重磅解读《关键信息基础设施安全保护条例》

admin 2022年1月3日08:25:20评论142 views字数 4997阅读16分39秒阅读模式

重磅解读《关键信息基础设施安全保护条例》

2021年8月17日,中华人民共和国国务院总理李克强签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》)暨国令第745号令。国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动,条例自2021年9月1日起施行。

重磅解读《关键信息基础设施安全保护条例》

在《网络安全法》第三章“网络运行安全”中,以“关键信息基础设施的运行安全”对关键信息基础设施安全保护的基本要求、职责分工履行义务和采取措施等方面作了基本法层面的总体制度安排,此次正式发布的《关键信息基础设施安全保护条例》以《中华人民共和国网络安全法》为依据,将与GB/T22239-2019《信息安全技术网络安全等级保护基本要求》一起,结合其他已颁布的法规条例等,构成我国网络安全防护工作的基本法律和法规基础和理论依据。

《关键信息基础设施安全保护条例》共6章51条,分别从关键信息基础设施的范围及认定、运营者责任义务、保障和促进、法律责任等方面给出了明确的指导和要求,要求关键信息基础设施相关企业建立健全网络安全保护制度和责任制,制定网络安全应急预案,开展网络安全监测、检测和风险评估工作,采取安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,违反本条例规定将会受到行政处罚、判处罚金甚至要承担刑事责任。


关键条款解读

关键信息基础设施的范围及认定


第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

解读:

在2016年发布的《国家网络安全检查操作指南》和《中华人民共和国网络安全法》中都对关键信息基础设施进行了定义,此次发布的《条例》更进一步明确了关键信息基础设施的具体范围和判断标准,即一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益等的重要网络设施和信息系统。其中包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域等。关键信息基础设施的行业和领域中,除了传统信息安全需要进行满足等保2.0的合规性需求外,涉及到工业控制系统的生产和业务场景的,同样需要进行同步规划、同步建设和同步使用。关键信息基础设施安全包括通信安全、电力安全、能源安全、交通安全、市政安全、金融安全、公共卫生安全、电子政务安全、国防科工安全、制造安全等。


明确运营者责任义务,突出“三同步”原则


第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

解读:

该条款明确在进行关键信息基础设施认定工作时,网络安全保护措施必须同步考虑,即严格执行同步规划、同步建设、同步使用的“三同步”原则,不允许在认定工作结束后,再进行网络安全建设动作。这标志着国家关键信息基础设施的运营者必须将网络安全建设与业务体系建设放到同等重要程度,不能再出现“重生产,轻安全”的情况。

第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。

第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。

解读:

在条例第三章的第十三至二十一条,都在强调运营者的责任义务。其中条例第十三条要求“运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。”也进一步强化、突出了运营者的主体职责。

第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况

解读:

关键信息基础设施每年至少进行一次安全检测和风险评估,若存在问题,需要进行及时整改并上报保护工作部门。一旦发生严重的网络安全威胁时,保护工作部门应当及时进行上报,上报对象为国家网信和公安部门。

风险评估分析是对关键信息基础设施网络内各资产进行安全管理的先决条件,其目的在于识别和评估不同用户所面临的生产安全风险和网络安全风险。工业控制系统由于其使用场景和业务需求特色化差异,存在天然的弱安全性,在风险评估时,需要采取和传统网络完全不同的思路和方法。

第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。

解读:

运营者在进行关键信息基础设施网络安全保护时,采购的网络安全产品和服务需要安全可信,具备自主知识产权和具备相应销售许可证,不能影响国家安全。这与也国家近年来一直推动的战略保持一致。


“管理+技术”并行,保障和促进关基网络安全防护能力


第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。

解读:

针对不同关键信息基础设施所属的行业和领域的差异化特征,建立符合本行业和领域特色的网络安全监测预警制度,掌握关键信息基础设施的安全态势感知和预警通报工作至关重要。

传统态势感知平台及探针无法获取到工业企业的工业资产、网络流量、安全漏洞、安全配置、安全日志、设备运行状态、业务故障日志等信息,从而无法通过智能关联分析获取企业的安全风险和态势,指导安全告警的事件处置工作。所以针对关键信息基础设施内的工业控制系统,需要单独部署专业的安全监测与态势感知平台进行统一的安全威胁处置和管理工作。


法律处罚做闭环,夯实有关主体责任


第三十九条 运营者有下列情形之一的,由有关主管部门依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款:

第四十条 运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,未按照有关规定向保护工作部门、公安机关报告的,由保护工作部门、公安机关依据职责责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处10万元以上100万元以下罚款,对直接负责的主管人员处1万元以上10万元以下罚款。

解读:

第五章整个章节都在明确针对相关违反条例行为的处罚事项,进一步夯实了所有有关责任体的责任。既强调运营者应当承担的法律责任,也强调相关的服务机构、有关部门以及工作人员违反后应该承担的责任。这与《网络安全法》中的相关惩罚力度保持一致。



关键信息基础设施网络安全防护能力建设

面对有组织的攻击没有打不通的“墙”,传统的安全防守思路将全面失效,需要针对新技术的特点,结合国家关键信息基础设施的业务特点,以控制风险为目标,深度融合安全管理、安全技术、安全运行三个领域的管理策略,采用全新的安全视角构建整体、动态、主动、精细的四个相互独立,又高度融合的安全防御体系,从而实现重点防护,提升动态、主动防御能力,从“零散建设”走向“全局建设”,从“局部零散松耦合”演变成“深度融合体系化”,构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系,为国家关键信息基础设施输出实战化、体系化、常态化的安全能力,以应对国家级的网络攻击。

