精彩盤點：2017網路安全法及關鍵信息基礎設施保護培訓會

新聞 07-22

人類世界的紛爭，似乎永不停歇，這是否是文明繁衍無法避免的傷痛，還只是走向未來新世界黎明前的曙光，我們無從而知，但必須學會保護自己。

離開了酷熱高溫中的上海，北京正處於雨前的陰天，氣溫還是稍涼一點，行道樹的國槐開的正好，搖落了一地的碎花。

北京的鳶尾

2017 年 7月 20日 - 21日在北京萬壽庄賓館召開正在召開「網路安全法及關鍵信息基礎設施保護培訓會」和「 2017第二屆信息安全服務年會」。本屆會議由公安第三研究所、國家網路與信息系統安全產品質量監督檢驗中心主辦，公安三所《網路信息安全》雜誌承辦、上海嘉韋思信息技術有限公司協辦。FB小編也應邀來到現場，參與到此次會議中。

也許因為萬壽庄賓館是隸屬於中央組織部的關係，出入口都有挺拔的武警站崗。走進大門走入內部，樓體建築和內部環境都散發著一種濃濃的國營老字號的味道，趁著會議開始之前的間隙，小編開始四處兜兜轉轉，也發現不少有趣的地方。

莫名親切的懷舊感

小編從南門走到會議所在的綜合樓，還是需要走上五六分鐘的樣子，中間還需要穿過一個小小的蘇式庭院，麻雀雖小五臟俱全。這個庭院既有亭台樓閣，也有小橋流水，天氣好的時候，看看風景，想必還是十分愜意的。

看到小橋了么

好了，更多精彩花絮文末再看，我們差不多該回歸正題了，首先先來瞧瞧第一天的培訓會有哪些看點，一起來回顧下吧！

本屆網路安全法與關鍵信息基礎設施培訓會的主要目的還是對相關單位機構企業及安全廠商的信息安全服務工程師展開培訓，致力於提高大家的信息安全意識，更好地掌握等級保護的政策、標準，以實現落實國家信息安全要求的工作。上下午分別由來自公安三所的嘉賓講師進行議題的分享和培訓內容的傳授，隨後還會對學員進行培訓內容的考核，並根據學院們的成績頒發證書。

記筆記、拍照片，學員在認真聽課

信息安全等級保護

9點剛過，信安在線主持人舒首衡宣布培訓開始，第一堂課程由信息安全等級保護評估中心主任陳廣勇老師進行了等級保護主題的授課。

信息安全等級保護是國家信息化發展中的重要保障基礎，通過信息安全等級保護制度推進，可以真正構建國家的信息安全保障體系。

信安在線主持人

舒首衡宣布開始

陳廣勇老師剖析了信息安全等級保護的對象、定級的方法、標準的結構、條款框架和一些主要的關鍵點，隨後展開了對等級保護條款進行新舊條款的對比，將新增、修改、刪除的條款進行列舉說明。內容涉及了物理和環境安全、網路與通訊安全、設備與計算機安全、應用與數據安全、雲計算安全、移動互聯繫統安全等等。具體則包括了：機房的具體位置；如何防靜電防火；如何進行異地備份；網路架構架設；通訊傳輸的加密；邊界保護；訪問控制；入侵防範；安全審計；集中管控；身份鑒別；軟體容錯；資源控制；數據安全；物聯網；工業控制等等。

信息安全等級保護評估中心主任陳廣勇老師的講解

可以發現，等級保護提出了對不同級別的網路服務商的不同要求，精確要求的條款給相應等級的企業安全進行了管理上以及技術上的明確要求，有利於信息安全威脅的排除。而隨著時代的發展、技術的革新，一些陳舊的管理要求及實施辦法被修訂、刪改，一些超前的「展望未來」的管理條例也有在專家商議後新增進來。

陳廣勇

老師在舉例說明時提到的了一些真實案例，「某能源企業遭遇 WannaCry 事件時，2萬個加油終端遭受影響」，「某電視台電視台有段時間一直有免密直連的 WiFi 可直接侵入導播室」等等。他也提到其實在進行安全檢測時就能夠發現各種隱患和漏洞，如早在幾年前就檢測出了該企業的 445 埠暴露在外、存在威脅，但還是由於企業自身沒有落實，導致受到勒索軟體的攻擊影響，追悔莫及。

