2021年8月17日,国务院正式公布中华人民共和国《关键信息基础设施安全保护条例》,该条例2021年9月1日起正式施行。
一、做好关键信息基础设施安全保障是安全从业者的责任
关键信息基础设施安全关乎国家安全、国计民生、公共利益,是实现中华民族伟大复兴,全面建成社会主义现代化强国的重要保障。做好关键信息基础设施安全保障不仅仅是运营者、监管者的责任,更是所有网络安全从业者的责任。尤其在当下关键时期,我国的崛起影响到了某些科技强国的霸权地位,在网络空间的对抗注定将更加严峻,关键信息基础设施的控制权可谓重中之重。
如何有效保障关键信息基础设施的安全、以及如何认定关键信息基础设施,一直是关系关键信息基础设施行业发展的首要问题。《关键信息基础设施安全保护条例》给了我们依据。学习和践行该条例将其应用在日常安全防护工作中,是我们网络安全企业的责任。只有规范化、标准化的防御体系才能充分发挥各方优势形成合力,有效保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动,保障我国社会主义现代化强国建设。
二、《关键信息基础设施安全保护条例》为网络安全企业发展指明了方向
《关键信息基础设施安全保护条例》一共6章51条,从网络安全企业视角来看,其解答了关键信息基础设施如何认定、运营者的责任和义务,以及如何配合国家相关主管部门开展关键信息基础设施的保护工作。《关键信息基础设施安全保护条例》是加强关键信息基础设施企业网络安全防护的重要依据和准则,部署明确了开展相关安全防护、检查检测、安全应急、信息共享,以及配合完成保护工作部门的监测、预警、通报等工作。通过对《关键信息基础设施安全保护条例》学习和认识,作为网络安全企业,需要重点关注以下三个方面内容。
(一)强化对关键信息基础设施企业的服务支撑
一是提供更加优质、合规的关键信息基础设施认定服务。依照《关键信息基础设施安全保护条例》协助关键信息基础设施企业运营者梳理信息基础设施中关键核心业务及其重要程度,分析其中涉及到的网络设施和信息系统,再面向实战攻防技术运用沙盘分析等方式协助运营者推断出这些网络信息系统一旦遭到破坏后可能带来的危害程度和关联性影响,从而进行关键信息基础设施认定。
二是提供更为契合国家安全战略的关键信息基础设施安全产品。通过《关键信息基础设施安全保护条例》应认识到关键信息基础设施的安全不仅是企业级的安全需求,更是国家级的安全需求,乃至全社会的安全需求。因此对关键信息基础设施安全的防护产品也应不再局限于独自提供安全能力,而应是可融入到国家大安全框架下的安全能力组件,例如支持多方情报接入和共享,是对现有安全产品的一种升级趋势。
三是提供全场景、可信任、实战化的关键信息基础设施安全综合保障服务。参照《关键信息基础设施安全保护条例》要求,提供的保障服务应以关键业务为核心进行整体防控,并以风险管理为导向进行动态防护,实现聚焦保护关键业务链所关联的网络、系统、服务等全场景、可信任,攻防实战化的网络安全保障。
(二)强化对关键信息基础设施主管部门的保障支持
一是做好面向关键信息基础设施行业、领域的网络安全监测技术支撑工作。依照《关键信息基础设施安全保护条例》要求,做好全天候、全方位、立体化、精确化、智能化的关键信息基础设施行业级的网络安全监测技术支持,依据关键信息基础设施行业网络安全监测预警制度,协助保护工作部门完成关键信息基础设施的安全监测、预警通报等工作。
二是做好精准威胁情报和安全信息共享的信息支撑性工作。依照《关键信息基础设施安全保护条例》要求,积极向国家网信部门、保护工作部门提供涉及网络安全威胁、漏洞、事件等情报信息,通过技术建模研判,协助主管部门识别在不同行业关键信息基础设施场景中的安全异常,锁定攻击者和攻击活动,对网络威胁进行确认、溯源和取证。