威努特作为国家信息基础设施网络安全领域的领军企业,首次提出基于白名单技术构建“白环境”纵深防御体系的建设思路,随着在国家信息基础设施网络安全领域的不断深耕,坚持自主可控,自主创新,在“白环境”纵深防御体系的基础上融入“一个目标,两个视角,四个体系,六个能力”形成新一代国家信息基础设施网络安全体系,助力我国成为新时代下的网络安全强国。

重磅解读《关键信息基础设施安全保护条例》

  • 以风险管理为核心目标

持续动态评估国家关键信息基础设施网络安全防御能力以及存在的风险是否可接受为基础,制定网络安全防御能力成熟度目标模型,进而保障关键信息基础设施的安全稳定运行。

  • 以国内“两个要求”体系合规、国际“技术体系”接轨为两个视角

视角一:坚持网络安全等级保护基本和关键信息基础设施基本要求的合规性要求是基础,以“一个中心,三重防护”体系为具体方案设计核心思想构建安全技术防护体系。

视角二:合规是基础,还要与时俱进,充分与国际技术体系接轨,取之精华,形成具有我国关键信息基础设施网络特色的安全检测体系和应急响应体系,与其它体系交相呼应,从而演化出态势感知预测体系,并逐步落地。

  • 形成可防御、可检测、可响应、可预测的全生命周期的四大体系

重磅解读《关键信息基础设施安全保护条例》

1) 构建关键信息基础设施网络安全防御体系

基于纵深的防御体系,逐层收缩攻击面,将中低水平的攻击者拒之门外,对高能力水平威胁行为体进行压制,加强对高隐匿性攻击行动的发现能力,建立多维数据采集能力,为安全事件检测、事件捕猎、调查分析,并发现、定位、朔源安全事件创造条件。

2) 构建关键信息基础设施网络安全检测体系

做好国家关键信息基础设施全网、全流量的流量实时监控,做好全网、全主机的系统监控。

3) 构建关键信息基础设施网络运维响应体系

制订和完善各种流程规范,开展网络安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。

4) 构建关键信息基础设施网络评估预测体系

实现态势感知、安全运营、数据关联、威胁预测,将静态防御转为积极动态防御。

  • 孵化动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的安全能力

通过形成动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的安全能力,使我国关键信息基础设施能够应对常态化、体系化、实战化的国际网络安全局势。


威努特关基板块安全能力全景图

威努特作为国内工业控制系统安全领军企业,结合七年来的工控安全行业深耕经验,针对众多行业中关键信息基础设施拥有完整且成熟的解决方案。

重磅解读《关键信息基础设施安全保护条例》

威努特全生命周期工控安全服务能力能够协助客户实现对工业控制系统的安全服务体系化、生命周期化,覆盖咨询、评估、设计、建设、运维、废弃、培训、应急服务8个服务阶段的全方位管理。其中覆盖覆盖技术、管理、人员需求,明确企业工业信息安全建设路径。

重磅解读《关键信息基础设施安全保护条例》

风险评估分析是对关键信息基础设施网络内各资产进行安全管理的先决条件,主要包括网络层风险分析、系统层风险分析、应用层风险分析、管理层风险分析。

重磅解读《关键信息基础设施安全保护条例》

传统IT态势感知产品关心从安全业务的角度开展分析展示工作,而工业态势感知平台还要在网络流量、主机行为以及工业控制系统和设备上获取业务运行状态和告警信息,把两方面的信息综合关联分析,支撑网络安全事件对生产业务影响分析和生产安全事件溯源归因分析。

重磅解读《关键信息基础设施安全保护条例》
重磅解读《关键信息基础设施安全保护条例》
威努特简介
重磅解读《关键信息基础设施安全保护条例》


北京威努特技术有限公司(简称:威努特)成立于2014年,专注于工控安全领域,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务。凭借持续的研发创新能力和丰富的实战经验入选全球六家荣获国际自动化协会ISASecure认证企业之一和亚太地区唯一全球网络安全联盟(GCA)创始成员。
威努特秉承首创的工业网络“白环境” 技术理念,迄今为国内及“一带一路”沿线国家的2000多家客户实现了业务的安全合规运行,已成为最受客户信赖的工控安全领军企业。同时,作为中国工控安全国家队,积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,致力于为国家关键信息基础设施保驾护航。

威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!

重磅解读《关键信息基础设施安全保护条例》

重磅解读《关键信息基础设施安全保护条例》

重磅解读《关键信息基础设施安全保护条例》

重磅解读《关键信息基础设施安全保护条例》

重磅解读《关键信息基础设施安全保护条例》

重磅解读《关键信息基础设施安全保护条例》

渠道合作咨询   张先生 18201311186

稿件合作   微信:shushu12121

本文始发于微信公众号(威努特工控安全):重磅解读《关键信息基础设施安全保护条例》

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月3日08:25:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   重磅解读《关键信息基础设施安全保护条例》https://cn-sec.com/archives/462494.html

发表评论

匿名网友 填写信息