邮发代号 2-786
征订热线:010-82341063
在关键信息基础设施安全保护工作中,网络安全厂商为关键信息基础设施运营单位提供产品和技术“弹药”,谋划安全体系建设,是关键信息基础设施安全保护的能力底座。多家网络安全厂商从其实践出发,围绕体系建设、人才培养、技术应用、产业共建等话题,提出了对进一步做好关键信息基础设施安全保护工作的思考和建议。
文 | 绿盟科技集团股份有限公司 周悦 马跃强 周呈辉
《关键信息基础设施安全保护条例》(以下简称《条例》)的发布,明确了监管体系架构和职责分工,重点行业如政府、金融、能源等都已经完成或正在进行关基业务的识别并进行了监管体系与管理制度建设,相关配套标准与指引正在紧密制定中。
《条例》的落实,要求关键信息基础设施安全防护工作有专门的团队负责,形成针对关键信息基础设施安全运营的工作体系,并对网络安全态势感知能力、网络安全信息共享、网络安全信息报送分析、安全检查评估指南、安全防护能力评价、应急体系框架、漏洞管理体系等方面都提出了更高的要求。配合《条例》的落实,绿盟科技提出智慧安全 3.0战略,以体系化建设为指引;构建“全场景、可信任、实战化”的安全运营能力,助力《条例》安全建设与安全运营的全面落地。
一是制定关基目录,实施分类分级管理。制定我国关键信息基础设施目录,建立资产的认定和清查登记制度,定期开展关键信息基础设施普查登记工作;从涉及国计民生、国家安全的关键业务入手,尽快启动我国关键信息基础设施网络安全检查,理清可能影响关键业务运转的业务系统和网络,准确掌握关键信息基础设施的安全状况,科学评估面临的网络安全风险,以查促管、以查促防、以查促改、以查促建。
二是健全关基安全监管体系,加大监管力度。建立高效有力的网络安全协调指挥机制,明确关键信息基础设施安全保护职能部门;建立安全风险评估制度,定期组织安全检查,对发现的问题及时督促整改。建立关键产品的供应链安全风险管理制度,敦促相关供应商及时处理自身产品存在的漏洞、进行系统升级或安装补丁,鼓励单位优先采用性能可靠、具有自主知识产权的国产化安全防护装备。
三是鼓励网络安全科技创新,提高防护水平。建议政府设立专项资金并设立网络安全科技创新项目,组织关键技术与产品产业化攻关,进行试点示范应用。鼓励产业联盟等社会团体积极组织承担项目,并在新技术、新产品推广应用中发挥组织协调和推动作用。
四是开展网络安全培训,强化人才培养。通过加大投入推动高校的网络安全专业人才培养,满足网络安全产业长期发展的人才需求。同时,鼓励单位加大从业人员专业技能培训力度,不断提高从业人员的网络安全防护意识和专业技术水平。
五是建立健全关键信息基础设施信息共享平台,提升重点领域态势感知能力。借鉴国外先进经验,尽快建立有效的网络安全信息共享机制,建立包括安全信息收集、上报、通报、汇总、分析、发布、共享等内容的网络安全合作共享制度和公共服务平台,提高网络安全态势感知能力。
关键信息基础设施是数字经济社会运行的神经中枢,事关国家网络安全和数据安全,日益成为国家网络空间安全能力建设的核心和关键。
数据安全是数据健康、有序和可持续发展的基石,关键信息基础设施内流转的业务数据更是直接关系到国家安全、国计民生和公共利益的核心要素。为此,山石网科发布了以数据为中心的数据治理体系框架,遵循同步规划、同步建设、同步运行的思想,有序落地数据安全防护措施,需在理解合规要求以及紧贴业务场景的前提下,建立数据安全治理体系框架,为关基构筑以数据为中心的可持续安全防护能力。
同时,《关键信息基础设施保护条例》(以下简称《条例》)对安全自查、检查及上报机制提出了相应要求,构建了国家——保护工作部门——关基运营者三级上报机制,为后续关基保护全国“一盘棋”理念提供了强有力的支撑。这要求关基运营者要针对自身风险进行持续动态评估,并在发生安全事件时及时上报。对此,山石网科总结梳理并形成了一整套安全运营理论和建设体系。对内,通过对人、工具、流程的资源化梳理,将各类资源数字化、模块化定义,形成了以平台培养能力、以平台承载能力和以平台提供能力的一体化安全运营服务模式,积极落地持续动态风控理念。对外,以关键信息基础设施安全运营中心为载体,协助关基运营者构建安全事件自动化上报通道,积极响应主管及监管部门要求。
