2020年9月2日,网络安全等级保护和关键信息基础设施安全保护工作宣贯大会在北京顺利召开,大会对公网安〔2020〕1960号《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(简称“指导意见”)进行了宣贯。明确指出指导意见是引领重要行业及全社会落实“网络安全等级保护制度和关键信息基础设施保护制度”(简称“两个制度”)的纲领性文件。本场宣贯大会也正式意味着以贯彻“两个制度”为基础,以保护关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障的“双保”时代来临。
随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家面临的新问题、新挑战。当前我国面临的主要挑战有:
● 敌对势力的网络攻击,日益威胁我国家安全;
● 黑客组织、不法分子等网络违法犯罪升级;
● 网络空间活动增多,网络、数据安全面临新的挑战;
● 国家新基建项目启动,维护关键信息基础设施和大数据安全的任务更加繁重。
面对当前国际形势,如何合力应对网络战对国家安全的威胁,保卫国家网络安全是目前面临的主要威胁和“研究课题”。
国家确立网络安全等级保护制度和关键信息基础设施安全保护制度。为深入贯彻落实“两个制度”,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障国家网络安全,特制定指导意见。
各行业、各部门网络安全运营者该如何依据指导意见落实“两个制度”,合力保卫保障网络安全?是我们值得思考的问题。
深入贯彻实施网络安全等级保护制度
网络安全等级保护制度是国家基本制度,行业主管部门和各行业网络安全运营者应积极贯彻落实网络安全等级保护制度,扎实推进定级备案、等级测评、安全建设整改和检查等网络安全等级保护基础工作、落实责任,做到“守土有责、守土尽责”。
定级备案是开展网络安全等级保护的首要工作,部分行业或企事业单位仍然存在重要信息系统未定级、新建系统保护对象边界划分不明及梳理混乱等问题,针对此类问题,公安部网络安全保卫局一级巡视员、总工程师郭启全在宣贯会上特别强调“没定级的要定级,定级不准的要改变等级,科学确定等级,公安机关对备案进行审核”。
开展等级测评工作是落实网络安全等级保护制度的核心内容,企业运营者应依据网络安全等级保护测评要求等有关标准,积极主动开展等级测评、风险评估等工作,及时发现网络和信息系统可能存在的安全风险,及时进行整改,消除重大风险隐患,尽可能及早规避;针对第三级以上的重要网络系统应坚持每年开展一次等级测评工作,作为开展等级测评工作的主要参与方——网络安全等级保护测评机构应严格执行等级测评工作,保证测评结果的准确性、有效性以及时效性。
安全建设整改是等级保护工作落实是否到位的重要体现,网络安全运营者通过“安全自评估”或“等级测评”及时发现网络系统可能存在的安全问题,基于网络安全等级保护相关标准,推动安全问题整改,提升网络信息系统的安全防护能力。此外,在系统安全建设是应基于国家相关法律法规要求,选择采购“安全可信”的软硬件网络安全产品和服务,保证整个网络信息系统供应链安全。
此外,为更高效、安全的推进等级保护工作制度的落实,网络安全运营者还应对第三级以上的网络和重要信息系统要正确、有效采用密码技术进行保护,并进行商用密码应用安全性评估工作。
实施关键信息基础设施安全保护制度
落实实施关键信息基础设施安全保护制度是在落实网络安全等级保护制度基础上,要突出保护重点,强化保护措施,切实维护关键信息基础设施安全。指导意见明确要求公安部加强对关键信息基础设施安全服务机构的安全管理、加大培训力度、提升服务能力,为运营者落实“两个制度”提供支持。
网络安全运营者在落实等级保护制度的基础上对其运营的第三级以上的网络和信息系统进行组织认定,判定其是否为关键信息基础设施。在确定为关键信息基础设施的情况下,网络安全运营者应加强安全防护措施,并进行安全检测评估。网络安全运营者需强化的具体措施有:
● 正确、有效梳理网络资产、建立资产档案、强化核心岗位人员管理能力;● 收敛互联网暴露面,对重点设备或系统进行安全加固;
● 制定整体防护、监测预警、应急处置、数据保护等安全技术防护措施,如部署网络安全监测(检测)设备,及时发现未知威胁,部署第二代蜜罐,诱捕网络攻击;
● 结合新技术构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,提升关键信息基础设施安全防御能力;
● 网络架构合理分区分域,加强纵深防御;
● 建立威胁情报共享机制,加强主动防御;
● 攻防常态化,提升实战网络攻防对抗能力。
