2021年7月30日,国务院令第745号公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行,2021年8月17日正式对外颁布。该条例的颁布标志着我国网络安全法律法规建设和安全保障工作进入一个新的阶段。《条例》颁布一年以来,各相关部门和有关机构积极推进关键信息基础设施安全保护工作,并取得显著成效。在此,我联盟特邀请行业内数位专家对我国关键信息基础设施安全保护工作发表专家观点并进行系列报道,敬请关注。
文| 水利部 蔡阳
专家名片
蔡阳,水利部网信办主任、信息中心主任,正高级工程师,长期从事水利网络安全和信息化、防洪减灾、水资源管理等工程建设与管理。享受国务院政府特殊津贴专家、国家关键信息基础设施安全保护专家组成员、国家大数据专家咨询委员会成员。
数据已成为国家基础性战略资源,数据安全问题日益凸显。国家先后颁布的《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》均对数据和个人信息的管理提供了法制保障。显然,对于行业重要数据类的关键信息基础设施的安全保护提出了更高要求。在此背景下,针对行业重要数据类的关键信息基础设施,我们提出了一种基于商用密码技术的数据安全保护技术,推动行业重要数据在收集、存储、使用、加工、传输、提供、公开等过程中的安全应用。
行业网络安全基本防护要求
行业重要数据类关键信息基础设施防护应该建立在行业网络安全基本防护基础上。根据国家网络安全相关政策标准要求,遵循行业网络安全顶层设计和总体策略,落实《中华人民共和国网络安全法》以及网络安全等级保护和关键信息基础设施保护相关要求,以行业基础设施、数据资源和业务应用,尤其是关键信息基础设施为安全保护对象,建立涵盖人员组织、制度标准、工作规程在内的全方位网络安全组织管理体系;构建纵深防御为基础、监测预警为核心、应急响应为抓手的全要素网络安全技术体系;持续完善监督检查体系和安全运营体系,全面提升行业网络安全保障能力。
组织管理体系
网络安全组织管理体系以合规合法、责任到人为中心,主要涵盖:网络安全策略、管理制度、标准规范体系、管理机构、人才队伍、资金保障等多方面,为行业网络安全建设提供强有力的支撑保障。
安全技术体系
遵循网络安全总体策略,构建涵盖纵深防御、监测预警和应急响应的整体技术防护体系。
纵深防御,网络安全纵深防御能力包括基础安全技术、统一安全服务2个方面。基础安全技术构成网络安全等级保护安全合规运营的技术基础,也形成体系化的纵深防御安全能力基础;统一安全服务旨在构建行业运行所需的统一安全服务基础设施,保证体系覆盖范围内获得一致性可持续的安全能力组件,也实现体系安全保障资源的集约化和各层级单位整合共享。
监测预警,网络安全监测预警能力以大数据分析平台为基础,充分利用分布式处理、深度学习、异构计算等大数据处理技术,对行业内部、外部网络安全情报和网络内与网络安全相关的各类数据信息进行挖掘分析,对网内安全状态进行实时感知和预警,并在行业内进行相关的数据共享。
应急响应,网络安全应急响应能力指基于威胁情报态势感知的不同层级信息进行应急响应。行业的安全能力进一步从监测响应式主动防御升级演进到威胁情报预警指挥智能处置能力,包括应急决策指挥、综合展示和集中管理控制平台等维度的内容。
监督检查体系
依据行业网络安全管理办法,围绕抓住“及时发现漏洞、及时有效处置漏洞”两个关键,通过“查、改、罚”等有效手段,强化关键信息基础设施安全监管,建立关键信息基础设施安全监督检查体系,行业各级关键信息基础设施安全保护工作的主管部门定期监督检查,结合行业关键信息基础设施运营者自查,配合网信部门、公安部门的网络安全检查监测,形成监督检查合力。
安全运营体系
网络安全运营体系包括安全基线制定、日常安全运维,系统运行中安全评估、安全监测、渗透测试、漏洞修复、运维审计,日常应急演练,安全事件发生后的响应处置与分析优化策略调整等,以数据为核心的闭环网络安全运营全流程。从而有效对安全威胁事件进行综合研判和及时处置,并不断闭环对运营体系进行优化。
基于商用密码技术的数据安全防护