周民,国家信息中心副主任,正高级工程师,电子政务专家咨询委员会、国家关键基础设施专家委员会委员,长期从事数字政府、信息安全建设管理工作,主持国家电子政务外网、全国信用信息共享平台等一批国家重大工程项目,主持科技部、国社科、国自科等多项重大研究课题。
关键信息基础设施安全保护是网络安全保护的重中之重,对于维护国家安全、经济健康发展、维护社会稳定和社会公共利益具有重要的意义。2021年9月1日《关键信息基础设施安全保护条例》(以下简称《条例》)正式实施以来,我国关键信息基础设施安全保护工作翻开新的篇章。各行业主管部门积极推进关键信息基础设施认定工作,各关键信息基础设施运营单位严格按照《条例》要求开展和落实保护工作。国家电子政务外网作为电子政务领域重要基础设施,积极推动关键信息基础设施认定,围绕合规体系、供应链安全和全局性统筹等方面,开展了一系列成效显著的安全保护,并提出了未来持续加强关键信息基础设施安全保护的思路。
一、《条例》正式实施是新形势下保障国家安全的重要举措,在加强各单位重视程度和指导保护工作落实方面取得显著成效。
1、《条例》正式实施是推进关键信息基础设施安全保护的急切需要,对保障国家安全意义重大。
近年来,乌克兰断电、科诺尼尔网络勒索、太阳风供应链攻击、孟加拉央行被窃等重大网络安全事件凸显各国关键信息基础设施面临的安全威胁在急剧增加。“俄乌冲突”揭示网络战成为现代战争的重要手段,关键信息基础设施已是网络战的首要攻击目标。在未来,针对金融、能源、电力、通信、交通等行业关键信息基础设施的新型攻击手段层出不穷、强度持续加剧,随时有可能爆发重大安全事件,导致恶劣影响和巨大损失。我国是全球遭受网络安全威胁最严重的国家之一,我国关键信息基础设施也面临严峻的风险考验。党的十八大以来,以习近平同志为核心的党中央高度重视关键信息基础设施安全保护工作,就加强关键信息基础设施安全保护做出了一系列重大决策部署。《条例》的出台实施是落实党中央决策部署和总体国家安全观,切实推进关键信息基础设施保护体系建设的里程碑。
2、《条例》正式实施是我国数字经济转型“统筹安全和发展”的重要保障。
当前,正处于新一轮科技革命和产业变革期,为主动顺应经济社会数字化转型趋势、充分释放数字化发展红利,亟需驱动数字经济发展、数字社会建设、营造良好数字生态以及建立健全数据要素市场和治理体系,以加快数字化发展。面对数字经济时代日益突出的网络安全威胁和风险,需坚持“统筹发展和安全”,以发展促安全、以安全保发展。《条例》的正式实施将加强对关键信息基础设施、重要数据的安全保护,提升全社会网络安全水平,为数字化发展营造安全可靠环境,同时,《条例》也是保障创新政府治理理念和方式落地、数字治理新格局形成,以及推进国家治理体系和治理能力现代化的重要抓手。
3、《条例》实施以来,各行业保护部门和运营单位的重视程度、安全意识得到明显提高,认定和保护工作取得显著进展。
《条例》正式实施以来,各行业主管部门、关键信息基础设施运营单位广泛开展了网络安全专项教育、知识培训和《条例》解读等工作,更深刻认识了关键信息基础设施的关键地位和基础性、全局性、支撑性作用,更深刻领悟了保证关键信息基础设施安全对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和保障公民人身和财产安全的重大意义。
各关键行业结合本行业的特点、定位和发展布局,对关键信息基础设施保护工作作出重要部署。以政务外网为例,按照《条例》要求落实了专职部门负责统筹推进保护工作,以保障政务外网关键核心业务运行安全、数据安全为目标,综合考虑网络设施、信息系统等的重要程度、遭到破坏的危害程度以及对其他行业和领域的关联性影响,编制了认定工作方案和认定规则,并正积极推进落实。
二、从合规体系、供应链安全和全局性统筹等角度开展关键信息基础设施安全保护工作
《条例》涵盖内容广、涉及要求全,包括主体责任、认定原则、运营者责任义务、保障和促进措施以及法律责任等。推进《条例》落地实施,应坚持问题导向、结合实际、全局推进、突出重点。政务外网作为电子政务行业关键信息基础设施,结合政务外网现状和问题,探索从合规体系构建、供应链安全管理和全局性统筹等角度落实《条例》要求。
1、重点围绕安全保护管理、安全保护自查、重要数据保护等方面,构建关键信息基础设施合规体系。
政务外网严格贯彻落实《条例》要求,启动建设关键信息基础设施安全保护合规体系。
制定关键信息基础设置安全保护管理工作方案
制定关键信息基础设施安全保护管理工作方案,明确了包括管理责任部门、认定规则、安全规划、安全标准、评价考核等一系列合规要求。
严格落实安全保护自查
严格落实安全保护自查,对拟认定的关键信息基础设施提前完成等保备案工作,每年开展等保测评和关键信息基础设施安全保护自查工作,并聚焦风险问题完成清查整改。
制定数据安全管理制度
