搜索
搜索

關于

/
/
/
重磅解讀 | “關鍵信息基礎設施網絡安全保護”試點行業的增強措施
全部分類

重磅解讀 | “關鍵信息基礎設施網絡安全保護”試點行業的增強措施

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2019-12-26 10:46
  • 訪問量:

【概要描述】

重磅解讀 | “關鍵信息基礎設施網絡安全保護”試點行業的增強措施

【概要描述】

  • 分類:公司新聞
  • 作者:
  • 來源:
  • 發布時間:2019-12-26 10:46
  • 訪問量:
詳情

近日,全國信息安全標準化技術委員會召開了國家標準《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》(報批稿)(以下簡稱《基本要求》)試點工作啟動會。本次試點工作選取電信、廣電、能源、交通、金融、衛生健康等行業的12家單位作為標準應用試點單位?!痘疽蟆范x關鍵信息基礎設施是公共通信和信息服務、能源、交通、水利、金融、公共服務和電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的信息設施。關鍵信息基礎設施網絡安全保護應遵循重點保護、整體防護、動態風控、協同參與的基本原則,建立網絡安全綜合防御體系。重點保護是指關鍵信息基礎設施網絡安全保護應首先符合網絡安全等級保護政策及GB/T 22239-2019等標準相關要求,在此基礎上加強關鍵信息基礎設施關鍵業務的安全保護。整體防護是指基于關鍵信息基礎設施承載的業務,對業務所涉及的多個網絡和信息系統(含工業控制系統)等進行全面防護。動態風控是指以風險管理為指導思想,根據關鍵信息基礎設施所面臨的安全風險對其安全控制措施進行調整,以及時有效的防范應對安全風險。

 

《中華人民共和國網絡安全法》中規定,關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估,并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

 

等級保護是普適性的制度,是關鍵信息基礎設施保護的基礎。關鍵信息基礎設施須按照網絡安全等級保護制度要求,開展定級備案、總體安全規劃、安全設計與實施、安全運行與維護和等級測評等規定性工作。關鍵信息基礎設施網絡安全保護還包括識別認定、安全防護、檢測評估、監測預警和事件處置等五個環節。關鍵信息基礎設施網絡安全保護應遵循重點保護、整體防護、動態風控和協同參與的基本原則,建立網絡安全綜合防御體系。

 

相較于等級保護2.0而言,關鍵信息基礎設施網絡安全保護增強了如下措施。如圖所示:

 

一、優化實施流程

1.識別認定:運營者配合保護工作部門,按照相關規定開展關鍵信息基礎設施識別和認定活動。圍繞關鍵信息基礎設施承載的關鍵業務,開展業務依賴性識別、風險識別等活動。本環節是開展安全防護、檢測評估、監測預警和事件處置等環節工作的基礎。

2.安全防護:運營者根據已識別的安全風險,實施安全管理制度、安全管理機構、安全管理人員、安全通信網絡、安全計算環境、安全建設管理和安全運維管理等方面的安全控制措施,確保關鍵信息基礎設施的運行安全。本環節在識別關鍵信息基礎設施安全風險的基礎上制定安全防護措施。

3.檢測評估:為檢驗安全防護措施的有效性,發現網絡安全風險隱患,運營者制定相應的檢測評估制度,確定檢測評估的流程及內容等要素,分析潛在安全風險可能引起的安全事件。

4.監測預警:運營者制定并實施網絡安全監測預警和信息通報制度,針對即將發生或正在發生的網絡安全事件或威脅,提前或實時發出安全警示。

5.事件處置:對網絡安全事件進行處置,根據檢測評估、監測預警環節發現的問題,運營者制定并實施適當的應對措施,恢復由于網絡安全事件而受損的功能或服務。

 

