从业人员对网络信息安全的认识与意识不容乐观。具体体现在：不清楚风险在哪里、不了解基本的安全常识、不知道如何应对常见风险。其结果是：“一念之差就把敌人引进了家门”“一项误操作就进入了别人设下的圈套”“出了大事还在火上浇油”。综上所述，提升企业相关工作人员对网络信息安全的认识和网络安全管理意识迫在眉睫。
    网络信息已经深入到生产和管理的全过程，涉及到企业，产业化生产，生产及相关的管理是提高各个层面。目前，在政府相关部门、企业的安全文化建设中，信息系统安全风险管理仍然处于从属地位，需要进行研究不断努力，使之成为中国企业网络安全文化的中坚力量。
    信息安全及其相关技能的教育是相关部门安全管理中重要的内容,其实施力度将直接关系到政府部门策略被理解的程度和被执行的效果，为了保证信息安全的成功和有效，相应部门应当对各级管理人员、业务骨干进行安全培训，所有的人员必须了解并严格执行单位信息安全策略。
    因此，有必要围绕政府、企事业单位的从业人员开展网络安全方面的培训。提升对网络安全的认识和意识，加大网络安全管理方面的教育。有助于全方位的提高政府、企事业单位的网络安全防护水平。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！