《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)實(shí)踐與探索

政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)實(shí)踐與探索

2022-11-04
來(lái)源:安全牛
關(guān)鍵詞: 安全保護(hù) 政務(wù)

  專家介紹

  周民,國(guó)家信息中心副主任,正高級(jí)工程師,電子政務(wù)專家咨詢委員會(huì)、國(guó)家關(guān)鍵基礎(chǔ)設(shè)施專家委員會(huì)委員,長(zhǎng)期從事數(shù)字政府、信息安全建設(shè)管理工作,主持國(guó)家電子政務(wù)外網(wǎng)、全國(guó)信用信息共享平臺(tái)等一批國(guó)家重大工程項(xiàng)目,主持科技部、國(guó)社科、國(guó)自科等多項(xiàng)重大研究課題。

  關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)是網(wǎng)絡(luò)安全保護(hù)的重中之重,對(duì)于維護(hù)國(guó)家安全、經(jīng)濟(jì)健康發(fā)展、維護(hù)社會(huì)穩(wěn)定和社會(huì)公共利益具有重要的意義。2021年9月1日《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)正式實(shí)施以來(lái),我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作翻開(kāi)新的篇章。各行業(yè)主管部門積極推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定工作,各關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位嚴(yán)格按照《條例》要求開(kāi)展和落實(shí)保護(hù)工作。國(guó)家電子政務(wù)外網(wǎng)作為電子政務(wù)領(lǐng)域重要基礎(chǔ)設(shè)施,積極推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定,圍繞合規(guī)體系、供應(yīng)鏈安全和全局性統(tǒng)籌等方面,開(kāi)展了一系列成效顯著的安全保護(hù),并提出了未來(lái)持續(xù)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的思路。

  一、《條例》正式實(shí)施是新形勢(shì)下保障國(guó)家安全的重要舉措,在加強(qiáng)各單位重視程度和指導(dǎo)保護(hù)工作落實(shí)方面取得顯著成效。

  1、《條例》正式實(shí)施是推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的急切需要,對(duì)保障國(guó)家安全意義重大。

  近年來(lái),烏克蘭斷電、科諾尼爾網(wǎng)絡(luò)勒索、太陽(yáng)風(fēng)供應(yīng)鏈攻擊、孟加拉央行被竊等重大網(wǎng)絡(luò)安全事件凸顯各國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全威脅在急劇增加?!岸頌鯖_突”揭示網(wǎng)絡(luò)戰(zhàn)成為現(xiàn)代戰(zhàn)爭(zhēng)的重要手段,關(guān)鍵信息基礎(chǔ)設(shè)施已是網(wǎng)絡(luò)戰(zhàn)的首要攻擊目標(biāo)。在未來(lái),針對(duì)金融、能源、電力、通信、交通等行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的新型攻擊手段層出不窮、強(qiáng)度持續(xù)加劇,隨時(shí)有可能爆發(fā)重大安全事件,導(dǎo)致惡劣影響和巨大損失。我國(guó)是全球遭受網(wǎng)絡(luò)安全威脅最嚴(yán)重的國(guó)家之一,我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施也面臨嚴(yán)峻的風(fēng)險(xiǎn)考驗(yàn)。黨的十八大以來(lái),以習(xí)近平同志為核心的黨中央高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,就加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)做出了一系列重大決策部署?!稐l例》的出臺(tái)實(shí)施是落實(shí)黨中央決策部署和總體國(guó)家安全觀,切實(shí)推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系建設(shè)的里程碑。

  2、《條例》正式實(shí)施是我國(guó)數(shù)字經(jīng)濟(jì)轉(zhuǎn)型“統(tǒng)籌安全和發(fā)展”的重要保障。

  當(dāng)前,正處于新一輪科技革命和產(chǎn)業(yè)變革期,為主動(dòng)順應(yīng)經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型趨勢(shì)、充分釋放數(shù)字化發(fā)展紅利,亟需驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展、數(shù)字社會(huì)建設(shè)、營(yíng)造良好數(shù)字生態(tài)以及建立健全數(shù)據(jù)要素市場(chǎng)和治理體系,以加快數(shù)字化發(fā)展。面對(duì)數(shù)字經(jīng)濟(jì)時(shí)代日益突出的網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn),需堅(jiān)持“統(tǒng)籌發(fā)展和安全”,以發(fā)展促安全、以安全保發(fā)展?!稐l例》的正式實(shí)施將加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施、重要數(shù)據(jù)的安全保護(hù),提升全社會(huì)網(wǎng)絡(luò)安全水平,為數(shù)字化發(fā)展?fàn)I造安全可靠環(huán)境,同時(shí),《條例》也是保障創(chuàng)新政府治理理念和方式落地、數(shù)字治理新格局形成,以及推進(jìn)國(guó)家治理體系和治理能力現(xiàn)代化的重要抓手。

