行業(yè)動(dòng)態(tài)

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)必須以等級(jí)保護(hù)制度為基礎(chǔ)

來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2017-06-25    瀏覽次數(shù):
 

信息來(lái)源:光明網(wǎng)

        近年來(lái),有關(guān)網(wǎng)絡(luò)安全的話題從未停歇。隨著“棱鏡門”事件的曝光,國(guó)家間的信息安全對(duì)抗日益公開化,網(wǎng)際空間的安全威脅正呈國(guó)際化、復(fù)雜化、組織化趨勢(shì)發(fā)展。

        如今,以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)為代表的新技術(shù)得以迅速應(yīng)用,更多的傳統(tǒng)能源、電力、交通基礎(chǔ)設(shè)施聯(lián)入網(wǎng)絡(luò),成為關(guān)鍵信息基礎(chǔ)設(shè)施有機(jī)組成部分。

        “關(guān)鍵信息基礎(chǔ)設(shè)施”一詞看似抽象,卻是網(wǎng)絡(luò)安全的重中之重。在最近的一年里,中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)安全管理部副主任張新躍一直在做網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)制定工作。在他看來(lái),與2014年的征求意見稿相比,今年6月1日實(shí)施的《網(wǎng)絡(luò)安全法》最主要變化是加入了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和信息保護(hù)的明確定義,在安全設(shè)施、安全產(chǎn)業(yè)方面有更詳細(xì)的描述,且提升到了國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的高度。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)必須以等級(jí)保護(hù)制度為基礎(chǔ)

(圖片來(lái)源于網(wǎng)絡(luò))

兩者相輔相成、不容分割

        作為落實(shí)國(guó)家總體安全觀的重要舉措,《網(wǎng)絡(luò)安全法》勾勒出了國(guó)家網(wǎng)絡(luò)安全頂層設(shè)計(jì)的框架和藍(lán)圖,也突出了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的要求。在《網(wǎng)絡(luò)安全法》第三章第二節(jié)中,大篇幅重點(diǎn)闡述了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”的相關(guān)話題。

        作為支撐能源、交通、金融、通信、電子政務(wù)等重要領(lǐng)域運(yùn)行的神經(jīng)中樞,關(guān)鍵信息基礎(chǔ)設(shè)施與國(guó)計(jì)民生息息相關(guān)。然而,我國(guó)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)面臨著建設(shè)起步較晚、專業(yè)技術(shù)落后、安全威脅嚴(yán)峻等形勢(shì),實(shí)施起來(lái)任重道遠(yuǎn)。

        “國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施首先落實(shí)等級(jí)保護(hù)制度,要將等級(jí)保護(hù)制度打造成新時(shí)期國(guó)家網(wǎng)絡(luò)安全的基本制度,逐漸構(gòu)建新的法律政策體系、標(biāo)準(zhǔn)體系、人才技術(shù)支撐體系、人才隊(duì)伍體系、教育訓(xùn)練體系和新的保障體系?!痹谌涨芭e辦的第五屆中國(guó)網(wǎng)絡(luò)安全大會(huì)(NSC2017)上,公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全坦言,互聯(lián)網(wǎng)發(fā)展首先要保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全,這也是等級(jí)保護(hù)制度的核心內(nèi)容。

        “正確理解、處理等級(jí)保護(hù)制度與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的關(guān)系?!惫鶈⑷硎?,網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ),關(guān)鍵信息基礎(chǔ)設(shè)施是等級(jí)制度保護(hù)的重點(diǎn),二者相輔相成,不能分割;網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是普適性的制度,關(guān)鍵信息基礎(chǔ)設(shè)施是重點(diǎn)保護(hù)的核心點(diǎn),兩者是面和點(diǎn)之間的關(guān)系。

        在郭啟全看來(lái),關(guān)鍵信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施須按照等級(jí)保護(hù)制度要求,開展定級(jí)備案、等級(jí)測(cè)評(píng)、安全建設(shè)整改、安全檢查等強(qiáng)制性、規(guī)定性工作。

“等級(jí)保護(hù)2.0”與云上安全

        隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興IT技術(shù)的發(fā)展與落地,傳統(tǒng)信息安全的邊界越來(lái)越模糊,新的攻擊形態(tài)層出不窮?!暗燃?jí)保護(hù)制度進(jìn)入2.0時(shí)代,網(wǎng)絡(luò)安全也進(jìn)入2.0時(shí)代?!闭劶爱?dāng)前形勢(shì)下等級(jí)保護(hù)制度的特點(diǎn),郭啟全認(rèn)為,一是涉及全新的國(guó)家網(wǎng)絡(luò)安全基本制度體系;二是以保護(hù)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施為重點(diǎn);三是保護(hù)策略發(fā)生變化。