制定数据安全管理制度,建立数据资产目录、摸清家底,围绕数据全生命周期实施数据分类分级管理,组织专业团队开展数据安全检测,着重关注重要数据的界定、识别,盯紧重要数据安全防护,严防重要数据泄露。
2、构建以防范网络攻击、断供和人员违规为核心的供应链安全管理制度。
近年来,关键信息基础设施面临来自采购的产品、软件和服务等供应链威胁的问题越来越突出,如供应链完整性威胁可能导致关键信息基础设施被恶意篡改、违规控制;供应链数据安全威胁可能导致敏感数据泄露、滥用;供应链中断威胁可能导致关键信息基础设施交付中断、不正当竞争、甚至业务中断;供应链人员违规可能导致关键信息基础设施被植入后门、恶意破坏以及敏感信息泄露等。
针对上述风险,政务外网构建了供应链安全管理制度,强化了供应链安全管理,加强审查使用的产品、软件和人员服务。
严格落实测评认证
严格落实测评认证,建立软硬件设备台账,系统上线前进行渗透测试和漏洞扫描,上线后定期开展测评整改。
建立服务供应商供应链安全管理制度
建立服务供应商供应链安全管理制度,签署责任书或备忘录,提高服务供应商安全责任意识、供应链安全风险管理能力和完善人员背景调查管理。
持续开展供应链安全自查检查和评估工作
持续开展供应链安全自查检查和评估工作,重点检查采购安全可信的网络产品和服务方面的组织保障、制度建设和执行情况,开展供应链安全评估,降低供应链安全风险。
3、面向未来做好全局性统筹,做好关键信息基础设施安全保护规划。
政务外网关键信息基础设施保护涉及各层级政府部门,需要构建高效的顶层协调机制,充分发挥国家网信部门的统筹协调和国务院公安部门的指导监督作用,构建政府部门、关键信息基础设施运营者以及社会各方面力量共同参与支持的安全保障体系,建立覆盖政府、行业与企业的网络安全信息共享机制、完善监测预警和应急体系,从整体上防控关键信息基础设施的网络安全风险和开展对大规模攻击的集中应急处置。
形成综合联动格局
依托行业保护部门和相关监督管理部门的整体性安全保护决策和手段,形成“共同保护关键信息基础设施安全”的综合联动格局。
合理分配网络安全资源投入
合理分配网络安全资源投入,在实施全方位保护的前提下,突出政务外网重要设施、部位、环节的重点保护。
三、未来持续加强关键信息基础设施安全保护的思路
1、强化政务网络公共设施建设,统筹建设关键信息基础设施运行支撑能力。
强化政务网络公共支撑能力,进一步完善连接各行业、各层级公共网络平台,集约化推进国家公共设施共性能力建设,为关键信息基础设施运行提供充分保障,实现统筹建设、统一部署和集约协同。
加强自主可控安全管理,建立新技术、新应用安全评估机制,强化安全可靠技术和产品应用,从源头上解决网络安全重大隐患。
强化网络安全产业支撑,积极配合开展网络安全技术应用试点示范,支持面向关键信息基础设施的安全技术创新应用。
2、提升政务外网关键信息基础设施网络安全和数据安全防护能力
在基础防护能力建设方面,构建全方位的政务外网安全防御体系,在网络侧、互联网接入侧、应用侧加强部署相应的安全防护措施,建立较强的边界防护能力、终端防护能力、安全审计能力。
在安全监测能力建设方面,积极开展政务外网安全监测类平台建设,提供 7*24 小时的全方位安全监测服务,逐步具备整网安全事件及时发现并处置的能力。
在数据安全保护能力建设方面,在促进数据共享使用的同时,推动政务外网数据安全保护能力建设,深入推广数据访问控制与权限管理、数据加密、数据脱敏、数据标识、数据审计等防护措施的建设和应用,提升数据安全交换功能和性能,加强数据容灾备份设施建设,实现数据安全管控。同时,提升政务外网国产密码一体化支撑能力,推进国产密码在政务网络、政务云、各业务系统、数据共享体系方面的规模化部署和替代,持续开展政务外网密码应用安全性评估相关工作。
3、提升政务外网关键信息基础设施协同处置能力。
构建协同处置机制和通道
构建覆盖中央、省、市、县四级的政务外网安全事件管理协同处置机制,明确工作范围、职责、流程等内容;建设政务外网安全事件管理平台,及时收集、汇总、分析、共享各方网络安全信息,为各级政务外网安全管理部门搭建跨地域、跨层级、跨系统的安全事件协同处置通道。
推动情报共享协同
依托国家网络与信息安全信息通报机制,加强国家电子政务外网网络信息安全通报预警力量建设,推进与网信、公安、保密等主管部门和主流安全厂商网络安全威胁情报共享协同,联合机构、院校、厂商深度挖掘分析,形成具有政务外网特色的威胁情报信息库,支撑政务外网安全事件管理协同处置机制能力建设。
通过应急演练提升协同处置能力
建设政务外网安全应急演练平台,为各级政务外网安全管理部门搭建演练环境,提升政务外网安全事件协同处置能力。
声明:本文来自关键信息基础设施安全保护联盟筹,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