  3、《條例》實(shí)施以來(lái),各行業(yè)保護(hù)部門和運(yùn)營(yíng)單位的重視程度、安全意識(shí)得到明顯提高,認(rèn)定和保護(hù)工作取得顯著進(jìn)展。

  《條例》正式實(shí)施以來(lái),各行業(yè)主管部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位廣泛開(kāi)展了網(wǎng)絡(luò)安全專項(xiàng)教育、知識(shí)培訓(xùn)和《條例》解讀等工作,更深刻認(rèn)識(shí)了關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵地位和基礎(chǔ)性、全局性、支撐性作用,更深刻領(lǐng)悟了保證關(guān)鍵信息基礎(chǔ)設(shè)施安全對(duì)于維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、保障經(jīng)濟(jì)社會(huì)健康發(fā)展、維護(hù)公共利益和保障公民人身和財(cái)產(chǎn)安全的重大意義。

  各關(guān)鍵行業(yè)結(jié)合本行業(yè)的特點(diǎn)、定位和發(fā)展布局,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作作出重要部署。以政務(wù)外網(wǎng)為例,按照《條例》要求落實(shí)了專職部門負(fù)責(zé)統(tǒng)籌推進(jìn)保護(hù)工作,以保障政務(wù)外網(wǎng)關(guān)鍵核心業(yè)務(wù)運(yùn)行安全、數(shù)據(jù)安全為目標(biāo),綜合考慮網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等的重要程度、遭到破壞的危害程度以及對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響,編制了認(rèn)定工作方案和認(rèn)定規(guī)則,并正積極推進(jìn)落實(shí)。

  二、從合規(guī)體系、供應(yīng)鏈安全和全局性統(tǒng)籌等角度開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作

  《條例》涵蓋內(nèi)容廣、涉及要求全,包括主體責(zé)任、認(rèn)定原則、運(yùn)營(yíng)者責(zé)任義務(wù)、保障和促進(jìn)措施以及法律責(zé)任等。推進(jìn)《條例》落地實(shí)施,應(yīng)堅(jiān)持問(wèn)題導(dǎo)向、結(jié)合實(shí)際、全局推進(jìn)、突出重點(diǎn)。政務(wù)外網(wǎng)作為電子政務(wù)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施,結(jié)合政務(wù)外網(wǎng)現(xiàn)狀和問(wèn)題,探索從合規(guī)體系構(gòu)建、供應(yīng)鏈安全管理和全局性統(tǒng)籌等角度落實(shí)《條例》要求。

   1、重點(diǎn)圍繞安全保護(hù)管理、安全保護(hù)自查、重要數(shù)據(jù)保護(hù)等方面,構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施合規(guī)體系。

  政務(wù)外網(wǎng)嚴(yán)格貫徹落實(shí)《條例》要求,啟動(dòng)建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)合規(guī)體系。

  制定關(guān)鍵信息基礎(chǔ)設(shè)置安全保護(hù)管理工作方案

  制定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理工作方案,明確了包括管理責(zé)任部門、認(rèn)定規(guī)則、安全規(guī)劃、安全標(biāo)準(zhǔn)、評(píng)價(jià)考核等一系列合規(guī)要求。

  嚴(yán)格落實(shí)安全保護(hù)自查

  嚴(yán)格落實(shí)安全保護(hù)自查,對(duì)擬認(rèn)定的關(guān)鍵信息基礎(chǔ)設(shè)施提前完成等保備案工作,每年開(kāi)展等保測(cè)評(píng)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)自查工作,并聚焦風(fēng)險(xiǎn)問(wèn)題完成清查整改。

  制定數(shù)據(jù)安全管理制度

  制定數(shù)據(jù)安全管理制度,建立數(shù)據(jù)資產(chǎn)目錄、摸清家底,圍繞數(shù)據(jù)全生命周期實(shí)施數(shù)據(jù)分類分級(jí)管理,組織專業(yè)團(tuán)隊(duì)開(kāi)展數(shù)據(jù)安全檢測(cè),著重關(guān)注重要數(shù)據(jù)的界定、識(shí)別,盯緊重要數(shù)據(jù)安全防護(hù),嚴(yán)防重要數(shù)據(jù)泄露。