        也就是說(shuō),傳統(tǒng)的等級(jí)保護(hù)即1.0時(shí)代,其對(duì)象就是信息系統(tǒng):數(shù)據(jù)采集生成、處理加工、傳輸和數(shù)據(jù)的存儲(chǔ);而等級(jí)保護(hù)的2.0時(shí)代則新增加了對(duì)云計(jì)算安全、移動(dòng)互聯(lián)安全、物聯(lián)網(wǎng)安全以及大數(shù)據(jù)安全等相關(guān)要求。

        “縱向上延伸了信息系統(tǒng)的概念,把云計(jì)算、工控、物聯(lián)網(wǎng)都納入進(jìn)來(lái),與這些相關(guān)的都是等級(jí)保護(hù)對(duì)象的試用范圍。”公安部信息安全等級(jí)保護(hù)評(píng)估中心測(cè)評(píng)部副主任張振峰說(shuō)。

        在業(yè)界人士看來(lái),等級(jí)保護(hù)從由1.0到2.0是被動(dòng)防御變成主動(dòng)防御的變化。也就是說(shuō),以前被動(dòng)防御,要求防火墻、殺病毒、IDS(入侵檢測(cè)系統(tǒng)),要上升到了主動(dòng)防護(hù),做到整體防御、分區(qū)隔離;積極防護(hù)、內(nèi)外兼防;縱深防御、技管并重。

        “伴隨新應(yīng)用、新技術(shù)普及,基礎(chǔ)通信網(wǎng)絡(luò)、基礎(chǔ)平臺(tái)、大數(shù)據(jù)技術(shù)相關(guān)的系統(tǒng),可能只具備個(gè)別的系統(tǒng)功能或特點(diǎn),按照原來(lái)的定義沒辦法劃到等級(jí)保護(hù)范圍之內(nèi)。”張振峰認(rèn)為,等級(jí)保護(hù)體系的大升級(jí),首先就是標(biāo)準(zhǔn)體系的擴(kuò)充,整合原來(lái)1.0時(shí)代的核心標(biāo)準(zhǔn)體系,把不同領(lǐng)域、自身特色的內(nèi)容單獨(dú)對(duì)待;另外,隨著領(lǐng)域的擴(kuò)展,類似當(dāng)前火熱的AI(人工智能)領(lǐng)域,或許可以提出等級(jí)保護(hù)的新要求。

        在等級(jí)保護(hù)2.0時(shí)代下,云上用戶安全不容忽視。“對(duì)于云上租戶或云平臺(tái)來(lái)說(shuō),不僅要提供基礎(chǔ)設(shè)施服務(wù),還能給租戶提供安全的服務(wù)或解決方案,這樣租戶在平臺(tái)上用起來(lái)會(huì)更加得心應(yīng)手?!惫膊康谌芯克朴?jì)算安全測(cè)評(píng)實(shí)驗(yàn)室負(fù)責(zé)人陳妍說(shuō)。

做好認(rèn)定,才能做好保護(hù)

        從各國(guó)的實(shí)施情況看,關(guān)鍵信息基礎(chǔ)設(shè)施具體標(biāo)準(zhǔn)相當(dāng)復(fù)雜,需要在實(shí)踐中不斷完善、不斷調(diào)整。目前,國(guó)家互聯(lián)網(wǎng)信息辦公室正會(huì)同有關(guān)部門按照《網(wǎng)絡(luò)安全法》的要求,指導(dǎo)相關(guān)行業(yè)領(lǐng)域明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。

        張新躍也表示,與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的網(wǎng)絡(luò)安全框架、網(wǎng)絡(luò)安全保護(hù)要求、安全控制要求、安全保障指標(biāo)體系、安全檢查評(píng)估指南等標(biāo)準(zhǔn)正在制定。

        加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù),國(guó)家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局有關(guān)負(fù)責(zé)人表示,要重點(diǎn)做好以下幾方面工作:一是要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的統(tǒng)籌,強(qiáng)化頂層設(shè)計(jì)和整體防護(hù),避免多頭分散、各自為政的情況發(fā)生。二是要建立完善責(zé)任制,政府主要是加強(qiáng)指導(dǎo)監(jiān)管,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者要承擔(dān)起保護(hù)的主體責(zé)任。三是要加強(qiáng)對(duì)從業(yè)人員的網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核,切實(shí)提高網(wǎng)絡(luò)安全意識(shí)和水平。四是要做好網(wǎng)絡(luò)安全信息共享、應(yīng)急處置等基礎(chǔ)性工作,提升關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)能力。五是要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中的國(guó)際合作。

