水利部蔡陽:一種行業重要數據類關鍵信息基礎

  ddos防御     |      2023-03-30 11:49

  2021年7月30日,國務院令第745號公布《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),自2021年9月1日起施行,2021年8月17日正式對外頒布。該條例的頒布標志著我國網絡安全法律法規建設和安全保障工作進入一個新的階段?!稐l例》頒布一年以來,各相關部門和有關機構積極推進關鍵信息基礎設施安全保護工作,并取得顯著成效。在此,我聯盟特邀請行業內數位專家對我國關鍵信息基礎設施安全保護工作發表專家觀點并進行系列報道,敬請關注。

  文| 水利部 蔡陽

專家名片

  蔡陽,水利部網信辦主任、信息中心主任,正高級工程師,長期從事水利網絡安全和信息化、防洪減災、水資源管理等工程建設與管理。享受國務院政府特殊津貼專家、國家關鍵信息基礎設施安全保護專家組成員、國家大數據專家咨詢委員會成員。

  數據已成為國家基礎性戰略資源,數據安全問題日益凸顯。國家先后頒布的《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》均對數據和個人信息的管理提供了法制保障。顯然,對于行業重要數據類的關鍵信息基礎設施的安全保護提出了更高要求。在此背景下,針對行業重要數據類的關鍵信息基礎設施,我們提出了一種基于商用密碼技術的數據安全保護技術,推動行業重要數據在收集、存儲、使用、加工、傳輸、提供、公開等過程中的安全應用。

行業網絡安全基本防護要求

  行業重要數據類關鍵信息基礎設施防護應該建立在行業網絡安全基本防護基礎上。根據國家網絡安全相關政策標準要求,遵循行業網絡安全頂層設計和總體策略,落實《中華人民共和國網絡安全法》以及網絡安全等級保護和關鍵信息基礎設施保護相關要求,以行業基礎設施、數據資源和業務應用,尤其是關鍵信息基礎設施為安全保護對象,建立涵蓋人員組織、制度標準、工作規程在內的全方位網絡安全組織管理體系;構建縱深防御為基礎、監測預警為核心、應急響應為抓手的全要素網絡安全技術體系;持續完善監督檢查體系和安全運營體系,全面提升行業網絡安全保障能力。

  組織管理體系

  網絡安全組織管理體系以合規合法、責任到人為中心,主要涵蓋:網絡安全策略、管理制度、標準規范體系、管理機構、人才隊伍、資金保障等多方面,為行業網絡安全建設提供強有力的支撐保障。

  安全技術體系

  遵循網絡安全總體策略,構建涵蓋縱深防御、監測預警和應急響應的整體技術防護體系。

  縱深防御,網絡安全縱深防御能力包括基礎安全技術、統一安全服務2個方面?;A安全技術構成網絡安全等級保護安全合規運營的技術基礎,也形成體系化的縱深防御安全能力基礎;統一安全服務旨在構建行業運行所需的統一安全服務基礎設施,保證體系覆蓋范圍內獲得一致性可持續的安全能力組件,也實現體系安全保障資源的集約化和各層級單位整合共享。

  監測預警,網絡安全監測預警能力以大數據分析平臺為基礎,充分利用分布式處理、深度學習、異構計算等大數據處理技術,對行業內部、外部網絡安全情報和網絡內與網絡安全相關的各類數據信息進行挖掘分析,對網內安全狀態進行實時感知和預警,并在行業內進行相關的數據共享。

  應急響應,網絡安全應急響應能力指基于威脅情報態勢感知的不同層級信息進行應急響應。行業的安全能力進一步從監測響應式主動防御升級演進到威脅情報預警指揮智能處置能力,包括應急決策指揮、綜合展示和集中管理控制平臺等維度的內容。

  監督檢查體系

  依據行業網絡安全管理辦法,圍繞抓住“及時發現漏洞、及時有效處置漏洞”兩個關鍵,通過“查、改、罰”等有效手段,強化關鍵信息基礎設施安全監管,建立關鍵信息基礎設施安全監督檢查體系,行業各級關鍵信息基礎設施安全保護工作的主管部門定期監督檢查,結合行業關鍵信息基礎設施運營者自查,配合網信部門、公安部門的網絡安全檢查監測,形成監督檢查合力。

  安全運營體系

  網絡安全運營體系包括安全基線制定、日常安全運維,系統運行中安全評估、安全監測、滲透測試、漏洞修復、運維審計,日常應急演練,安全事件發生后的響應處置與分析優化策略調整等,以數據為核心的閉環網絡安全運營全流程。從而有效對安全威脅事件進行綜合研判和及時處置,并不斷閉環對運營體系進行優化。

基于商用密碼技術的數據安全防護