带你解读:公安部1960号文《贯彻落实等保和关保制度指导意见》
网络安全等级保护和关键信息基础设施安全保护工作宣贯大会明确指出指导意见是引领重要行业及全社会落实“网络安全等级保护制度和关键信息基础设施保护制度”(简称“两个制度”)的纲领性文件,也正式意味着以贯彻“两个制度”为基础,以保护关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障的“双保”时代来临。
随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家面临的新问题、新挑战。当前我国面临的主要挑战有:
● 敌对势力的网络攻击,日益威胁我国家安全;
● 黑客组织、不法分子等网络违法犯罪升级;
● 网络空间活动增多,网络、数据安全面临新的挑战;
● 国家新基建项目启动,维护关键信息基础设施和大数据安全的任务更加繁重。
面对当前国际形势,如何合力应对网络战对国家安全的威胁,保卫国家网络安全是目前面临的主要威胁和“研究课题”。
国家确立网络安全等级保护制度和关键信息基础设施安全保护制度。为深入贯彻落实“两个制度”,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障国家网络安全,特制定指导意见。
各行业、各部门网络安全运营者该如何依据指导意见落实“两个制度”,合力保卫保障网络安全?是我们值得思考的问题。
落实实施关键信息基础设施安全保护制度是在落实网络安全等级保护制度基础上,要突出保护重点,强化保护措施,切实维护关键信息基础设施安全。指导意见明确要求公安部加强对关键信息基础设施安全服务机构的安全管理、加大培训力度、提升服务能力,为运营者落实“两个制度”提供支持。
网络安全运营者在落实等级保护制度的基础上对其运营的第三级以上的网络和信息系统进行组织认定,判定其是否为关键信息基础设施。在确定为关键信息基础设施的情况下,网络安全运营者应加强安全防护措施,并进行安全检测评估。网络安全运营者需强化的具体措施有:
● 正确、有效梳理网络资产、建立资产档案、强化核心岗位人员管理能力;
● 收敛互联网暴露面,对重点设备或系统进行安全加固;
● 制定整体防护、监测预警、应急处置、数据保护等安全技术防护措施,如部署网络安全监测(检测)设备,及时发现未知威胁,部署第二代蜜罐,诱捕网络攻击;
● 结合新技术构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,提升关键信息基础设施安全防御能力;
● 网络架构合理分区分域,加强纵深防御;
● 建立威胁情报共享机制,加强主动防御;
● 攻防常态化,提升实战网络攻防对抗能力。
为加强重要数据安全和个人信息防护,关键信息基础设施网络安全运营者还应建立并落实重要数据和个人信息安全保护制度。采取密码保护、可信验证、审计隔离等措施,保障重要数据安全,并保护个人信息保护安全,避免未预期的数据丢失、泄露及越权访问等风险,避免重要数据和个人信息违规出境,加强数据和个人信息境外存储或出境的安全评估。
网络安全运营者落实“两个制度”,基于网络安全等级保护“一个中心、三重防护”纵深防御理念,应用可信计算、密码技术等技术,开展安全建设和整改加固,构建内生安全、主动免疫、主动防御、整体防控能力,建立网络安全防御体系。结合网络安全等级保护基本要求安全管理中心相关要求,网络运营者应建立安全运营中心,打造安全识别、预警、检测、监测、保护、应急响应于一体的安全管理平台,强化网络安全运营者主动防御、精准防护的安全能力;并结合新技术建设平台智慧大脑,依托平台和大数据开展实时监测、通报预警、应急处置、安全防护、指挥调度等工作,强化立体化安全监测体系,与公安机关有关安全保卫平台对接,形成联防联控的综合防控大格局。基于立体化安全监测体系,重点行业、网络运营者和公安机关建设网络安全监控指挥中心,落实7×24小时值班值守制度,实时感知安全风险,依托国家网络与信息安全信息通报机制,加强网络安全信息共享和通报预警。
根据网络安全等级保护基本要求安全管理部分应急响应的相关要求,网络安全运营者应制定网络安全应急预案,并定期开展应急演练工作。各行业、各部门落实“两个制度”,建立安全防护体系,加强应急力量建设和应急资源储备,与公安机关密切配合,建立事件报告制度和应急处置机制。关键信息基础设施、第三级以上网络发生重大网络安全威胁和事件时,行业主管部门、网络运营者和公安机关应联合开展处置。
落实“两个制度”,建立健全网络安全综合防控体系,保障网络安全“体系化”,提升网络安全综合防控,保障网络安全“常态化”;构建“实战化”安全防护措施和监督检查,提升网络安全保卫能力。
为推进贯彻落实“两个制度”,网络安全运营者各单位、各部门应高度重视网络安全等级保护和关键信息基础设施安全保护工作,提升网络安全管理工作各项保障,为“保卫网络战”提供助力。
网络安全等级保护基本要求安全管理要求部分基于管理三要素“组织、机构、人员”提出相关的要求,为提升网络安全管理工作,首先要研究解决机构、编制、人员、经费、投入等各方面的保障,并将落实“两个制度”相关工作列入重要议事日程,加强统筹领导和规划设计,保证行业主管部门第一把手要负总责,建立网络安全专门机构,明确任务分工,一级抓一级,层层抓落实。
指导意见明确:公安机关建立挂牌督办制度,针对工作不力、或存在较大风险、发生重大案事件的单位,会同行业主管部门对相关负责人进行约谈,挂牌督办。
为推进“两个制度”工作顺利开展,网络安全运营者应基于现有经费渠道,保障开展“两个制度”相关工作的经费,关键基础设施网络运营者要保障足额的网络安全投入,助力推进网络安全产业健康发展,推动企业安全、稳定发展。
公安机关将网络安全工作(特别是等级保护和关键信息基础设施保护工作)纳入社会治安综合治理考核评价体系,每年组织对各地区网络安全工作进行考核评价,每年评选网络安全等级保护、关键信息基础设施安全保护工作先进单位,并将结果报告党委政府,通报网信部门。
目前国际形势复杂,为保障软硬件产品和服务供应链安全,避免出现“卡脖子”问题,呼吁软硬件厂商、网络安全厂商、重要行业网络安全防护部门联合建立实验室,推进交叉学科建设、开展尖端技术理论研究,合力进行技术攻关,提升网络安全实战能力。保障关键基础设施从底层开始,构建可信的生态链,实现“自主可控”,并应用可信计算技术进行攻关、适配、演示、验证,构建可信生态,打造稳定的网络安全生态。
“网络安全,以人为本”,人才培养是落实“两个制度”、突破技术攻关的重要手段。关键基础设施主管部门可通过攻防实战化,通过组织开展比武、竞赛等形式,发现选拔高精尖技术人才,制定实用的选拔机制,吸引人才、要留住人才、要用好人才。为做好网络安全工作提供人才保障。
网络安全等级保护制度和关键信息基础设施安全保护制度是国家推进网络安全工作、提升国家网络安全防御能力的两个重要的制度,为推进“两个制度”的落实,实施“一带一路”网络安全战略和试点在网络安全领域引入保险机制等新方向,以提高网络安全风险治理能力。“双保”时代来临,各行业、各部门网络安全运营者应积极落实“两个制度”,建立健全完善网络安全综合防控体系,合力提升网络和信息系统安全防护能力,有效防范网络安全威胁和处置重大网络安全事件,大力提升网络实战能力,保卫网络安全。
内容来源:等级保护测评
