2017年6月1日,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的正式實(shí)施,拉開(kāi)了等級(jí)保護(hù)2.0的序幕。
《中華人民共和國(guó)網(wǎng)絡(luò)安全法》為網(wǎng)絡(luò)安全等級(jí)保護(hù)賦予了新的含義,重新調(diào)整和修訂了等級(jí)保護(hù)1.0標(biāo)準(zhǔn)體系,配合網(wǎng)絡(luò)安全法的實(shí)施和落地,指導(dǎo)用戶(hù)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的新要求,履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的意義重大。
等級(jí)保護(hù)
網(wǎng)絡(luò)安全等級(jí)保護(hù)是指對(duì)國(guó)家重要信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸,處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理,對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。
等保2.0
隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,“等保1.0”體系逐漸難以持續(xù)應(yīng)對(duì)不容樂(lè)觀(guān)的網(wǎng)絡(luò)安全新時(shí)代,于是“等保2.0”體系應(yīng)運(yùn)而生。
2017年,《網(wǎng)絡(luò)安全法》首次提出“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”的概念,并明確相關(guān)具體要求。
2018年,《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征求意見(jiàn)稿)》提出“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,對(duì)網(wǎng)絡(luò)實(shí)施分等級(jí)保護(hù)、分等級(jí)監(jiān)管”,并闡述了相關(guān)工作原則、網(wǎng)絡(luò)等級(jí)、技術(shù)要求等內(nèi)容。
2019年,若干國(guó)家標(biāo)準(zhǔn)陸續(xù)出臺(tái),推動(dòng)了安全等級(jí)保護(hù)制度的建設(shè)。
由此可見(jiàn),自2017年《網(wǎng)絡(luò)安全法》生效以來(lái),圍繞網(wǎng)絡(luò)安全等級(jí)保護(hù)為核心的一系列法律法規(guī)及國(guó)家標(biāo)準(zhǔn),共同組成并開(kāi)啟了“等保2.0”體系。
進(jìn)入2.0時(shí)代,原“信息安全等級(jí)保護(hù)制度”,變更為“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。從整個(gè)網(wǎng)絡(luò)空間的角度來(lái)看,信息系統(tǒng)只是其中的一小部分,由“信息”到“網(wǎng)絡(luò)”,意味著等級(jí)保護(hù)的對(duì)象已全面升級(jí),不再拘泥于過(guò)去狹義的的信息系統(tǒng)層面,而是拓展到了整個(gè)網(wǎng)絡(luò)空間的安全保護(hù)。許多新興的業(yè)務(wù)環(huán)境,諸如網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施、云計(jì)算平臺(tái)/系統(tǒng)、云計(jì)算、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、大數(shù)據(jù)平臺(tái)/系統(tǒng)等,都被等保2.0時(shí)代納入了管理的體系之中,并為其提供安全建設(shè)標(biāo)準(zhǔn)和指導(dǎo)。
等保測(cè)評(píng)
1、等保測(cè)評(píng)概念
根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)政策、法律法規(guī)、等級(jí)保護(hù)工作的相關(guān)標(biāo)準(zhǔn),對(duì)未涉及國(guó)家秘密的信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行檢測(cè)評(píng)估的活動(dòng)。公安機(jī)關(guān)等網(wǎng)絡(luò)安全監(jiān)管部門(mén)進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)監(jiān)督檢查時(shí),系統(tǒng)運(yùn)營(yíng)使用單位必須提交由具有等級(jí)測(cè)評(píng)資質(zhì)的機(jī)構(gòu)出具的等級(jí)測(cè)評(píng)報(bào)告。
2、等保工作流程
定級(jí),備案,建設(shè)整改,等級(jí)測(cè)評(píng),監(jiān)督檢查
3、等保級(jí)別劃分
第一級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全、社會(huì)秩序和公共利益。第一級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)。
第二級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,但不損害國(guó)家安全。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行指導(dǎo)。
第三級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查。
第四級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行強(qiáng)制監(jiān)督、檢查。
第五級(jí),信息系統(tǒng)受到破壞后,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害。國(guó)家信息安全監(jiān)管部門(mén)對(duì)該級(jí)信息系統(tǒng)安全等級(jí)保護(hù)工作進(jìn)行專(zhuān)門(mén)監(jiān)督、檢查。
4、系統(tǒng)備案由誰(shuí)受理
按照有關(guān)規(guī)定,
①縣市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理本轄區(qū)內(nèi)備案單位的備案。
②隸屬于省級(jí)的備案單位,其跨地(市)聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng),由省級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理備案。
③隸屬于中央的非在京單位的信息系統(tǒng),由當(dāng)?shù)厥〖?jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)(或其指定的地市級(jí)公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén))受理備案。
④跨省或者全國(guó)統(tǒng)一聯(lián)網(wǎng)運(yùn)行并由主管部門(mén)統(tǒng)一定級(jí)的信息系統(tǒng)在各地運(yùn)行、應(yīng)用的分支系統(tǒng)(包括由上級(jí)主管部門(mén)定級(jí),在當(dāng)?shù)赜袘?yīng)用的信息系統(tǒng)),由所在地地市級(jí)以上公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)受理備案。
5、等保測(cè)評(píng)由誰(shuí)來(lái)做?
