公告啟事
關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重。《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規,在關鍵信息基礎設施認定、運營者責任義務、保障和促進、法律責任等方面進行了界定和規范,為加強關鍵信息基礎設施安全保護工作提供了重要法治保障。
水利作為關鍵信息基礎設施重點行業領域之一,水利部門應如何貫徹落實《條例》要求?在網絡安全等級保護制度的基礎上又應該怎樣扎實做好相關工作?對此,水利部網絡安全與信息化領導小組辦公室主任,水利部信息中心黨委書記、主任蔡陽接受了人民網記者的相關采訪。
人民網記者:水利關鍵信息基礎設施是如何認定的?
蔡陽:根據《條例》第八條規定,水利部是負責水利行業關鍵信息基礎設施安全保護工作的部門,負責結合水利行業實際,制定水利行業關鍵信息基礎設施認定規則。
水利關鍵信息基礎設施的認定首先要明確水利關鍵業務。根據水利業務特點,防洪、供水、生態等水利公共產品和公共服務供給,關乎國家安全、經濟社會穩定和廣大人民群眾生命財產安全,相關業務規模大、覆蓋地域廣、在水利行業領域不可替代、對其他行業領域有連鎖性及關聯性重大安全風險,這些業務可確定為水利關鍵業務。主要包括:水災害防御、水資源管理、水工程管理、水生態與河湖管理等方面。
明確關鍵業務后,需要分析這些業務對信息化的依賴程度。其中,對信息化依賴程度高的水利關鍵業務,其網絡設施、信息系統才可納入為關鍵信息基礎設施認定范圍。然后,各級水利部門初步認定關鍵信息基礎設施后,經逐級審核,報水利部認定。最后,認定結果通知水利關鍵信息基礎設施運營者,并通報國務院公安部門。
人民網記者:在構建水利關鍵信息基礎設施安全保護體系方面,您認為水利行業應如何貫徹落實《條例》要求?
蔡陽:一直以來,水利行業高度重視網絡安全,特別是水利關鍵信息基礎設施安全,網絡安全防護體系基本建成,但與《條例》的相關要求相比還有差距。水利關鍵信息基礎設施運營者應深入貫徹“三化六防”措施,以水利網絡安全頂層設計為指引,以水利關鍵信息基礎設施為安全保護對象,堅持“體系化,實戰化,常態化”理念,構建水利關鍵信息基礎設施安全綜合防御體系,不斷提升水利關鍵信息基礎設施“動態防御,主動防御,縱深防御,精準防護,整體防護,聯防聯控”能力。
人民網記者:正如您剛才所提到的“三化六防”要求,能否簡要談談水利行業的落實情況?
蔡陽:我認為第一方面是加強體系化建設——構建水利關鍵信息基礎設施安全綜合防御體系。以水利網絡安全總體策略為指引,通過組織管理、安全技術、監督檢查三個體系建設,不斷提升網絡安全縱深防御能力、監測預警能力、應急響應能力。
一是組織管理體系。水利部依托現有網絡安全管理體系,建立水利行業關鍵信息基礎設施安全保護和監督管理組織體系。各級水行政主管部門是所轄水利關鍵信息基礎設施安全保護工作的主管部門,下屬網信部門具體負責監督管理工作,下屬相應業務部門負責指導協調;各水利關鍵信息基礎設施運營者承擔安全保護的主體責任,根據情況可設業務主管單位、建設單位、運行管理單位,分別承擔監督協調、網絡安全建設、網絡安全運行責任。
二是安全技術體系。遵循網絡安全總體策略,構建涵蓋基礎防護、監測分析和響應恢復的網絡安全技術體系。在基礎防護方面,建設完善統一身份認證服務、統一密碼服務、統一備份服務、統一應用安全檢測平臺、統一數據共享交換平臺等統一基礎安全服務,構成縱深防御底盤,安全資源共享共用,提升整體安全支撐能力;根據網絡安全等級保護相關要求,在基礎安全服務的支撐下,構建“安全物理環境”“安全通信網絡”“安全區域邊界”“安全計算環境”多層次防護。在監測分析方面,結合自身安全數據,構建安全情報中心;建設安全數據采集系統,對各類安全設備日志、主機日志、應用日志、重要邊界網絡流量、內外部威脅情報等網絡安全相關數據進行統一收集;采用大數據技術,構建網絡安全大數據平臺,匯集、整理、存儲、處理各類安全數據,形成安全數據倉庫;在各類安全數據的基礎上,構建網絡安全威脅感知系統,基于行為分析、特征分析、關聯分析、威脅情報、機器學習等技術實現對網絡安全威脅的全方位感知。在響應恢復方面,建設網絡安全風險全過程閉環管理系統,將安全風險根據影響程度分為不同類別:安全事件、安全告警、安全威脅,根據事先確定的流程,對安全事件、安全告警、安全威脅處置進行全過程閉環管理;建設統一設備管控系統,把應急響應與網絡安全設備聯動管理,實現阻斷、隔離、策略下發等多種動作編排,將威脅防護措施轉化成安全策略控制任務,提高全網協防效率,縮短威脅處置時間,提升應急能力。
三是監督檢查體系。依據《水利網絡安全管理辦法(試行)》,圍繞抓住“及時發現漏洞、及時有效處置漏洞”兩個關鍵,通過“查、改、罰”等有效手段,強化水利關鍵信息基礎設施安全監管,建立水利關鍵信息基礎設施安全監督檢查體系,各級水利關鍵信息基礎設施安全保護工作的主管部門定期監督檢查,結合水利關鍵信息基礎設施運營者自查,配合網信部門、公安部門的網絡安全檢查監測,形成監督檢查合力。
第二方面是立足實戰化——堅持以攻促防。攻防實戰結果是檢驗水利關鍵信息基礎設施安全工作最重要的依據,也是評價網絡安全保護能力最重要指標。
一是定期開展實戰攻防。水利關鍵信息基礎設施保護工作部門、運營者要定期開展實戰攻防,通過攻防演習、攻防演練、沙盤推演等方式,發現漏洞隱患,檢驗網絡安全防護手段的有效性、聯防聯控機制的完善性,鍛煉網絡安全隊伍,提高全員的網絡安全意識。
二是建設仿真平臺。水利關鍵信息基礎設施,特別是水利工程控制系統類關鍵信息基礎設施,應加強模擬仿真平臺建設,依托平臺開展常態化的攻防培訓、應急演練、測試驗證等。
第三方面是實施常態化運營——提升防護能力。加強網絡安全運營管理,將關鍵信息基礎設施的日常安全監測、安全巡檢、安全事件分析和安全響應處置等內容,納入到生產運營管理中,并在保證業務穩定運行的情況下,定期進行漏洞檢測、安全配置檢查、安全風險評估和網絡安全應急演練等工作。通過常態化運營,構建分析預測、威脅防護、持續監測、響應處置的閉環體系,不斷優化完善,提升網絡安全六大能力。
一是提升動態防御能力。采用大數據、人工智能等技術,基于水利網絡安全大數據分析平臺,構建水利關鍵信息基礎設施安全態勢感知平臺,通過數據挖掘、關聯分析,結合自動化、半自動化處置措施,持續監測網絡安全攻擊、動態調整策略,以應對動態、多變、高強度的網絡攻擊,實現水利關鍵信息基礎設施安全從靜態防御到動態防御。
二是提升主動防御能力。充分利用水利網絡安全威脅情報中心,配合全流量數據采集分析等,及時主動發現、處置網絡安全威脅,特別是潛伏威脅、未知威脅,并跟蹤溯源,水利關鍵信息基礎設施安全變被動防御為主動防御。
三是提升縱深防御能力。依據網絡安全等級保護2.0“一個中心、三重防護”理念,采用分區分域分業務隔離機制,層層設防、逐級設防,打造水利關鍵信息基礎設施網絡安全縱深防御。
四是提升精準防護能力。根據水利關鍵信息基礎設施安全實際,以水利工控網絡安全為焦點,以水利基礎數據網絡安全為要點,針對性的采取措施,實施精準防護。
五是提升整體防護能力。構建網絡安全綜合防御體系,從保護對象自身安全加固、外部強化防護、全方位監測預警、應急聯動處置等方面全面加強安全,通過水利關鍵信息基礎設施安全態勢感知平臺統一管理調度,形成協同聯動、高效統一的整體防護。
六是提升聯防聯控能力。在國家聯防聯控機制下,構建水利網絡安全聯防聯控體系,實現“一處報警,處處設防;一處威脅,處處處置”,提升整體應對網絡攻擊能力。這是健全水利網絡安全保障體系、提升行業網絡安全整體實戰對抗能力的重要抓手,是實現網絡安全防護目標不受沖擊破壞的有力保障。
北京沃特咨詢有限公司 版權所有 京ICP備12020777號 客服熱線:010-85763025
地址:北京市西城區白廣路北口水利綜合樓
E-mail:szy@sinowbs.org Copyright ?2012-2024 All rights Reserved
微信掃一掃
水務論壇公眾微信
關注有驚喜