  2、構(gòu)建以防范網(wǎng)絡(luò)攻擊、斷供和人員違規(guī)為核心的供應(yīng)鏈安全管理制度。

  近年來(lái),關(guān)鍵信息基礎(chǔ)設(shè)施面臨來(lái)自采購(gòu)的產(chǎn)品、軟件和服務(wù)等供應(yīng)鏈威脅的問(wèn)題越來(lái)越突出,如供應(yīng)鏈完整性威脅可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被惡意篡改、違規(guī)控制;供應(yīng)鏈數(shù)據(jù)安全威脅可能導(dǎo)致敏感數(shù)據(jù)泄露、濫用;供應(yīng)鏈中斷威脅可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施交付中斷、不正當(dāng)競(jìng)爭(zhēng)、甚至業(yè)務(wù)中斷;供應(yīng)鏈人員違規(guī)可能導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施被植入后門、惡意破壞以及敏感信息泄露等。

  針對(duì)上述風(fēng)險(xiǎn),政務(wù)外網(wǎng)構(gòu)建了供應(yīng)鏈安全管理制度,強(qiáng)化了供應(yīng)鏈安全管理,加強(qiáng)審查使用的產(chǎn)品、軟件和人員服務(wù)。

  嚴(yán)格落實(shí)測(cè)評(píng)認(rèn)證

  嚴(yán)格落實(shí)測(cè)評(píng)認(rèn)證,建立軟硬件設(shè)備臺(tái)賬,系統(tǒng)上線前進(jìn)行滲透測(cè)試和漏洞掃描,上線后定期開(kāi)展測(cè)評(píng)整改。

  建立服務(wù)供應(yīng)商供應(yīng)鏈安全管理制度

  建立服務(wù)供應(yīng)商供應(yīng)鏈安全管理制度,簽署責(zé)任書(shū)或備忘錄,提高服務(wù)供應(yīng)商安全責(zé)任意識(shí)、供應(yīng)鏈安全風(fēng)險(xiǎn)管理能力和完善人員背景調(diào)查管理。

  持續(xù)開(kāi)展供應(yīng)鏈安全自查檢查和評(píng)估工作

  持續(xù)開(kāi)展供應(yīng)鏈安全自查檢查和評(píng)估工作,重點(diǎn)檢查采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)方面的組織保障、制度建設(shè)和執(zhí)行情況,開(kāi)展供應(yīng)鏈安全評(píng)估,降低供應(yīng)鏈安全風(fēng)險(xiǎn)。

  3、面向未來(lái)做好全局性統(tǒng)籌,做好關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)規(guī)劃。

  政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)涉及各層級(jí)政府部門,需要構(gòu)建高效的頂層協(xié)調(diào)機(jī)制,充分發(fā)揮國(guó)家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)和國(guó)務(wù)院公安部門的指導(dǎo)監(jiān)督作用,構(gòu)建政府部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者以及社會(huì)各方面力量共同參與支持的安全保障體系,建立覆蓋政府、行業(yè)與企業(yè)的網(wǎng)絡(luò)安全信息共享機(jī)制、完善監(jiān)測(cè)預(yù)警和應(yīng)急體系,從整體上防控關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和開(kāi)展對(duì)大規(guī)模攻擊的集中應(yīng)急處置。

  形成綜合聯(lián)動(dòng)格局

  依托行業(yè)保護(hù)部門和相關(guān)監(jiān)督管理部門的整體性安全保護(hù)決策和手段,形成“共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全”的綜合聯(lián)動(dòng)格局。

  合理分配網(wǎng)絡(luò)安全資源投入

  合理分配網(wǎng)絡(luò)安全資源投入,在實(shí)施全方位保護(hù)的前提下,突出政務(wù)外網(wǎng)重要設(shè)施、部位、環(huán)節(jié)的重點(diǎn)保護(hù)。

  三、未來(lái)持續(xù)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的思路

  1、強(qiáng)化政務(wù)網(wǎng)絡(luò)公共設(shè)施建設(shè),統(tǒng)籌建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行支撐能力。

  強(qiáng)化政務(wù)網(wǎng)絡(luò)公共支撐能力

  強(qiáng)化政務(wù)網(wǎng)絡(luò)公共支撐能力,進(jìn)一步完善連接各行業(yè)、各層級(jí)公共網(wǎng)絡(luò)平臺(tái),集約化推進(jìn)國(guó)家公共設(shè)施共性能力建設(shè),為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行提供充分保障,實(shí)現(xiàn)統(tǒng)籌建設(shè)、統(tǒng)一部署和集約協(xié)同。

  加強(qiáng)自主可控安全管理

  加強(qiáng)自主可控安全管理,建立新技術(shù)、新應(yīng)用安全評(píng)估機(jī)制,強(qiáng)化安全可靠技術(shù)和產(chǎn)品應(yīng)用,從源頭上解決網(wǎng)絡(luò)安全重大隱患。