要找具有網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)資質(zhì)的測(cè)評(píng)公司去開(kāi)展,該單位至少具有國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)》,同時(shí)部分省份要求測(cè)評(píng)機(jī)構(gòu)在客戶(hù)單位所在地級(jí)市公安網(wǎng)安部門(mén)備案,備案成功后方可在當(dāng)?shù)亻_(kāi)展等級(jí)保護(hù)測(cè)評(píng)工作。
6、為什么要做等保
近日烏克蘭局勢(shì)不斷升級(jí),直到2月24日,發(fā)展成為全面的戰(zhàn)爭(zhēng)行為,除了目前牽動(dòng)世界神經(jīng)的戰(zhàn)爭(zhēng)局勢(shì)發(fā)展態(tài)勢(shì),還有伴隨在戰(zhàn)爭(zhēng)之下頻繁的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)。網(wǎng)絡(luò)攻擊一詞也一直伴隨著本次沖突的發(fā)展而不斷出現(xiàn),成為了本次戰(zhàn)爭(zhēng)的先行戰(zhàn)場(chǎng),同時(shí)也引發(fā)我們對(duì)于國(guó)家網(wǎng)絡(luò)安全的深刻思考。
據(jù)俄羅斯衛(wèi)星通訊社報(bào)道,俄羅斯國(guó)防部發(fā)布消息稱(chēng),高精度武器致烏克蘭空軍的軍事基礎(chǔ)設(shè)施、防空設(shè)備、軍用機(jī)場(chǎng)和航空隊(duì)失去戰(zhàn)斗能力。那么在此次“閃電戰(zhàn)”前,涉及到那些有關(guān)網(wǎng)絡(luò)安全的訊息呢?
一、多次針對(duì)烏克蘭網(wǎng)絡(luò)系統(tǒng)的攻擊
1)1月14日,烏克蘭政府網(wǎng)站遭遇大規(guī)模網(wǎng)絡(luò)攻擊,部分網(wǎng)站已關(guān)閉。烏克蘭外交部和教育部以及英國(guó)、美國(guó)和瑞典大使館的網(wǎng)站都受到了波及。在網(wǎng)站關(guān)閉之前,出現(xiàn)了一條消息,警告烏克蘭人“為最壞的情況做好準(zhǔn)備”。烏克蘭國(guó)家安全局(SBU)表示,去年他們用了九個(gè)月“消除”了1200起網(wǎng)絡(luò)攻擊事件。當(dāng)日起,被黑網(wǎng)站上的一條消息以烏克蘭語(yǔ)、俄語(yǔ)和波蘭語(yǔ)三種語(yǔ)言發(fā)布寫(xiě)道:“烏克蘭人!你所有的個(gè)人數(shù)據(jù)都已上傳到公共互聯(lián)網(wǎng)上,這么做是為了你的過(guò)去、現(xiàn)在和未來(lái)?!?/span>
2)2月15日15時(shí),包括烏克蘭國(guó)防部、武裝部隊(duì)等多個(gè)軍方網(wǎng)站和銀行網(wǎng)站遭到大規(guī)模網(wǎng)絡(luò)攻擊而關(guān)閉。這次烏克蘭受到的網(wǎng)絡(luò)攻擊主要是政治范圍內(nèi)的攻擊。在烏克蘭受到攻擊的網(wǎng)站中,主要是政府、軍事部門(mén),包括國(guó)庫(kù)、部長(zhǎng)級(jí)內(nèi)閣、安全和國(guó)防委員會(huì)、外交部、能源部、教育部等等。烏克蘭安全部門(mén)表示,此次攻擊非常強(qiáng)大,為分布式拒絕服務(wù)攻擊(ddos)。
