專家介紹
周民,國家信息中心副主任,正高級工程師,電子政務專家咨詢委員會、國家關鍵基礎設施專家委員會委員,長期從事數字政府、信息安全建設管理工作,主持國家電子政務外網、全國信用信息共享平臺等一批國家重大工程項目,主持科技部、國社科、國自科等多項重大研究課題。
關鍵信息基礎設施安全保護是網絡安全保護的重中之重,對于維護國家安全、經濟健康發展、維護社會穩定和社會公共利益具有重要的意義。2021年9月1日《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)正式實施以來,我國關鍵信息基礎設施安全保護工作翻開新的篇章。各行業主管部門積極推進關鍵信息基礎設施認定工作,各關鍵信息基礎設施運營單位嚴格按照《條例》要求開展和落實保護工作。國家電子政務外網作為電子政務領域重要基礎設施,積極推動關鍵信息基礎設施認定,圍繞合規體系、供應鏈安全和全局性統籌等方面,開展了一系列成效顯著的安全保護,并提出了未來持續加強關鍵信息基礎設施安全保護的思路。
一、《條例》正式實施是新形勢下保障國家安全的重要舉措,在加強各單位重視程度和指導保護工作落實方面取得顯著成效。
1、《條例》正式實施是推進關鍵信息基礎設施安全保護的急切需要,對保障國家安全意義重大。
近年來,烏克蘭斷電、科諾尼爾網絡勒索、太陽風供應鏈攻擊、孟加拉央行被竊等重大網絡安全事件凸顯各國關鍵信息基礎設施面臨的安全威脅在急劇增加。“俄烏沖突”揭示網絡戰成為現代戰爭的重要手段,關鍵信息基礎設施已是網絡戰的首要攻擊目標。在未來,針對金融、能源、電力、通信、交通等行業關鍵信息基礎設施的新型攻擊手段層出不窮、強度持續加劇,隨時有可能爆發重大安全事件,導致惡劣影響和巨大損失。我國是全球遭受網絡安全威脅最嚴重的國家之一,我國關鍵信息基礎設施也面臨嚴峻的風險考驗。黨的十八大以來,以習近平同志為核心的黨中央高度重視關鍵信息基礎設施安全保護工作,就加強關鍵信息基礎設施安全保護做出了一系列重大決策部署。《條例》的出臺實施是落實黨中央決策部署和總體國家安全觀,切實推進關鍵信息基礎設施保護體系建設的里程碑。
2、《條例》正式實施是我國數字經濟轉型“統籌安全和發展”的重要保障。
當前,正處于新一輪科技革命和產業變革期,為主動順應經濟社會數字化轉型趨勢、充分釋放數字化發展紅利,亟需驅動數字經濟發展、數字社會建設、營造良好數字生態以及建立健全數據要素市場和治理體系,以加快數字化發展。面對數字經濟時代日益突出的網絡安全威脅和風險,需堅持“統籌發展和安全”,以發展促安全、以安全保發展。《條例》的正式實施將加強對關鍵信息基礎設施、重要數據的安全保護,提升全社會網絡安全水平,為數字化發展營造安全可靠環境,同時,《條例》也是保障創新政府治理理念和方式落地、數字治理新格局形成,以及推進國家治理體系和治理能力現代化的重要抓手。
3、《條例》實施以來,各行業保護部門和運營單位的重視程度、安全意識得到明顯提高,認定和保護工作取得顯著進展。
《條例》正式實施以來,各行業主管部門、關鍵信息基礎設施運營單位廣泛開展了網絡安全專項教育、知識培訓和《條例》解讀等工作,更深刻認識了關鍵信息基礎設施的關鍵地位和基礎性、全局性、支撐性作用,更深刻領悟了保證關鍵信息基礎設施安全對于維護國家網絡空間主權和國家安全、保障經濟社會健康發展、維護公共利益和保障公民人身和財產安全的重大意義。
各關鍵行業結合本行業的特點、定位和發展布局,對關鍵信息基礎設施保護工作作出重要部署。以政務外網為例,按照《條例》要求落實了專職部門負責統籌推進保護工作,以保障政務外網關鍵核心業務運行安全、數據安全為目標,綜合考慮網絡設施、信息系統等的重要程度、遭到破壞的危害程度以及對其他行業和領域的關聯性影響,編制了認定工作方案和認定規則,并正積極推進落實。
二、從合規體系、供應鏈安全和全局性統籌等角度開展關鍵信息基礎設施安全保護工作
《條例》涵蓋內容廣、涉及要求全,包括主體責任、認定原則、運營者責任義務、保障和促進措施以及法律責任等。推進《條例》落地實施,應堅持問題導向、結合實際、全局推進、突出重點。政務外網作為電子政務行業關鍵信息基礎設施,結合政務外網現狀和問題,探索從合規體系構建、供應鏈安全管理和全局性統籌等角度落實《條例》要求。
1、重點圍繞安全保護管理、安全保護自查、重要數據保護等方面,構建關鍵信息基礎設施合規體系。
政務外網嚴格貫徹落實《條例》要求,啟動建設關鍵信息基礎設施安全保護合規體系。
制定關鍵信息基礎設置安全保護管理工作方案
制定關鍵信息基礎設施安全保護管理工作方案,明確了包括管理責任部門、認定規則、安全規劃、安全標準、評價考核等一系列合規要求。
嚴格落實安全保護自查
嚴格落實安全保護自查,對擬認定的關鍵信息基礎設施提前完成等保備案工作,每年開展等保測評和關鍵信息基礎設施安全保護自查工作,并聚焦風險問題完成清查整改。
制定數據安全管理制度
