《中华人民共和国网络安全法(草案)》(简称“《草案》”),华三李彦宾认为,《草案》对于关键信息基础设备安全的范围仅限定在国家层面控制的领域,而对于中小企业、互联网企业并没有做出限定,但实际上这部分是最容易出问题、出现安全遗漏的地方。
对于正在征求社会各界意见的《中华人民共和国网络安全法(草案)》(简称“《草案》”),网络安全界的人士们纷纷提出了自己的看法,杭州华三通信技术有限公司安全产品部部长李彦宾在接受赛迪网的采访时就提出《草案》对于关键信息基础设施安全的相关规定还不够完善。
李彦宾认为,《草案》对于关键信息基础设备安全的范围仅限定在国家层面控制的领域,而对于中小企业、互联网企业并没有做出限定,但实际上这部分是最容易出问题、出现安全遗漏的地方。另外对于关键信息基础设备的定义,《草案》中只讲了网络产品和服务,范围有些狭窄,应该定义到所有信息设备领域。
如今,各个领域主管部门之间都是平级单位,对安全保护的认识及实施千差万别,而国家层面的安全防护一定是系统工程,如何能做到国务院的指挥下统一动作需要上层予以考虑,而这也是关键信息基础设施安全相关规定所面临的难题之一。
目前我们国家已建立了成熟的产品检验及系统测评认证机构,如等级保护、分级保护制度等等,所以不需要再建立独立的第三方检测机构。不过,现在各机构所检测的产品大多仅限定在信息安全产品领域,随着网络安全法实施,建议将检验检测领域进行扩大。
而要想让关键信息基础设施运营者尽快加强其安全建设,更关键的是在于把安全防护的意识贯彻下去,可以统一做要求,但不要限定完成时间表,安全防护是一个持续、循环的过程,不能一蹴而就。
李彦宾强调说,如果要保证让所有应该看到的人都能及时获知最新安全预警信息,那么需要将安全预警信息细化到用户级别,根据用户级别提供相应的安全预警服务。
攻防及安全防护是一个动态过程,已知或未知风险都可能造成信息安全事件,作为安全应急预案,已知的风险比较容易检测,也比较容易处置。未知的风险应急预案,其有效性的检测重点需放在系统能否继续运行及数据保护上面,以上面两个为有效性重要指标。
最后李彦宾表示,对于“对网络通信采取限制等临时措施”这条法规,要限定到具体领域、具体单位、具体企业及组织,把安全可能导致的影响力进行分类分级,到达级别就可以启用通信限制的临时措施。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。
