如何做好關鍵信息基礎設施安全保護?聽聽業(yè)界人士怎么說
隨著信息技術(shù)的快速發(fā)展,以及萬物互聯(lián)時代的到來,關系著國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展的關鍵信息基礎設施已成為網(wǎng)絡空間安全的“必爭之地”。當前,關鍵信息基礎設施面臨的安全形勢嚴峻,網(wǎng)絡攻擊威脅事件頻發(fā)。持續(xù)做好關鍵信息基礎設施安全保護、不斷推動《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)落地實施意義重大。
在《條例》頒布實施一周年之際,由光明網(wǎng)網(wǎng)絡安全頻道、中國信息協(xié)會信息安全專業(yè)委員會主辦,北京六方云信息技術(shù)有限公司承辦的“推進落實《關鍵信息基礎設施安全保護條例》”專題分享會在京舉行。來自各界的專家學者共聚一堂,為推進我國關鍵信息基礎設施安全保護建言獻策。
夯實法治基底,持續(xù)推動《條例》落地實施
如果說入侵個人計算機中的病毒是一場普通感冒,那么關鍵信息基礎設施一旦“被感染”,便是一場重度流感。如何有效應對日益復雜的網(wǎng)絡安全環(huán)境,保護國家關鍵信息基礎設施安全,已經(jīng)成為各界面臨的重要課題?!霸凇稐l例》發(fā)布一周年之際,應該對其一年來為整個行業(yè)帶來的影響和變化,從管理、技術(shù)與應用等方面各界關注的問題進行深入分析,尤其應重點在落實上下功夫?!狈窒頃?,中國信息安全雜志社原副社長、主編崔光耀說。中國信息協(xié)會信息安全專業(yè)委員會主任葉紅也表示,隨著《條例》和網(wǎng)絡安全法、數(shù)據(jù)安全法、個人信息保護法等“三法一條例”陸續(xù)出臺實施,我國網(wǎng)絡安全領域法律法規(guī)體系得到了逐步完善。
“《條例》的性質(zhì)不僅是法律規(guī)則匯集,也是一個‘工具箱’,是戰(zhàn)略引領和業(yè)務操作的規(guī)則?!北本煼洞髮W互聯(lián)網(wǎng)發(fā)展研究院院長助理、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括認為,《條例》與新技術(shù)、新應用產(chǎn)生的風險相伴而生,并要求防范網(wǎng)絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩(wěn)定運行,維護數(shù)據(jù)的完整性、保密性和可用性,建構(gòu)以網(wǎng)絡安全信息共享機制為核心,不同主體共同參與保護工作的全方位系統(tǒng)?!啊稐l例》對于國家基礎信息、重要數(shù)據(jù)、個人信息以及違法信息治理有極高的關注,形成了關鍵信息基礎設施安全保護制度的亮點。”吳沈括說。
《條例》頒布實施一年來,我國關鍵信息基礎設施領域的網(wǎng)絡安全保護取得了諸多成果。葉紅介紹,國家層面出臺了相關標準、辦法及配套法規(guī),部分領域、行業(yè)的網(wǎng)絡安全防護意識進一步提升,網(wǎng)絡安全人才結(jié)構(gòu)進一步優(yōu)化。中國科學技術(shù)大學教授左曉棟也表示,近年來,按照相關政策要求及《網(wǎng)絡安全法》等法律法規(guī)規(guī)定,各地各領域正在全面加強網(wǎng)絡安全工作,有力保障國家關鍵信息基礎設施以及重要數(shù)據(jù)的安全,構(gòu)建以關鍵基礎設施保護為基礎的安全保障體系勢在必行。
強化保護體系,構(gòu)建多方協(xié)同機制