制定數據安全管理制度,建立數據資產目錄、摸清家底,圍繞數據全生命周期實施數據分類分級管理,組織專業團隊開展數據安全檢測,著重關注重要數據的界定、識別,盯緊重要數據安全防護,嚴防重要數據泄露。
2、構建以防范網絡攻擊、斷供和人員違規為核心的供應鏈安全管理制度。
近年來,關鍵信息基礎設施面臨來自采購的產品、軟件和服務等供應鏈威脅的問題越來越突出,如供應鏈完整性威脅可能導致關鍵信息基礎設施被惡意篡改、違規控制;供應鏈數據安全威脅可能導致敏感數據泄露、濫用;供應鏈中斷威脅可能導致關鍵信息基礎設施交付中斷、不正當競爭、甚至業務中斷;供應鏈人員違規可能導致關鍵信息基礎設施被植入后門、惡意破壞以及敏感信息泄露等。
針對上述風險,政務外網構建了供應鏈安全管理制度,強化了供應鏈安全管理,加強審查使用的產品、軟件和人員服務。
嚴格落實測評認證
嚴格落實測評認證,建立軟硬件設備臺賬,系統上線前進行滲透測試和漏洞掃描,上線后定期開展測評整改。
建立服務供應商供應鏈安全管理制度
建立服務供應商供應鏈安全管理制度,簽署責任書或備忘錄,提高服務供應商安全責任意識、供應鏈安全風險管理能力和完善人員背景調查管理。
持續開展供應鏈安全自查檢查和評估工作
持續開展供應鏈安全自查檢查和評估工作,重點檢查采購安全可信的網絡產品和服務方面的組織保障、制度建設和執行情況,開展供應鏈安全評估,降低供應鏈安全風險。
3、面向未來做好全局性統籌,做好關鍵信息基礎設施安全保護規劃。
政務外網關鍵信息基礎設施保護涉及各層級政府部門,需要構建高效的頂層協調機制,充分發揮國家網信部門的統籌協調和國務院公安部門的指導監督作用,構建政府部門、關鍵信息基礎設施運營者以及社會各方面力量共同參與支持的安全保障體系,建立覆蓋政府、行業與企業的網絡安全信息共享機制、完善監測預警和應急體系,從整體上防控關鍵信息基礎設施的網絡安全風險和開展對大規模攻擊的集中應急處置。
形成綜合聯動格局
依托行業保護部門和相關監督管理部門的整體性安全保護決策和手段,形成“共同保護關鍵信息基礎設施安全”的綜合聯動格局。
合理分配網絡安全資源投入
合理分配網絡安全資源投入,在實施全方位保護的前提下,突出政務外網重要設施、部位、環節的重點保護。
三、未來持續加強關鍵信息基礎設施安全保護的思路
1、強化政務網絡公共設施建設,統籌建設關鍵信息基礎設施運行支撐能力。
強化政務網絡公共支撐能力
強化政務網絡公共支撐能力,進一步完善連接各行業、各層級公共網絡平臺,集約化推進國家公共設施共性能力建設,為關鍵信息基礎設施運行提供充分保障,實現統籌建設、統一部署和集約協同。
加強自主可控安全管理
加強自主可控安全管理,建立新技術、新應用安全評估機制,強化安全可靠技術和產品應用,從源頭上解決網絡安全重大隱患。
強化網絡安全產業支撐
強化網絡安全產業支撐,積極配合開展網絡安全技術應用試點示范,支持面向關鍵信息基礎設施的安全技術創新應用。
2、提升政務外網關鍵信息基礎設施網絡安全和數據安全防護能力
在基礎防護能力建設方面
在基礎防護能力建設方面,構建全方位的政務外網安全防御體系,在網絡側、互聯網接入側、應用側加強部署相應的安全防護措施,建立較強的邊界防護能力、終端防護能力、安全審計能力。
在安全監測能力建設方面
在安全監測能力建設方面,積極開展政務外網安全監測類平臺建設,提供 7*24 小時的全方位安全監測服務,逐步具備整網安全事件及時發現并處置的能力。
在數據安全保護能力建設方面
在數據安全保護能力建設方面,在促進數據共享使用的同時,推動政務外網數據安全保護能力建設,深入推廣數據訪問控制與權限管理、數據加密、數據脫敏、數據標識、數據審計等防護措施的建設和應用,提升數據安全交換功能和性能,加強數據容災備份設施建設,實現數據安全管控。同時,提升政務外網國產密碼一體化支撐能力,推進國產密碼在政務網絡、政務云、各業務系統、數據共享體系方面的規模化部署和替代,持續開展政務外網密碼應用安全性評估相關工作。
3、提升政務外網關鍵信息基礎設施協同處置能力。
構建協同處置機制和通道
構建覆蓋中央、省、市、縣四級的政務外網安全事件管理協同處置機制,明確工作范圍、職責、流程等內容;建設政務外網安全事件管理平臺,及時收集、匯總、分析、共享各方網絡安全信息,為各級政務外網安全管理部門搭建跨地域、跨層級、跨系統的安全事件協同處置通道。
推動情報共享協同
依托國家網絡與信息安全信息通報機制,加強國家電子政務外網網絡信息安全通報預警力量建設,推進與網信、公安、保密等主管部門和主流安全廠商網絡安全威脅情報共享協同,聯合機構、院校、廠商深度挖掘分析,形成具有政務外網特色的威脅情報信息庫,支撐政務外網安全事件管理協同處置機制能力建設。
通過應急演練提升協同處置能力
建設政務外網安全應急演練平臺,為各級政務外網安全管理部門搭建演練環境,提升政務外網安全事件協同處置能力。
更多信息可以來這里獲取==>>電子技術應用-AET<<
