文 | 国家信息中心 罗海宁
近年来,全球关键信息基础设施的攻击事件急剧增加,安全威胁日益严峻。我国作为面临网络威胁最严重的国家之一,关键信息基础设施的安全对于国家发展大局,对维护国家安全、经济发展和社会稳定具有重要意义。党的十八大以来,以习近平同志为核心的党中央高度重视网络安全和信息化工作,为贯彻落实习近平总书记关于“筑牢网络安全防线,提高网络安全保障能力,强化关键信息基础设施防护”的重要指示精神,进一步推动关键信息基础设施安全保障体系的建设,《关键信息基础设施安全保护条例》(以下简称《条例》)于 2021 年 9 月 1 日正式实施。作为《网络安全法》的重要配套法规,《条例》完善了关键信息基础设施的认定方法、明确了运营者的责任义务、提出了保障和促进措施,规定了法律责任。在《条例》实施的两年中,关键信息基础设施保护制度体系逐步完善,推动各行业、各领域按照要求全面开展和落实安全保护工作。
在电子政务领域,《条例》为推动政务信息化建设提供了有效的安全保障,为数字政府在线履职、服务于民提供了有力支撑。国家电子政务外网作为电子政务领域的重要信息基础设施,在承载重要业务、各级政府间协同以及为人民群众提供在线服务等方面发挥着重要作用,其网络安全和数据安全是关键信息基础设施保护工作的重中之重。为强化关基信息基础设施的安全保护,国家电子政务外网采取了多种措施,包括制定规章制度和标准规范、推广技术应用以及进行攻防演练等。
一、国家电子政务外网中关键信息基础设施安全保护技术机制
基于《条例》中的保障和促进措施,结合《信息安全技术 关键信息基础设施安全保护要求》,国家电子政务外网遵循“以关键业务为核心的整体防护,以风险管理为导向的动态防护,以信息共享为基础的协同联防”三项保护原则,开展关键信息基础设施网络安全和数据安全能力建设。在安全自查、监测预警、应急处置等方面落实保护工作,构建全方位的数字政府安全保障体系。
(一)网络安全能力建设
一是严格落实安全自查工作。每年开展关键信息基础设施安全保护自查工作,全面摸清网络安全保护状况,检测排查并督促整改网络安全风险隐患、漏洞和突出问题,防范发生网络信息安全事故,确保网络安全平稳运行。二是推进监测预警平台建设。加强国家电子政务外网网络信息安全通报预警力量建设,推进主管部门和安全厂商之间的网络安全威胁情报共享协同,深度挖掘分析,及时收集、汇总、分析和共享各方网络安全信息,建立具有政务外网特色的威胁情报信息库。在政务外网网络安全监测工作的基础上,推进安全监测预警平台的建设,逐步具备基础网络监测、政务云监测、政务应用监测以及政务数据监测能力,并提供 7×24 小时的安全监测服务。三是完善事件应急处置机制。制定并完善针对关键信息基础设施网络安全的应急处置预案,定期进行预案的研讨及更新修订,不断提高风险防范和应急处置能力。结合自动化安全事件处置平台,建立人机共治的机制,大大提升了处置效率。四是定期开展实战化攻防演练。通过定期开展实战化攻防演练,检验关键信息基础设施的安全防护能力,提升网络安全应急处置队伍的应对能力。在实践中不断完善安全应急处置流程和工作机制,进一步提高安全事件应急处置的综合能力水平,促进形成常态化的网络安全保障措施。五是持续强化央地协同联动能力。国家电子政务外网积极推进《条例》的贯彻实施,协同各省市加快推进覆盖全网、整体联动、准确高效、功能完备的国家电子政务外网安全体系建设。为各级政务外网安全管理部门搭建跨地域、跨层级、跨系统的安全事件协同处置通道,进一步提升全网监测发现、分析研判、预警通报、信息共享和协同处置能力,切实保障政务外网关键信息基础设施的网络安全、业务安全和数据安全。
(二)数据安全能力建设
国家电子政务外网围绕数据安全技术方面要求,针对正在建设和运行的关键信息基础设施,结合实际工作和经验总结,制定了多项规章制度和标准规范,形成了多项政务数据安全保护措施,用于指导各环节的政务数据安全保护工作。
1. 建立政务数据安全规章制度与标准规范
通过制定国家电子政务外网数据安全和数据运维管理制度,提供政务数据分类分级的方法指导和安全保护技术要求,确保了关键信息基础设施的稳定运行和数据的安全可靠性。标准规范提供了政务数据安全技术框架,规定了政务数据准备、交换和使用阶段的安全技术要求,以及相关信息基础设施的安全技术要求,指导解决政务信息共享交换中可能出现的数据泄露、数据滥用等问题,增强政务信息共享交换的数据安全保障能力。
2. 制定落实政务数据安全保护措施
开展重要数据分类分级工作。针对关键信息基础设施,根据政务领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,制定形成数据分类分级规则,
开展数据分类分级管理工作。通过人工和技术工具的结合,识别数据资源并梳理形成数据资产目录,明确业务数据类型和数据级别。开展重要数据安全保护。主要采取六个方面措施:一是针对重要数据字段及个人敏感信息,采用基于国密的密码技术,对数据交换通道和存储进行加密,确保数据传输和存储的安全性。二是严格控制数据访问,对数据服务器及应用系统进行点对点的精细化访问控制,防止未经授权的访问。三是加强数据库的操作审计,以防止数据非法导入和导出。四是加强人员管理,采用数字证书进行操作身份认证,并按照最小授权原则开放权限。五是严格控制远程管理的开通权限和时限,通过限定访问端口和记录操作行为来降低远程管理风险。六是探索建立数据标识和分类分级保护平台,利用密码技术实现对共享交换数据标识、管控和溯源,确保数据交换的真实性、保密性和完整性,实现数据流转过程的“可视化”。
