公安部明确“关保”制度,企业应如何落实?

  • A+
所属分类:安全新闻
公安部明确“关保”制度,企业应如何落实?
撰稿 | 蓝河
编辑 | 图图




9月2日, 由公安部网络安全保卫局指导,公安部第三研究所、公安部第一研究所主办,深信服科技、奇安信集团、启明星辰、360企业安全、天融信科技集团、亚信安全、安恒信息、北信源、圣博润、永信至诚联合承办的“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”在北京如期召开。


公安部明确“关保”制度,企业应如何落实?


会议宣传贯彻了网络安全等级保护制度和关键信息基础设施安全保护制度,并进行了《网络安全等级保护定级指南》(GB/T 22240-2020)标准解读。通过研究和探讨网络安全等级保护制度和关键信息基础设施安全保护制度,探讨网络安全领域引入保险的对策与机制,从而更好地服务于国家“一带一路”战略,支撑国际发展。


作为受邀的网络安全企业代表,深信服在宣贯会上率先发言,分享了自己在网络安全等级保护和关键信息基础设施安全保护方面的研究成果和实践经验。


此次大会的召开,对于关键信息基础设施安全保护工作的开展,无疑是一个重要的信号。




公安部明确“关保”制度,企业应如何落实?


网络安全是关键信息基础设施
的“基础”


随着5G、物联网、大数据、云计算等技术的广泛使用,我们正式步入了数字化时代。而自今年4月20日国家发改委首次明确了“新基建”的范围以后,我国数字化时代的发展进程再一次驶入了高速车道。


数字化时代有两个比较共识的特点:一是万物均可互联,二是软件定义一切。


因此,我们不仅将会迎来终端数量的爆发式增长,而且这些终端都可能会以数字化的方式,通过网络与包括“新基建”在内的关键信息基础设施相连接。


然而,只要是信息系统就必然无法避免漏洞的存在,哪里有漏洞,哪里就会有网络攻击。任何不起眼的终端设备都有可能会成为网络攻击的入口和跳板;而这些攻击的最终目标,都可能是关键信息基础设施。


与此同时,网络和现实世界的边界将会随着新技术的应用而更加模糊,安全的暴露面也会更广。网络世界的风险将会直接对现实世界产生威胁,针对关键信息基础设施发起的网络攻击,就是对人身安全、公共安全乃至国家安全的一次巨大挑战。


根据数据统计,近年来针对关键信息基础设施发起的网络攻击日益频繁,无论是强度、规模、范围、频率还是所造成的破坏都上升到了全新的高度。


从今年2月份开始,各类针对关键基础设施发起的网络攻击持续不断。先是南亚某国组织借新冠疫情期间对我国医疗机构发起攻击,再是因边境摩擦,对我国军事单位进行网络攻击。4月以色列的水利设施受到了中东某个黑客组织的攻击,5月伊朗重要的港口又受到了他国网络部队的攻击。


公安部明确“关保”制度,企业应如何落实?


事实证明,关键信息基础设施早已成为黑客团伙以及国家级网络攻击的主要目标。并且这些攻击都无一例外地对人身安全、社会公共安全,乃至国家安全造成了严重的危害。


网络安全是“新基建”的基础,对于关键信息基础设施来说亦是如此。作为数字化发展的重要前提,保护关键信息基础实施,就是在保护我国数字化的健康发展。因此,针对关键信息基础设施开展网络安全保护至关重要。


实际上,从今年4月份网络安全等级保护制度2.0系列国家标准《网络安全等级保护定级指南》(GB/T22040-2020)的正式发布;到7月22日,公安部印发《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,都在逐渐提升并强调关键信息基础设施安全保护的重要性。


而此次宣贯会的召开,无疑是从监管政策层面,让关键信息基础设施安全保护的重要性再一次得到了提升。随着国际网络空间安全形势的日益严峻,关键信息基础设施受到的威胁日益加重,这无疑是从监管和行业两个层面对关键信息基础设施安全保护提出了更加严苛的要求。