三是做好面向关键信息基础设施安全人才缺口的服务性支撑工作。依照《关键信息基础设施安全保护条例》要求,积极开展面向关键信息基础设施安全人才的培养工作,建立健全人才培养课程体系,配合主管部门注重培养实战性人才,基于真实攻防案例加大力度开发更多的实战化应急演练服务。
(三)强化关键信息基础设施安全保护和服务意识
一是强化合规意识。如果发现服务的关键信息基础设施企业还未达到国家网络安全等级保护要求,应主动提醒运营者优先完成等保建设;在开展关键信息基础设施前,还应关注涉及行业和领域的主管部门、监督管理部门发布的其他相关关键信息基础设施保护的法律和行政法规。
二是强化保密意识。在服务关键信息基础设施企业的过程中,应主动与关键信息基础设施运营企业签订保密协议,并制定相应规范约束服务人员保障关键信息基础设施企业涉及的网络系统安全信息不对外泄露。
三是强化守法意识。在未获得国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权的情况下,坚决不对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。
三、绿盟科技智慧安全3.0体系保障关键信息基础设施安全
关键信息基础设施安全问题常与政治、军事、社会、经济等一系列问题交织在一起,高级持续性攻击常态化,绿盟科技基于多年的网络安全攻防实践经验,发布了智慧安全3.0体系,紧贴关键信息基础设施安全保护要求,提出构建“全场景、可信任、实战化”的安全运营能力,为关键信息基础设施网络安全保驾护航。
(一)全场景覆盖
关键信息基础设施作为经济社会运行的神经中枢,需要在贯彻落实《关键信息基础设施安全保护条例》制度的基础上进行重点保护。在绿盟科技智慧安全3.0体系中,“全场景”的概念不仅意味着可以覆盖大数据、云平台、物联网、工业控制系统、5G等新型基础设施场景,还可以有效应对针对关键信息基础设施人员链、业务链、供应链等因素引起的关联式深度威胁。不管是来自信息系统外部攻击,还是面向核心业务链的威胁,甚至是内部无意识的滥用,绿盟科技“全场景”安全防护,都可以保障客户网络安全的无死角覆盖,保障关键信息基础设施的业务链安全。
(二)可信任机制
关键信息基础设施强调对重要数据和个人信息的保护,在传统边界安全保护的基础上,需要通过采取身份鉴别、访问控制、密码保护、安全审计、可信验证等关键技术,来切实保护重要数据全生命周期安全。无论是针对数据的安全访问机制问题,还是针对产品和服务的供应链保障问题,本质上反映的是对关键信息基础设施安全的一种信任需求。绿盟科技智慧安全3.0体系提出“可信任”的要求,就是从根本上回应关键信息基础设施运营者在信任层面的忧虑,推出了一系列面向关键信息基础设施运营客户的可信高质量的产品;通过对数据安全、零信任等技术的研究,证明了绿盟科技具备在数据安全可信方面的前沿技术能力。
(三)实战化保障
网络空间安全的本质是攻防对抗,而对抗的核心是攻防两端的能力较量,关键信息基础设施更是如此。在关键信息基础设施安全防御的阵地上,如何收敛资产暴露面,如何布设蜜罐诱捕,如何进行专项APT监测分析,如何系统全面地分析攻击者的攻击意图、技术与过程,实现对网络攻击的诱捕、溯源、干扰和阻断等多方面防御呢?绿盟科技智慧安全3.0体系提出“实战化”的要求,作为检验安全技术与产品能力转化的基本要求,面向关键信息基础设施运营单位开展围绕安全演练、安全运营、常态化威胁情报分析等服务,以实战为导向,帮助关键信息基础设施企业达到网络安全“全面防护、智能分析和自动响应”的一体化防护效果。建立健全有力的网络安全应急响应机制和攻防一体化的协同保障体系,将攻防对抗知识通过培训赋能、演练验证,全力提高关键信息基础设施应对重大安全事件的“韧性”,在发生重大事件时能够实现由常态化安全运营向战时应急的迅速转换,达到平战结合一体化。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。