  強(qiáng)化網(wǎng)絡(luò)安全產(chǎn)業(yè)支撐

  強(qiáng)化網(wǎng)絡(luò)安全產(chǎn)業(yè)支撐,積極配合開(kāi)展網(wǎng)絡(luò)安全技術(shù)應(yīng)用試點(diǎn)示范,支持面向關(guān)鍵信息基礎(chǔ)設(shè)施的安全技術(shù)創(chuàng)新應(yīng)用。

  2、提升政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和數(shù)據(jù)安全防護(hù)能力

  在基礎(chǔ)防護(hù)能力建設(shè)方面

  在基礎(chǔ)防護(hù)能力建設(shè)方面,構(gòu)建全方位的政務(wù)外網(wǎng)安全防御體系,在網(wǎng)絡(luò)側(cè)、互聯(lián)網(wǎng)接入側(cè)、應(yīng)用側(cè)加強(qiáng)部署相應(yīng)的安全防護(hù)措施,建立較強(qiáng)的邊界防護(hù)能力、終端防護(hù)能力、安全審計(jì)能力。

  在安全監(jiān)測(cè)能力建設(shè)方面

  在安全監(jiān)測(cè)能力建設(shè)方面,積極開(kāi)展政務(wù)外網(wǎng)安全監(jiān)測(cè)類平臺(tái)建設(shè),提供 7*24 小時(shí)的全方位安全監(jiān)測(cè)服務(wù),逐步具備整網(wǎng)安全事件及時(shí)發(fā)現(xiàn)并處置的能力。

  在數(shù)據(jù)安全保護(hù)能力建設(shè)方面

  在數(shù)據(jù)安全保護(hù)能力建設(shè)方面,在促進(jìn)數(shù)據(jù)共享使用的同時(shí),推動(dòng)政務(wù)外網(wǎng)數(shù)據(jù)安全保護(hù)能力建設(shè),深入推廣數(shù)據(jù)訪問(wèn)控制與權(quán)限管理、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)標(biāo)識(shí)、數(shù)據(jù)審計(jì)等防護(hù)措施的建設(shè)和應(yīng)用,提升數(shù)據(jù)安全交換功能和性能,加強(qiáng)數(shù)據(jù)容災(zāi)備份設(shè)施建設(shè),實(shí)現(xiàn)數(shù)據(jù)安全管控。同時(shí),提升政務(wù)外網(wǎng)國(guó)產(chǎn)密碼一體化支撐能力,推進(jìn)國(guó)產(chǎn)密碼在政務(wù)網(wǎng)絡(luò)、政務(wù)云、各業(yè)務(wù)系統(tǒng)、數(shù)據(jù)共享體系方面的規(guī)?;渴鸷吞娲?,持續(xù)開(kāi)展政務(wù)外網(wǎng)密碼應(yīng)用安全性評(píng)估相關(guān)工作。

  3、提升政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施協(xié)同處置能力。

  構(gòu)建協(xié)同處置機(jī)制和通道

  構(gòu)建覆蓋中央、省、市、縣四級(jí)的政務(wù)外網(wǎng)安全事件管理協(xié)同處置機(jī)制,明確工作范圍、職責(zé)、流程等內(nèi)容;建設(shè)政務(wù)外網(wǎng)安全事件管理平臺(tái),及時(shí)收集、匯總、分析、共享各方網(wǎng)絡(luò)安全信息,為各級(jí)政務(wù)外網(wǎng)安全管理部門搭建跨地域、跨層級(jí)、跨系統(tǒng)的安全事件協(xié)同處置通道。

  推動(dòng)情報(bào)共享協(xié)同

  依托國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)機(jī)制,加強(qiáng)國(guó)家電子政務(wù)外網(wǎng)網(wǎng)絡(luò)信息安全通報(bào)預(yù)警力量建設(shè),推進(jìn)與網(wǎng)信、公安、保密等主管部門和主流安全廠商網(wǎng)絡(luò)安全威脅情報(bào)共享協(xié)同,聯(lián)合機(jī)構(gòu)、院校、廠商深度挖掘分析,形成具有政務(wù)外網(wǎng)特色的威脅情報(bào)信息庫(kù),支撐政務(wù)外網(wǎng)安全事件管理協(xié)同處置機(jī)制能力建設(shè)。

  通過(guò)應(yīng)急演練提升協(xié)同處置能力

  建設(shè)政務(wù)外網(wǎng)安全應(yīng)急演練平臺(tái),為各級(jí)政務(wù)外網(wǎng)安全管理部門搭建演練環(huán)境,提升政務(wù)外網(wǎng)安全事件協(xié)同處置能力。


更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。