二、国家电子政务外网中关键信息基础设施安全保护管理机制
《条例》明确了关键信息基础设施运营者和安全管理机构的责任与义务,国家电子政务外网按照相关要求,制定关键信息基础设施安全保护管理办法,明确责任主体、组织结构和责任分工,坚持“谁运营、谁负责”原则,履行好关键信息基础设施运营者的主体责任,确保安全保护工作有序开展,切实提升关键信息基础设施安全保障水平。此外,国家电子政务外网在现有分工的基础上,设立专门的关键信息基础设施安全保护管理机构,负责统筹安全管理工作,建立统筹协调、分工负责的管理机制,并履行如下职责。
一是建立健全关键信息基础设施安全管理制度。国家电子政务外网推动关键信息基础设施安全保护管理工作方案的制定,确保安全保护措施与关键信息基础设施的规划、建设和使用同步进行。同时,实行一把手负责制,关键信息基础设施运营者的主要负责人将负总责,领导关键信息基础设施的安全保护、安全能力建设和重大网络安全事件处置工作,并组织研究解决重大网络安全问题。此外,管理制度还明确了管理责任部门、认定规则、安全规划、安全标准、评价考核等一系列合规要求。
二是组织制定政务数据分类分级指南,完善政务数据分类分级安全工作规则和管理制度。规范政务数据安全使用原则,明确政务数据安全负责人和具体工作要求,落实相关责任。建立数据资产目录、摸清家底,明确各项资产的安全管理负责人,围绕政务数据全生命周期实施数据分类分级管理,根据业务应用属性对政务数据进行分类分级保护,组织专业团队开展数据安全监测,着重关注重要数据的界定、识别,盯紧重要数据安全防护,严防重要数据泄露。
三是持续推进商用密码在关键信息基础设施安全保护中的应用。制定商用密码应用方案,推进国产商用密码在政务网络、政务云、各业务系统、数据共享体系方面的规模化部署和替代,落实对正在运行的关键信息基础设施每年至少一次的商用密码应用安全性评估,提升政务外网商用密码一体化支撑能力。
四是统筹关键信息基础设施相关安全测评与评估工作。运营者和测评机构需要对关键信息基础设施和政务数据开展系统性安全监测、风险评估工作,重要数据每年评估一次,对发现的安全问题及漏洞及时整改,并按照政务外网保护工作部门要求报送情况,合力提升关键信息基础设施综合安全防护水平。
五是构建供应链安全管理制度,保障关键信息基础设施网络安全和数据安全。遵循供应链安全相关法律法规及标准规范,建立供应链管理和审核制度,从产品和服务以及数据处理活动安全性、可能带来的网络安全风险等多个角度,加强对供应商审查和安全评估。严格落实测评认证,定期开展系统渗透测试和漏洞扫描,及时整改发现的安全问题,降低供应链安全风险。
六是加快推动信息领域新技术在关键信息基础设施安全保护上的应用。充分利用以 5G、大数据、人工智能等为代表的新技术、新手段,加强管理和技术创新,依托信息化手段构建具备联合预警、协同防御体系的立体化关键信息基础设施安全保护平台,强化数据信息分析处理,加强关键信息基础设施全流程管控,提升网络安全综合保护能力和效能。
七是搭建演习平台,定期开展攻防演练。建立监测预警、信息通报和应急处置机制,制定应急管理制度和安全事件应急预案。为各级政务外网安全管理部门搭建演练环境,定期开展应急演练,查找关键信息基础设施安全保护工作中的短板和不足,针对发现的问题,制定切实可行的整改措施,提升各级政务外网安全事件处置能力。
八是定期组织开展安全意识教育和安全操作培训,提升关键信息基础设施安全保障能力。培训内容包括但不限于国家网络与信息安全相关法律法规、网络与信息安全意识、政务数据安全管理规定、安全知识与技术技能等,培训形成记录并对培训效果进行评价。
三、未来持续加强国家电子政务外网中关键信息基础设施安全保护机制的思路
面临全球复杂严峻的网络安全局势,关键信息基础设施的安全防护需要不断完善机制,以应对新问题和新挑战。国家电子政务外网将进一步推进关键信息基础设施安全保护工作,筑牢网络安全防线。
一是健全完善规章制度与标准规范体系,优化关键信息基础设施安全保护机制,不断适应数字化发展的新需求。围绕政务外网关键信息基础设施共性安全需求和基线安全要求,完善规章制度提升政务外网网络安全和数据安全保障能力,健全标准规范体系为我国关键信息基础设施安全保护工作实践提供技术支撑和方法指引。
二是持续提升各级政务外网关键信息基础设施协同处置能力。坚持底线思维和极限思维,以实战化演练为契机,模拟关键信息基础设施遭到大规模、高烈度的攻击,检验各级政务外网信息共享的能力和协同处置的效率。
三是加强网络安全人才队伍培养。网络安全防护能力和关键信息基础设施安全保护能力的提升需要专业人才队伍的支撑。应加快启动网络安全人才培训,改善专业技术人才队伍缺乏的局面,提升网络安全专业化能力,为数字政府建设提供坚实的安全保障。
四、结 语
关键信息基础设施作为重要的战略资源,在建设数字中国的过程中发挥着基础性、全局性的支撑作用,国家电子政务外网将全面深入践行关键信息基础设施安全保护,积极推进安全保护机制的研究与落地,保护网络系统和信息资源安全,为数字中国建设保驾护航。
(本文刊登于《中国信息安全》杂志2023年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