據(jù)悉,此前烏克蘭遭受的網(wǎng)絡(luò)攻擊是通過(guò)cve-2021-32648(OctoberCMS 內(nèi)容管理系統(tǒng)平臺(tái)中的一個(gè)漏洞),以及WhisperGate 惡意軟件家族實(shí)現(xiàn)。微軟此前發(fā)布消息稱(chēng),一個(gè)名為Gamaredon的黑客組織正在創(chuàng)建一系列魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件,針對(duì)烏克蘭政府、軍隊(duì)、非政府組織、司法、執(zhí)法等部門(mén),進(jìn)行竊取敏感數(shù)據(jù)的攻擊活動(dòng)。美國(guó)網(wǎng)絡(luò)安全公司曼迪昂特情報(bào)分析副總裁約翰·赫爾奎斯特認(rèn)為,當(dāng)前危機(jī)是更多侵略性網(wǎng)絡(luò)活動(dòng)的“催化劑”,這種活動(dòng)隨著局勢(shì)惡化可能會(huì)增加。此前,2015年和2016年,俄羅斯也曾被指責(zé)為對(duì)烏克蘭進(jìn)行網(wǎng)絡(luò)攻擊,造成烏克蘭大部分電網(wǎng)癱瘓。
3)2月24日,有報(bào)道稱(chēng),在烏克蘭境內(nèi)出現(xiàn)了一種神秘的數(shù)據(jù)擦除類(lèi)病毒,該病毒至少影響了幾百臺(tái)電腦。此前,在2月23日的時(shí)候就已經(jīng)有部分網(wǎng)絡(luò)安全公司發(fā)現(xiàn)了該病毒。該病毒被命名為HermeticWiper,該病毒會(huì)擦除Windows系統(tǒng)的數(shù)據(jù)從而阻止系統(tǒng)啟動(dòng)。
知名網(wǎng)絡(luò)安全公司ESET表示,到目前為止,已經(jīng)發(fā)現(xiàn)了烏克蘭的幾個(gè)組織中的幾百臺(tái)電腦受到了HermeticWiper病毒的攻擊,實(shí)際受到攻擊的設(shè)備可能會(huì)更多。該公司稱(chēng),該病毒的主要目的可能是破壞數(shù)據(jù)。
知名軟件公司賽門(mén)鐵克表示,HermeticWiper病毒似乎主要是對(duì)烏克蘭的金融、國(guó)防、航空和IT服務(wù)領(lǐng)域的組織發(fā)起了攻擊。
有網(wǎng)絡(luò)安全公司的專(zhuān)家表示,HermeticWiper病毒會(huì)破壞Windows電腦的MBR分區(qū)(磁盤(pán)的主引導(dǎo)區(qū))從而阻止windows系統(tǒng)的啟動(dòng)。該病毒利用了一款免費(fèi)的分區(qū)軟件EaseUS來(lái)進(jìn)行攻擊。該病毒還使用了一家注冊(cè)地為塞浦路斯的公司的數(shù)字證書(shū)進(jìn)行了簽名。目前并沒(méi)有關(guān)于該公司的相關(guān)信息。
賽門(mén)鐵克公司表示,此次攻擊可能早有準(zhǔn)備,根據(jù)之前的信息,HermeticWiper病毒背后的黑客組織可能在幾個(gè)月之前就已經(jīng)進(jìn)入了烏克蘭的IT網(wǎng)絡(luò)。該黑客組織的攻擊目的也有可能并不是簡(jiǎn)單地擦除數(shù)據(jù)的攻擊,因?yàn)樵摴疽沧⒁獾?,該黑客組織部署HermeticWiper病毒的同時(shí)還部署了勒索軟件。
此次針對(duì)烏克蘭的病毒攻擊并不是最近幾周的第一次攻擊。今年1月份的時(shí)候,微軟就曾經(jīng)發(fā)出安全警告,稱(chēng)發(fā)現(xiàn)了有一款?lèi)阂獠《緦?duì)烏克蘭的windows設(shè)備發(fā)起了攻擊,并且這一病毒與HermeticWiper病毒有相似之處,都會(huì)破壞Windows電腦的MBR分區(qū)(磁盤(pán)的主引導(dǎo)區(qū))。
目前,沒(méi)有證據(jù)表明HermeticWiper病毒的攻擊來(lái)自任何組織或個(gè)人。本月23日發(fā)起的病毒攻擊可能只是非常巧合地發(fā)生在了俄羅斯采取軍事行動(dòng)之前。開(kāi)發(fā)HermeticWiper病毒并發(fā)起此次病毒攻擊的黑客組織的目的可能是為了部署勒索病毒來(lái)謀取利益。