为加强重要数据安全和个人信息防护,关键信息基础设施网络安全运营者还应建立并落实重要数据和个人信息安全保护制度。采取密码保护、可信验证、审计隔离等措施,保障重要数据安全,并保护个人信息保护安全,避免未预期的数据丢失、泄露及越权访问等风险,避免重要数据和个人信息违规出境,加强数据和个人信息境外存储或出境的安全评估。
健全网络安全综合防控体系
网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实是贯彻落实“两个制度”的主要目标。建立健全网络安全综合防控体系是保障网络安全,建立“打防管控”一体化能力的有效途径。
网络安全运营者落实“两个制度”,基于网络安全等级保护“一个中心、三重防护”纵深防御理念,应用可信计算、密码技术等技术,开展安全建设和整改加固,构建内生安全、主动免疫、主动防御、整体防控能力,建立网络安全防御体系。结合网络安全等级保护基本要求安全管理中心相关要求,网络运营者应建立安全运营中心,打造安全识别、预警、检测、监测、保护、应急响应于一体的安全管理平台,强化网络安全运营者主动防御、精准防护的安全能力;并结合新技术建设平台智慧大脑,依托平台和大数据开展实时监测、通报预警、应急处置、安全防护、指挥调度等工作,强化立体化安全监测体系,与公安机关有关安全保卫平台对接,形成联防联控的综合防控大格局。基于立体化安全监测体系,重点行业、网络运营者和公安机关建设网络安全监控指挥中心,落实7×24小时值班值守制度,实时感知安全风险,依托国家网络与信息安全信息通报机制,加强网络安全信息共享和通报预警。
根据网络安全等级保护基本要求安全管理部分应急响应的相关要求,网络安全运营者应制定网络安全应急预案,并定期开展应急演练工作。各行业、各部门落实“两个制度”,建立安全防护体系,加强应急力量建设和应急资源储备,与公安机关密切配合,建立事件报告制度和应急处置机制。关键信息基础设施、第三级以上网络发生重大网络安全威胁和事件时,行业主管部门、网络运营者和公安机关应联合开展处置。
落实“两个制度”,建立健全网络安全综合防控体系,保障网络安全“体系化”,提升网络安全综合防控,保障网络安全“常态化”;构建“实战化”安全防护措施和监督检查,提升网络安全保卫能力。
提升网络安全管理工作各项保障
为推进贯彻落实“两个制度”,网络安全运营者各单位、各部门应高度重视网络安全等级保护和关键信息基础设施安全保护工作,提升网络安全管理工作各项保障,为“保卫网络战”提供助力。
01组织领导
网络安全等级保护基本要求安全管理要求部分基于管理三要素“组织、机构、人员”提出相关的要求,为提升网络安全管理工作,首先要研究解决机构、编制、人员、经费、投入等各方面的保障,并将落实“两个制度”相关工作列入重要议事日程,加强统筹领导和规划设计,保证行业主管部门第一把手要负总责,建立网络安全专门机构,明确任务分工,一级抓一级,层层抓落实。指导意见明确:公安机关建立挂牌督办制度,针对工作不力、或存在较大风险、发生重大案事件的单位,会同行业主管部门对相关负责人进行约谈,挂牌督办。
02加强经费和政策保障
为推进“两个制度”工作顺利开展,网络安全运营者应基于现有经费渠道,保障开展“两个制度”相关工作的经费,关键基础设施网络运营者要保障足额的网络安全投入,助力推进网络安全产业健康发展,推动企业安全、稳定发展。
03加强考核评价
公安机关将网络安全工作(特别是等级保护和关键信息基础设施保护工作)纳入社会治安综合治理考核评价体系,每年组织对各地区网络安全工作进行考核评价,每年评选网络安全等级保护、关键信息基础设施安全保护工作先进单位,并将结果报告党委政府,通报网信部门。
04)加强技术攻关
目前国际形势复杂,为保障软硬件产品和服务供应链安全,避免出现“卡脖子”问题,呼吁软硬件厂商、网络安全厂商、重要行业网络安全防护部门联合建立实验室,推进交叉学科建设、开展尖端技术理论研究,合力进行技术攻关,提升网络安全实战能力。保障关键基础设施从底层开始,构建可信的生态链,实现“自主可控”,并应用可信计算技术进行攻关、适配、演示、验证,构建可信生态,打造稳定的网络安全生态。
05加强人才培养
“网络安全,以人为本”,人才培养是落实“两个制度”、突破技术攻关的重要手段。关键基础设施主管部门可通过攻防实战化,通过组织开展比武、竞赛等形式,发现选拔高精尖技术人才,制定实用的选拔机制,吸引人才、要留住人才、要用好人才。为做好网络安全工作提供人才保障。
网络安全等级保护制度和关键信息基础设施安全保护制度是国家推进网络安全工作、提升国家网络安全防御能力的两个重要的制度,为推进“两个制度”的落实,实施“一带一路”网络安全战略和试点在网络安全领域引入保险机制等新方向,以提高网络安全风险治理能力。“双保”时代来临,各行业、各部门网络安全运营者应积极落实“两个制度”,建立健全完善网络安全综合防控体系,合力提升网络和信息系统安全防护能力,有效防范网络安全威胁和处置重大网络安全事件,大力提升网络实战能力,保卫网络安全。