二、強化技術能力

1.資產識別:實現對關鍵信息基礎設施相關資產的自動化管理,根據關鍵業務鏈所依賴資產的實際情況實時動態更新。

2.互聯安全:對不同局域網之間遠程通信時采取安全防護措施,例如在通信前基于密碼技術對通信的雙方進行驗證或認證。

3.安全審計:應加強網絡審計措施,監測、記錄系統運行狀態、日常操作、故障維護和遠程運維等,留存相關日志數據不少于12個月。

4.入侵防范:實現對新型網絡攻擊行為(如APT攻擊)的入侵防范。具備系統主動防護能力,及時識別并阻斷入侵和病毒行為。

5.數據安全:我國境內運營中收集和產生的個人信息和重要數據不得隨意向境外泄露。如因業務需要,確需向境外提供數據的,應當按照國家相關規定和標準進行安全評估。如果法律、行政法規中另有規定的,因依照其相關規定執行。對數據的全生命周期進行安全管理,基于數據分類分級實現相應的數據安全保護。

6.自動化工具:應使用自動化工具來支持系統賬戶、配置、漏洞、補丁和病毒庫等管理。對于漏洞、補丁,應在經過驗證后及時修補。

7.監測預警:制定自身的監測預警和信息通報制度,確定網絡安全預警分級標準,明確監測策略、監測內容和預警流程,對關鍵信息基礎設施的網絡安全風險進行監測預警。

 

三、 細化管理措施

1.建立適合本組織的網絡安全保護計劃,結合關鍵業務流的安全風險報告,明確關鍵信息基礎設施網絡安全保護工作的目標、安全策略、組織架構、管理制度、技術措施實施細則和資源保障等,形成文檔并經審批后發布至相關人員。網絡安全保護計劃應至少每年修訂一次,或發生重大變化時進行修訂。

2.成立指導和管理網絡安全工作的委員會或領導小組,由組織主要負責人擔任其領導職務。設置專門的網絡安全管理機構,建立首席網絡安全官制度,建立并實施網絡安全考核及監督問責機制。

3.對安全管理機構負責人和關鍵崗位人員進行安全背景和安全技能審查,符合要求人員才能上崗。關鍵崗位包括與關鍵業務系統直接相關的系統管理、網絡管理和安全管理等崗位。關鍵崗位應專人負責,并配備2人以上共同管理。

4.運營者應建立網絡安全教育培訓制度,定期開展基于崗位的網絡安全教育培訓和技能考核。應規定適當的關鍵信息基礎設施從業人員和網絡安全關鍵崗位從業人員的年度培訓時長,教育培訓內容應包括網絡安全相關制度和規定、網絡安全保護技術和網絡安全風險意識。

5.在上崗前對人員進行安全背景審查,當人員身份、安全背景等情況發生變化時,(例如取得非中國國籍)應根據情況重新進行安全背景審查。應在人員發生內部崗位調動時,重新評估調動人員對關鍵信息基礎設施的邏輯和物理訪問權限,修改訪問權限并通知相關人員或角色。應在人員離崗時,及時終止離崗人員的所有訪問權限,收回與身份認證相關的軟硬件設備,進行離職面談并通知相關人員或角色。

 

本文對關鍵信息基礎設施網絡安全保護試點行業的增強措施進行了初步解讀,由于關鍵信息基礎設施的多樣性和復雜性,使得不同關鍵信息基礎設施的重要性、以及維持其正常運行所需的資源也不盡相同。應充分發揮產、學、研在關鍵信息基礎設施工作中的優勢及作用,深度融合技術創新體系,隨時關注技術發展動態,持續革新網絡安全保護技術,才是確保關鍵信息基礎設施安全的途徑。

 

未完待續……

掃二維碼用手機看

這是描述信息

服務熱線:
400-810-7766 (24H)
E-mail:

shfw@leadsec.com.cn
地址:
北京市海淀區東北旺西路8號中關村軟件園21號

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

版權所有:北京網御星云信息技術有限公司    京ICP備05080314號     

這是描述信息
永盛游戏官网