首先,要进一步推进行业牵引工作。条例明确了保护工作部门的概念和职责,让专业的部门管理对口的关键业务,强化了行业属性的同时,避免了安全管理“一刀切”。保护工作部门承担着引领本行业、本领域网络安全发展的重要责任,当前关键信息基础设施认定工作,以及数据分类、分级工作还需要保护工作部门进一步出台相关标准进行牵引。
其次,加速完善关基标准体系建设。关基保护工作的落地需要配套明确的标准化需求、环节和范围,建议保护工作部门结合我国关键信息基础设施安全保护现状和发展需求,研究建立科学合理、持续优化的关键信息基础设施安全标准体系,为各行业开展工作提供标准参考,充分发挥标准对关键信息基础设施安全保护工作的指导性、规范性和引领性作用。
最后,加强关基运营主体安全责任意识。关键信息基础设施安全是维护国家网络空间主权、安全和发展利益的重中之重,强烈建议运营者进行网络安全建设时,必须以《关键信息基础设施安全保护条例》及其相关标准为红线,制定完善、周全的安全防护体系,强化关键信息基础设施保护能力,坚决承担起关键信息基础设施运营者应尽的责任,积极维护国家安全。
文 | 浙江木链物联网科技有限公司高级解决方案专家 黄曦
《关键信息基础设施保护条例》(以下简称《条例》)实施一年来,行业主管部门和有关机构按照条例要求,积极推进关键信息基础设施的安全保护工作并取得一定成果。
首先,网络安全意识发生显著变化。以前安全从业者的主要理念是合规性管理,条例颁布后明确了网络安全工作中各岗位职责,尤其对运营者提出了高于合规的要求,以此确保各行业自上而下都能充分认识到网络安全对于关键信息基础设施保护的重要性和迫切性,更加有利于网络安全工作的开展。其次,在新技术应用方面,各行业用户纷纷结合自身业务特点,展开积极探索。如能源行业用户,结合漏洞挖掘、数字孪生等技术,构建个性化安全靶场。又如军工行业用户,由于敏感数据较多,生产多为封闭式运行,导致生产效率跟不上市场需求。条例实施后,军工行业用户积极引入零信任、数据安全等理念和技术,突破数据安全技术瓶颈,实现互联互通,在安全保密的基础上极大提升了生产效率。最后,在自主可信方面,电子政务、军工两大领域充分展现其领跑能力,行业内用户单位均开启了国产化替代进程,从核心电子器件到高端通用芯片再到基础软件产品,大力推进自主可控建设工作,给其他关键行业提供了可借鉴的样板,实现国内自主可控能力的整体提升。
当前我国关键信息基础设施安全保护仍处于起步阶段,对如何更好地推行建设理念,构建安全体系框架,打造标杆建设项目,提出三点建议。
一是加强多级化监测体系的建立。目前,网信部门已通过平台搭建建设了相应的互联网监测体系,然而部分涉及企业内网的网络安全信息仍然需要通过人工上报的方式进行收集。这一过程中存在着上报缺失、格式多样化、响应延时等多类问题,影响威胁处置效率。建议除了网信部门,保护工作部门以及运营者也应通过技术手段实现网络安全信息共享,并且规范数据共享格式,建立威胁处置流程,完善风险应对体系。
二是推广多行业先进技术应用。根据木链科技的实践,能源、军工、电子政务、金融四大行业对新技术的应用接受程度较高。建议以安全为前提,结合行业特色,加大新技术在各行业的推广与应用,如数字孪生技术,除军工行业外,智能制造相关行业均可应用。
三是深化产学研用一体化融合。木链科技作为工业互联网安全领域的重要技术支撑单位,更为贴近关键信息基础设施用户。在实际工作开展过程中,我们发现即懂自动化又懂网络安全的人才少之又少。因此建议本着“产教融合、资源共享、优势互补、互惠共赢”的原则,企业、政府、高等院校深度展开合作,依托工控网络安全实验室等新型教育平台工具,通过课程实验、实战演练、以赛促学等多种培养模式,使学生能够综合运用专业知识,构建常态化人才培养体系。
(本文刊登于《中国信息安全》杂志2022年第9期)
原文始发于微信公众号(中国信息安全):专题·关基保护 | 关键信息基础设施安全保护,来自网络安全厂商的视角(二)
评论