但是,美國(guó)方面卻在毫無(wú)證據(jù)的情況下指責(zé)俄羅斯開(kāi)發(fā)了針對(duì)烏克蘭的惡意病毒。
幾次大規(guī)模網(wǎng)絡(luò)攻擊都是發(fā)生在俄烏局勢(shì)緊張之際,即便目前沒(méi)有證據(jù)表明HermeticWiper病毒的攻擊來(lái)自任何組織或個(gè)人,但無(wú)疑此次在2月24日俄羅斯宣布在烏克蘭采取特別軍事行動(dòng)前實(shí)行的網(wǎng)絡(luò)攻擊對(duì)烏克蘭的局勢(shì)也帶來(lái)了不小的影響??梢钥闯鰹蹩颂m近期的遭遇透露出一個(gè)信號(hào):今后在國(guó)家間的博弈中,網(wǎng)絡(luò)戰(zhàn)將成為極為重要的一環(huán),甚至在軍事戰(zhàn)爭(zhēng)中起到“糧草”的作用。
二、全球政府網(wǎng)站都面臨著嚴(yán)峻網(wǎng)絡(luò)安全威脅
放眼全球,政府部門(mén)網(wǎng)站被黑客攻擊的案例也不勝枚舉:
2017年,英國(guó)衛(wèi)生服務(wù)局NHS網(wǎng)站出現(xiàn)敘利亞戰(zhàn)爭(zhēng)的照片;
2008年,格魯吉亞社會(huì)基礎(chǔ)網(wǎng)絡(luò)、政府網(wǎng)站受到攻擊,格總統(tǒng)薩卡什維利的個(gè)人主頁(yè)被人篡改;
2019年10月,格魯吉亞再次遭到了大規(guī)模網(wǎng)絡(luò)襲擊,包括政府機(jī)構(gòu)、新聞媒體在內(nèi)的數(shù)千個(gè)網(wǎng)站被黑客襲擊,其中包括總統(tǒng)的個(gè)人網(wǎng)站主頁(yè);
2021年,印尼國(guó)家網(wǎng)絡(luò)和加密機(jī)構(gòu)(BSSN)遭到黑客攻擊和篡改,組織標(biāo)志上方寫(xiě)著“Hacked by the Mx0nday”的文字。
全球政府實(shí)體已成為威脅行為者中最熱門(mén)的目標(biāo)之一。出于不同的經(jīng)濟(jì)和政治動(dòng)機(jī),網(wǎng)絡(luò)犯罪分子在過(guò)去幾年中瞄準(zhǔn)了多個(gè)政府機(jī)構(gòu)。
政府機(jī)關(guān)一旦受到網(wǎng)絡(luò)攻擊,不僅會(huì)造成社會(huì)恐慌,而且作為與民生關(guān)聯(lián)最緊密的機(jī)構(gòu),政府機(jī)構(gòu)信息系統(tǒng)存儲(chǔ)了大量公民隱私信息,網(wǎng)絡(luò)犯罪分子一旦掌握到這些信息,會(huì)造成十分嚴(yán)重的后果。
網(wǎng)絡(luò)安全已經(jīng)上升到國(guó)家安全的高度。“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”。各種與網(wǎng)絡(luò)空間相關(guān)的事務(wù)已成為高級(jí)別政治博弈的重要內(nèi)容,各國(guó)都在積極爭(zhēng)奪網(wǎng)絡(luò)空間主導(dǎo)權(quán),以實(shí)現(xiàn)某種政治目的和尋求地緣政治優(yōu)勢(shì),特別是涉及國(guó)家外交與安全政策核心的網(wǎng)絡(luò)問(wèn)題。
新形勢(shì)下,網(wǎng)絡(luò)安全穩(wěn)步登上世界各國(guó)政府的議事日程。各國(guó)紛紛推出政府主導(dǎo)的安全戰(zhàn)略和倡議、政策法規(guī)等,旨在解決威脅個(gè)人和組織的網(wǎng)絡(luò)安全問(wèn)題。2022年2月15日起,我國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室等十三部門(mén)聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱(chēng)《辦法》)正式施行,不斷為我國(guó)的網(wǎng)絡(luò)安全做加法,可以看出其重視程度。
沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。
一、密評(píng)概念
Q
1)密碼的重要性:
2、密碼技術(shù)與核技術(shù)、航天技術(shù)并稱(chēng)為國(guó)家的三大“撒手锏”技術(shù),是國(guó)家重要戰(zhàn)略性資源。
3、沒(méi)有密碼安全就沒(méi)有網(wǎng)絡(luò)安全,沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全。
Q
2)什么是密碼:
Q
3)什么是商用密碼
核心密碼、普通密碼用于保護(hù)國(guó)家秘密信息,屬于國(guó)家秘密。
商用密碼是指對(duì)不涉及國(guó)家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品。公民,法人和其他組織都可以依法使用商用密碼保護(hù)自身的網(wǎng)絡(luò)與信息安全。
Q
4)商用密碼算法
Q
5)什么是密評(píng)
《密碼法》第二十七條規(guī)定
法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估(以下簡(jiǎn)稱(chēng)“密評(píng)” ) 。
定義:密評(píng)是指對(duì)采用商用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)與信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行評(píng)估。
二、密評(píng)意義
Q
1)當(dāng)前網(wǎng)絡(luò)安全形勢(shì)
Q
2)法定責(zé)任和義務(wù)
Q
3)相關(guān)法律法規(guī)
法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施,其運(yùn)營(yíng)者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù),自行或者委托商用密碼檢測(cè)機(jī)構(gòu)開(kāi)展商用密碼應(yīng)用安全性評(píng)估。
2(36號(hào)文)
2018年7月25日,中辦、國(guó)辦聯(lián)合印發(fā)《金融和重要領(lǐng)域密碼應(yīng)用與創(chuàng)新發(fā)展工作規(guī)劃(2018-2022)》(廳字【2018】36號(hào),簡(jiǎn)稱(chēng)36號(hào)文)
共涉及47項(xiàng)重要工作、30個(gè)重要領(lǐng)域
(基本涵蓋全國(guó)范圍內(nèi)所有行業(yè))
1.深化金融領(lǐng)域密碼應(yīng)用
2.加強(qiáng)基礎(chǔ)設(shè)施網(wǎng)絡(luò)密碼應(yīng)用
3.促進(jìn)數(shù)字經(jīng)濟(jì)密碼應(yīng)用
4.推進(jìn)信息惠民密碼應(yīng)用
5.增強(qiáng)密碼科技創(chuàng)新和基礎(chǔ)支撐能力
等保測(cè)評(píng)、密碼測(cè)評(píng)、網(wǎng)絡(luò)安全綜合服務(wù)商熱線(xiàn)
24小時(shí)熱線(xiàn):028-85328724 400-6446-808
18782021427
近日,一則“最便宜的門(mén)禁系統(tǒng)”的消息在朋友圈廣為流傳,甚至被網(wǎng)友稱(chēng)為對(duì)“區(qū)塊鏈了解最透徹的一次”。具體內(nèi)容如下:
廣為流傳的“最便宜的門(mén)禁系統(tǒng)”
什么是區(qū)塊鏈?