        “做好關(guān)鍵基礎(chǔ)設(shè)施的識(shí)別和認(rèn)定,才能做好關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)?!睆埿萝S認(rèn)為,各行業(yè)會(huì)做細(xì)分要求,承載的對(duì)象和內(nèi)容也會(huì)有區(qū)別。比如,平臺(tái)類會(huì)對(duì)注冊(cè)用戶、活躍用戶、訪問(wèn)量等進(jìn)行特別要求。

綜合防御體系應(yīng)針對(duì)最強(qiáng)對(duì)手設(shè)計(jì)

        如何確定國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施?郭啟全認(rèn)為,應(yīng)該把國(guó)家核心、關(guān)鍵的基礎(chǔ)設(shè)施和重要信息系統(tǒng)作為重中之重,要以國(guó)家級(jí)、有組織的網(wǎng)絡(luò)攻擊能力作為標(biāo)尺,要以網(wǎng)絡(luò)安全等級(jí)保護(hù)為抓手,以信息通報(bào)為平臺(tái)、以情報(bào)偵察為突破、以偵查打擊為支撐,構(gòu)建“偵攻防管控”一體化的大數(shù)據(jù)安全綜合防控體系。

        “關(guān)鍵基礎(chǔ)設(shè)施綜合防御能力、水平和技術(shù)要針對(duì)最強(qiáng)大的對(duì)手,進(jìn)行設(shè)計(jì)、提升和創(chuàng)新?!惫鶈⑷f(shuō),全面提升網(wǎng)上行動(dòng)能力不是單靠一家、某一個(gè)組織、某一個(gè)群體,而是需要共同努力,做到“加強(qiáng)協(xié)同保護(hù),形成保護(hù)合力”。

        “發(fā)現(xiàn)某些問(wèn)題時(shí),可能不是我擅長(zhǎng)的,需要安全公司協(xié)助分析樣本?!睆埿萝S說(shuō),打造一體化的風(fēng)險(xiǎn)識(shí)別、防護(hù)和應(yīng)急響應(yīng),實(shí)現(xiàn)資源共享和聯(lián)動(dòng)防御,安全威脅與情報(bào)共享,進(jìn)行快速的威脅響應(yīng)。比如,前段時(shí)間發(fā)生勒索軟件病毒事件時(shí),恰恰需要協(xié)同,需要共同發(fā)力。

        大型互聯(lián)網(wǎng)企業(yè)雖然不是等級(jí)測(cè)評(píng)的主要實(shí)施者,但是是重要的參與者?!霸谛录夹g(shù)背景下,大型互聯(lián)網(wǎng)企業(yè)應(yīng)該關(guān)注云安全產(chǎn)品合規(guī),重點(diǎn)落在保障業(yè)務(wù)數(shù)據(jù)安全和用戶數(shù)據(jù)隱私保護(hù)。”張振峰認(rèn)為,大型互聯(lián)網(wǎng)企業(yè),無(wú)論是自測(cè),還是在測(cè)評(píng)中給第三方測(cè)評(píng)機(jī)構(gòu)展示安全能力,都需要重點(diǎn)關(guān)注。

        “希望未來(lái)依托等級(jí)保護(hù)國(guó)家工程實(shí)驗(yàn)室,建立全國(guó)云上的等保合規(guī)平臺(tái),囊括云上等級(jí)保護(hù)的相關(guān)參與方,降低用戶的合規(guī)成本……”張振峰說(shuō)。

相關(guān)新聞:

1、《網(wǎng)絡(luò)安全法》實(shí)施系列觀察——個(gè)信篇《生物特征識(shí)別或許最不安全 專家建議個(gè)人信息匿名化處置

2、《國(guó)家網(wǎng)信辦就<網(wǎng)絡(luò)安全法>實(shí)施答記者問(wèn)

3、《網(wǎng)絡(luò)時(shí)代,筑牢個(gè)人信息“安全堤”

 
 

上一篇:微軟官方確認(rèn)部分Windows 10源碼被泄露 容量大約1.2GB

下一篇:2017年06月25日 聚銘安全速遞