“我國關鍵信息基礎設施安全保護尚處于起步階段,其安全保護理念、體系框架、最佳實踐等尚需探索和研究?!甭吩铺炀W(wǎng)絡安全研究院副院長王少杰坦言,關鍵信息基礎設施保護以防范安全威脅隱患、有效化解安全風險、保障業(yè)務應用的安全持續(xù)、穩(wěn)定運行為目標,具備閉環(huán)管理動態(tài)化、能力迭代自動化、安全能力流程化、安全運營一體化等特征。
北京六方云信息技術(shù)有限公司總裁李江力認為,當前,我國關鍵信息基礎設施安全保護的基本措施可以總結(jié)為“三化六防”。其中,實戰(zhàn)化、體系化、常態(tài)化是基本要求,六防指動態(tài)防御、主動防御、縱深防御、精準防護、整體防護、聯(lián)防聯(lián)控,具體工作包含分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等六個環(huán)節(jié)?!霸趯嶋H工作中,需要多種技術(shù)來支撐六個環(huán)節(jié)?!?/p>
如何進一步夯實關鍵信息基礎設施安全保護、保障國家網(wǎng)絡安全?葉紅談到五個方面:一是不斷健全關鍵信息基礎設施保護體系,完善配套的標準、制度;二是關鍵信息基礎設施安全保護主管單位要強化對相關工作的監(jiān)督檢查,對既有網(wǎng)絡系統(tǒng)的漏洞和弱點,以及相關行業(yè)和單位的安全環(huán)節(jié)作多角度監(jiān)測;三是加強技術(shù)的攻關和創(chuàng)新,支持網(wǎng)絡安全產(chǎn)業(yè)發(fā)展,發(fā)現(xiàn)并解決新技術(shù)、新應用帶來的新漏洞、新問題;四是促進網(wǎng)絡安全人才培養(yǎng),持續(xù)推動相關專業(yè)人才的職業(yè)教育,打通人才進步通道,鼓勵人才加入網(wǎng)絡安全保障隊伍;五是加強對關鍵信息基礎設施安全風險的預測及研判,可在網(wǎng)絡安全研究中注重苗頭性、傾向性、潛在性風險,做好預判提前布局防御措施。
“關鍵信息基礎設施保護是一個系統(tǒng)工程,其安全理念、本質(zhì)內(nèi)涵、建設實施等,需要不斷深入研究與設計實踐。加強探索構(gòu)建各行業(yè)的框架體系,將成為各行業(yè)的重點工作?!贬槍ΡWo體系框架設計,王少杰認為,相關工作部門及運營者在開展本行業(yè)或單位的關鍵信息基礎設施安全保護整體規(guī)劃和體系設計時,需要綜合考慮專門安全管理機構(gòu)、管理制度、業(yè)務流程、技術(shù)框架等核心要素,探索、設計、構(gòu)建本行業(yè)或單位關鍵信息基礎設施安全保護綜合管理中心,通過分析該中心的建設需求、原則目標和主要效能,逐次推進完善該中心的運營、管理、技術(shù)、隊伍、保障等能力建設,構(gòu)建關鍵信息基礎設施安全保護體系,構(gòu)建“網(wǎng)絡安全數(shù)據(jù)中臺”系統(tǒng)。
在李江力看來,進一步做好我國的關鍵信息基礎設施安全保護,要在落實《條例》基礎上,同步推動安全設備生產(chǎn)商自我革新,充分調(diào)動全社會的積極力量,在建立起一套完整、科學、嚴密的制度框架基礎上,落實責任、共商共建,將安全化為實體,將安心落到實處。
左曉棟還建議,推進制定關鍵信息基礎設施安全保護計劃;同時,各部門之間進一步加強協(xié)調(diào),認真研究這項制度,明確其本質(zhì),并對其有更加清晰的定位,推動相關法律法規(guī)落地,讓它成為維護國家安全的一個重要屏障。(記者 孔繁鑫 穆子葉 雷渺鑫)
版權(quán)聲明:凡注明“來源:中國西藏網(wǎng)”或“中國西藏網(wǎng)文”的所有作品,版權(quán)歸高原(北京)文化傳播有限公司。任何媒體轉(zhuǎn)載、摘編、引用,須注明來源中國西藏網(wǎng)和署著作者名,否則將追究相關法律責任。