了解完什么是區(qū)塊鏈,我們?cè)倩剡^(guò)頭看看文章開(kāi)始提到的對(duì)區(qū)塊鏈去中心化、可追溯、不可篡改這些區(qū)塊鏈特性的理解為什么僅僅停留在表層。
區(qū)塊鏈的去中心化特性
區(qū)塊鏈去中心化的核心是參與區(qū)塊鏈的各個(gè)節(jié)點(diǎn)(即各個(gè)居民)的權(quán)利和義務(wù)一致,交易數(shù)據(jù)由各個(gè)節(jié)點(diǎn)共同維護(hù)。事實(shí)上,去中心化并不是消滅中心,而是弱化中心,因此簡(jiǎn)單地將去中心化理解為“不需要統(tǒng)一管理”是片面且不正確的。
區(qū)塊鏈去中心化特點(diǎn)的最大價(jià)值在于建立一個(gè)各方平等的系統(tǒng),可讓各方互信地參與交易(活動(dòng))。用文章“最便宜的門(mén)禁系統(tǒng)”來(lái)解釋?zhuān)梢岳斫獬梢驗(yàn)槿ブ行幕T(mén)禁的存在,讓各個(gè)住戶(hù)都可以平等地?fù)碛羞M(jìn)出大門(mén)的權(quán)力,無(wú)需擔(dān)心物業(yè)私自將門(mén)鎖更換導(dǎo)致住戶(hù)無(wú)法正常出入。
區(qū)塊鏈的可追溯特性
基于密碼算法的區(qū)塊鏈鏈?zhǔn)浇Y(jié)構(gòu)是區(qū)塊鏈可追溯特性實(shí)現(xiàn)的基礎(chǔ),這方面涉及到密碼學(xué)及分布式存儲(chǔ)的內(nèi)容,感興趣的同學(xué)可以繼續(xù)深入研究。區(qū)塊鏈的可追溯性主要體現(xiàn)在:存儲(chǔ)在區(qū)塊鏈上的數(shù)據(jù),所有的流轉(zhuǎn)記錄都是可查詢(xún),可溯源的,能看到它來(lái)自于哪里,又去到了哪里。
因此,區(qū)塊鏈可追溯特點(diǎn)的最大價(jià)值在于能夠記錄下數(shù)據(jù)使用、修改、刪除等完整的過(guò)程,對(duì)于建立數(shù)據(jù)公信力和對(duì)數(shù)據(jù)使用的公開(kāi)有著重要的意義。在“最便宜的門(mén)禁系統(tǒng)”中,并沒(méi)有真正體現(xiàn)區(qū)塊鏈的可追溯性,相反由于區(qū)塊鏈中非對(duì)稱(chēng)加密技術(shù)和身份驗(yàn)證技術(shù)的使用,能夠?qū)崿F(xiàn)各個(gè)節(jié)點(diǎn)身份隱匿地參與到交易活動(dòng)中,因此想要實(shí)現(xiàn)”誰(shuí)沒(méi)鎖找誰(shuí)“在區(qū)塊鏈上是無(wú)法實(shí)現(xiàn)的。
區(qū)塊鏈的不可篡改特性
區(qū)塊鏈的其他價(jià)值
2020年11月13日,“第15屆政府/行業(yè)信息化安全年會(huì)”在北京龍泉賓館舉辦。本屆年會(huì)由由公安部網(wǎng)絡(luò)安全保衛(wèi)局、中國(guó)科學(xué)院辦公廳、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心指導(dǎo),公安部第三研究所、公安部第一研究所、中國(guó)電子科技集團(tuán)公司第十五研究所主辦,《信息網(wǎng)絡(luò)安全》雜志、公安部信息安全等級(jí)保護(hù)評(píng)估中心、國(guó)家網(wǎng)絡(luò)與信息系統(tǒng)安全產(chǎn)品質(zhì)量監(jiān)督檢驗(yàn)中心、信息安全等級(jí)保護(hù)關(guān)鍵技術(shù)國(guó)家工程實(shí)驗(yàn)室、信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室、中關(guān)村信息安全測(cè)評(píng)聯(lián)盟等單位共同承辦。百余家部委、央企、研究機(jī)構(gòu)負(fù)責(zé)信息安全工作的領(lǐng)導(dǎo)、專(zhuān)家,以及網(wǎng)絡(luò)安全企業(yè)代表參加本次會(huì)議。