因此,我们需要深入了解关键信息基础设施安全保护制度中所明确的指导思想、基本原则、工作目标以及具体措施,从整体出发,打造针对关键信息基础设施安全保护的整体安全解决方案,才能够充分发挥网络安全的作用,保护好关系国家发展的关键信息基础设施。


“等保”是关键信息基础设施
安全保护的基础


想要行之有效地进行关键信息基础设施安全保护,首先就需要对关键信息基础设施安全保护制度进行深入的了解和研究。


制度中明确要求,关键信息基础设施必须按照等级保护制度要求,开展定级备案、等级测评、建设整改、等级测评等强制性、规定性工作。同时,关键信息基础设施在网络安全等级保护测评中还需同步开展密码应用安全性评估工作。


也就是说,针对关键信息基础设施所开展的网络安全防护,本质上就是在“等保”的基础上再实施重点的保护。


因此,“等保”就是关键信息基础设施安全保护的基础,而关键信息基础设施更是“等保”的保护重点。


这就要求了安全解决方案及安全企业需要具有:

1、对等级保护及商用密码应用安全性评估的政策标准有充分的研究和深厚的理解;

2、在等级保护方面有丰富且成功的实践经验和案例;


必须明确的是,在数字化时代,网络安全一定要改变过去“救火队员”的身份,转被动为主动,亲自参与到关键信息基础设施建设的顶层设计中。


那么关键信息基础设施安全保护就应当以加强预警监测和应急响应机制,协助关键信息基础设施运营者定期进行安全风险评估和安全控制措施调整为目标。最终有效地规避安全风险,提升关键信息基础设施安全防护能力。


与此同时,由于不同的关键信息基础设施所承载的等级系统、业务系统也有所差异,我们还需要加强各系统之间的安全互联设计,对数据交换和信息流向进行严格的控制,并通过自动化工具,在整体安全建设和运维中实现对资产进行自动化的管理、机制策略、整合分析、预警以及事件处理报告。


基于上述设计理念,再以“等保”为基础,并同时结合关键信息基础设施安全保护的相关政策,从而打造一套关键信息基础设施安全保护的整体安全解决方案,才能够在数字化时代从整体上对关键信息基础设施进行充分且有效的保护;同时也对关键信息基础设施安全保护的进一步强化和推进具有重要的参考价值。


专门针对“关保”的整体解决方案


以关键信息基础设施安全保护相关法律法规政策标准为设计依据,以建立完善关键信息基础设施网络安全综合防御体系为目标,以落实“三化六防”措施为基本原则,深信服推出了CII(关键信息基础设施)安全保护解决方案。该方案共包含分析识别、安全防护、检测评估、监测预警事件处置五个环节。


公安部明确“关保”制度,企业应如何落实?


深信服认为,分析识别是关键信息基础设施安全保护的首要环节,是开展其它相关环节工作的基础。因此CII安全解决方案的第一步,就是协助关键信息基础设施运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,协助开展业务依赖性识别、资产识别、风险识别等服务。


第二步,根据分析识别环节所认定的安全风险,安全防护环节可以实施安全通信网络、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等层面的增强安全控制措施。


为了能够检验安全防护环节中防护措施的有效性,CII安全解决方案的第三步就是检测评估环节。深信服将协助运营者建立相应的检测评估制度,在制度中确定检测评估的流程及检测评估的内容等要素。


在第四步的监测预警环节,深信服协助运营者按照国家和保护工作部门要求,制定自身监测预警和信息通报制度,明确监测预警和信息通报机制,建立预警信息响应处置程序,从而针对已经发生或即将发生的网络安全事件提前发出安全警示。


最终落实到事件处置环节,协助运营者建立网络安全事件管理制度,制定应急预案等网络安全事件管理文档,针对检测评估和监测预警两个环节中发现的问题,制定并实施适当的应对措施进行处置,从而保障业务的连续性。


通过以上五个工作环节可以看到,关键信息基础设施安全保护不仅包括安全技术和安全管理防护措施,还包括了风险评估、整改加固及应急响应等安全服务。


为此,深信服不仅集结了数百人的安全服务团队,还成立创新研究院、千里目实验室。在为安全服务团队提供技术能力支持的同时,建立专业的应急响应服务流程,为运营者提供应急响应的全生命周期支持,从事前、事中和事后,全方位协助运营者建立应急响应能力。