網路安全法

圍繞網路安全法這七章79條的內容，

大數據安全測評實驗室負責人

宋好好老師為學員分別講解該法律的制定背景、相關概念、主要條例。

網路安全法在2013下半年提上日程，2014年形成草案，15年形成徵求意見稿，16年11月人大通過，2017年6月1日正式實施。

該部法律的出台，規定了網路安全等級保護、關鍵信息基礎設施安全保護、網路安全監測預警和信息通報、用戶信息保護、網路信息安全舉報投訴等制度，並為網路安全事件應急響應預案／處置、漏洞等網路安全信息發布、網路安全人員背景審查和從業禁止，網路安全教育和培訓、數據留存和協助執法定下法律級別的標準。

工控安全

短暫的午餐之後，下午的議題是由工控安全評測實驗室負責人、國家網路語信息系統安全產品質量監督檢驗中心的鄒春明老師講解的。他分別從工控安全的現狀、特點、標準法規、工控等級保護、安全產品現狀的五個角度展開培訓。

工控安全一直以來是關鍵基礎設施中的重要組成部分。但我們國家工控安全的基礎較為薄弱，工控標準協議多，在管理制度、網路、系統、計算機設備、安全產品上都有很多脆弱點，而自2016年震網病毒開始，工控系統安全漏洞和隱患日益增多，工控系統信息安全事件頻發……

今年我們也看到在世界各地工控安全事件、工控安全預警頻頻出現，模版釣魚侵入能源企業，烏克蘭電網 Industroyer 事件等等，加強重視，按照要求提高安全標準，促進行業安全制度規範和發展。隨著互聯網的普及，工業 4.0 進程加快，大數據、雲計算和數字化工程的推廣，工業信息網路安全道阻且長。

關鍵信息基礎設施保護案例

杭州銀行高鵬在最後一堂課上分享了關鍵了關鍵信息基礎設施保護的相關案例。

重慶農商行 2014 年 7 月 22 號數據中心發生火災，損失巨大，緊急切換到災備中心機房。據稱事故原因在於UPS 電池放置問題導致短路走火，通過空調循環系統傳到了每一個機櫃中，唯有 IBM 伺服器沒有在火災中燒掉。

2015 年 11 月 22日山西證券地下二層失火，UPS 沒能頂上，該企業沒有備用機房，交易服務直接斷掉，資金面影響很大

2015 年 6 月阿里雲在香港部署節點的時候，一塊硬碟壞了，處理維護的工作人員可能經驗不足下掉了硬碟，卻發現備件型號不對，主要事故原因是處置員工和應對該類事件的經驗不足

2010 年世博和亞運會之前，系統上線變更維護禁止變化，信息系統安全。交行升級系統時發生系統死機。

還有各類斷路器跳閘，電涌，火災，施工問題導致的安全事故

總結這些損失慘重的重要設施安全事故後，根據數據分析多年數據可以得出，多數事故發生在運行多年的機房中，3-5 年的事故率為 33%，5-10 年的事故率在 41%，發生供電故障是事故發生的主要原因約佔所有事故的16.7%，而其次的故障原因多在於設備運行管理、空調系統、磁碟、系統等問題，對關鍵基礎設施進行定級和等級保護還是非常有必要的，化被動防禦為主動防護。

本次網路安全法及關鍵信息基礎設施保護培訓會在學員們的考試中愉快地落下帷幕，21日還在此處舉行2017年第二屆信息安全服務年會的活動。

【場外花絮】

信息安全的威脅花樣繁多，與日俱增。攻擊與防禦之戰從鐵與血的方式升級到看不見摸不著的信息戰層面，但

人類世界的紛爭

，似乎永不停歇，這是否是人類文明繁衍無法避免的傷痛，還只是走向未來新世界黎明前的曙光，我們無從而知，但也必須學會保護自己，一步一步地邁向未來。

回頭看看，動物世界是多麼的美好純潔。