郭副局長(zhǎng)指出,要通過(guò)問(wèn)題導(dǎo)向,開(kāi)展實(shí)戰(zhàn)引領(lǐng),形成體系化作戰(zhàn),要針對(duì)網(wǎng)絡(luò)安全工作存在的突出問(wèn)題,采取有效措施加以應(yīng)對(duì)。一是要高度重視網(wǎng)絡(luò)安全,提升大局意識(shí)、敵情意識(shí)、危機(jī)意識(shí),大力提升應(yīng)對(duì)網(wǎng)絡(luò)攻擊威脅能力。二是全面落實(shí)公安部《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》(公網(wǎng)安〔2020〕1960號(hào))文件要求。三是加強(qiáng)網(wǎng)絡(luò)安全頂層設(shè)計(jì)、規(guī)劃,與中央要求和法律要求對(duì)標(biāo)對(duì)表,加強(qiáng)組織領(lǐng)導(dǎo)和督促指導(dǎo)。四是深入貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,建立網(wǎng)絡(luò)安全良好生態(tài)。五是落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度,建立專(zhuān)門(mén)的保衛(wèi)、保護(hù)和保障機(jī)制,保護(hù)好核心要害系統(tǒng)和大數(shù)據(jù)。六是加強(qiáng)威脅情報(bào)工作,情報(bào)引領(lǐng)“打防管控”。七是加強(qiáng)人才培養(yǎng)、隊(duì)伍建設(shè),開(kāi)展訓(xùn)練和對(duì)抗演練,大力提升對(duì)抗能力。
同時(shí),會(huì)上郭副局長(zhǎng)提出了“四新”要求和“六防”構(gòu)建網(wǎng)絡(luò)安全的新舉措、新發(fā)展和新思路。
“四新”要求
新目標(biāo):構(gòu)建國(guó)家網(wǎng)絡(luò)安全綜合防控體系;
新理念:實(shí)戰(zhàn)化、體系化、常態(tài)化;
新措施:動(dòng)態(tài)防御、主動(dòng)防御、縱深防御、精準(zhǔn)防護(hù)、整體防控、聯(lián)防聯(lián)控;
新高度:國(guó)家網(wǎng)絡(luò)安全綜合防御能力和水平上升一個(gè)新高度。
“六防”
動(dòng)態(tài)防御:以風(fēng)險(xiǎn)管理為指導(dǎo),針對(duì)攻擊方法、攻擊途徑的變化,實(shí)現(xiàn)網(wǎng)絡(luò)安全狀態(tài)持續(xù)監(jiān)測(cè)、及時(shí)反饋、動(dòng)態(tài)調(diào)整防御策略、技術(shù)和手段;
主動(dòng)防御:基于可信計(jì)算技術(shù)構(gòu)建可信安全管理中心支持下的安全防護(hù)框架,結(jié)合威脅情報(bào)、態(tài)勢(shì)感知,及時(shí)發(fā)現(xiàn)和處置未知威脅,落實(shí)主動(dòng)防護(hù)措施。
縱深防御:施行分區(qū)域管理,區(qū)域間進(jìn)行安全隔離和認(rèn)證;實(shí)行事前監(jiān)測(cè),事中遏制及阻斷,事后跟蹤及恢復(fù),實(shí)現(xiàn)攻擊的層層狙擊,全流程防御。
精準(zhǔn)防護(hù):基于資產(chǎn)的自動(dòng)化管理,協(xié)同威脅情報(bào),檢測(cè)未知威脅、異常行為等,實(shí)現(xiàn)對(duì)核心資產(chǎn)的精準(zhǔn)防護(hù),提供內(nèi)生安全、主動(dòng)免疫能力。
整體防護(hù):以保護(hù)關(guān)鍵業(yè)務(wù)鏈為目標(biāo),進(jìn)行整體安全設(shè)計(jì),建立協(xié)同聯(lián)動(dòng)、高效統(tǒng)一的安全防護(hù)體系。
聯(lián)防聯(lián)控:建立與國(guó)家監(jiān)管部門(mén)、保護(hù)工作部門(mén)、其他利益相關(guān)方的協(xié)調(diào)配合,聯(lián)動(dòng)共防機(jī)制,建設(shè)“打防管控”一體化網(wǎng)絡(luò)安全綜合防控體系,提升國(guó)家整體應(yīng)對(duì)網(wǎng)絡(luò)攻擊威脅能力。
另外郭副局長(zhǎng)在會(huì)上也指出:目前網(wǎng)絡(luò)安全隱患集中分布在業(yè)務(wù)內(nèi)網(wǎng),互聯(lián)網(wǎng),生產(chǎn)網(wǎng),辦公網(wǎng)等領(lǐng)域,其中以業(yè)務(wù)內(nèi)網(wǎng)隱患最為突出。所以切不要以為系統(tǒng)在內(nèi)網(wǎng),安全問(wèn)題就可以放松不管了,應(yīng)亟待落實(shí)等級(jí)保護(hù)制度,加強(qiáng)網(wǎng)絡(luò)安全防護(hù)措施。內(nèi)網(wǎng)的安全問(wèn)題往往會(huì)被大家忽視,防護(hù)措施更為薄弱,安全形勢(shì)更為嚴(yán)峻。