通过分析识别、安全防护、检测评估、监测预警事件处置这五大环节,并配合出色的安全服务,CII安全解决方案目前已经为国内多个关键信息基础设施所涉及的行业客户提供了成功且可靠的网络安全保护。在打赢这场关键信息基础设施保卫战当中,深信服也已经率先挡在了前面。


充分的防护需要以充足的积累
为前提


据了解,为CII安全解决方案提供强大支撑的,是深信服多年以来在“等保”及关键信息基础设施方面的研究和积累。


诚如前文所说,“等保”是关键信息基础设施安全保护的基础,而关键信息基础设施则是“等保”保护重点。因此等级保护建设的实践和经验对关键信息基础设施安全保护尤为重要。


作为全国首批获得公安部第一研究所颁发的信息安全等级保护安全建设服务机构能力评估合格证书的服务单位之一,深信服在过去几年里已经为关键信息基础设施所涉及的上万家行业客户,完成了等级保护建设并构筑了安全防护体系。


仅在2019年,就为超过3000家客户设计了等级保护解决方案,帮助2000余家客户完成了等保2.0的安全整改工作。包括下一代防火墙、全网行为管理、VPN、负载均衡等产品都在国内市场占据前三的市场份额;在检测、可视、联动等方面的产品也在国内占据优势地位。


同年,深信服还协助网安部门在全国20个省级、200个以上的地市级开展了网络安全等级保护制度2.0国家标准的宣贯会。可以说,深信服不仅对“等保”标准具备了非常深入透彻的理解,也在解决方案和产品等方面积累了丰富的实践经验和成功案例。


在此基础上,深信服积极参与了关键信息基础设施安全保护相关标准的制定工作, 而对于关键信息基础设施安全保护中非常重要的风险评估和应急响应环节,深信服不仅是国家级应急服务支撑单位,还是一级信息安全风险评估和一级信息安全应急处理服务资质单位,积累了十足的风险评估和应急响应能力。


与此同时,深信服还表示将会持续增加安全服务的投入,加强企业服务能力建设,并在后续成为关键信息基础设施安全服务机构的一份子,进而可以更好地为关键信息基础设施安全保护提供安全规划、安全咨询、建设整改、监测处置和人员培训等服务。


正是有了在等级保护建设上的深厚积累,以及围绕关键信息基础设施安全保护为核心的一系列优化和变革,才使得深信服可以在当下及时地为行业客户提供覆盖“等保”以及“关保”全流程各环节一站式的安全解决方案,才能够从整体上保护关键信息基础设施,防患于未然,在更高级的网络攻击到来之前做好充分的准备。


写在最后


数字化时代,网络安全作为关键信息基础设施的“基础”,将不再仅仅只是行业发展的底线,而是真正决定数字化发展上限的天花板。


因此,身处数字化发展的快车道中,安全对于包括关键信息基础设施在内的每一个人来说都不再只是选择题,而是关乎行业生存和发展的必答题。


面对来势汹汹的高级网络攻击甚至是还未知的国家级网络攻击,我们需要认识到网络安全对于行业发展乃至社会安定的重要性,并要求安全充分参与到关键信息基础设施建设的顶层设计中,使之贯穿其发展的全过程,形成原生安全能力,才能够让关键信息基础设施成为国家发展的重要支柱,才能够充分发挥网络安全的价值。


而包括深信服在内的一众网络安全企业,也在继续围绕关键信息基础设施安全保护展开探索,不断完善如CII安全解决方案,守卫在保护我国关键信息基础设施的第一道关隘面前。


公安部明确“关保”制度,企业应如何落实?



推荐阅读




关于这两天网安圈热议的那事儿,闲话几句


公安部明确“关保”制度,企业应如何落实?
公安部明确“关保”制度,企业应如何落实?

齐心抗疫 与你同在 公安部明确“关保”制度,企业应如何落实?




公安部明确“关保”制度,企业应如何落实?

点【在看】的人最好看


公安部明确“关保”制度,企业应如何落实?

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: