近年來,全球關鍵信息基礎設施的攻擊事件急劇增加,安全威脅日益嚴峻。我國作為面臨網絡威脅最嚴重的國家之一,關鍵信息基礎設施的安全對于國家發展大局,對維護國家安全、經濟發展和社會穩定具有重要意義。黨的十八大以來,以習近平同志為核心的黨中央高度重視網絡安全和信息化工作,為貫徹落實習近平總書記關于“筑牢網絡安全防線,提高網絡安全保障能力,強化關鍵信息基礎設施防護”的重要指示精神,進一步推動關鍵信息基礎設施安全保障體系的建設,《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)于 2021 年 9 月 1 日正式實施。作為《網絡安全法》的重要配套法規,《條例》完善了關鍵信息基礎設施的認定方法、明確了運營者的責任義務、提出了保障和促進措施,規定了法律責任。在《條例》實施的兩年中,關鍵信息基礎設施保護制度體系逐步完善,推動各行業、各領域按照要求全面開展和落實安全保護工作。
在電子政務領域,《條例》為推動政務信息化建設提供了有效的安全保障,為數字政府在線履職、服務于民提供了有力支撐。國家電子政務外網作為電子政務領域的重要信息基礎設施,在承載重要業務、各級政府間協同以及為人民群眾提供在線服務等方面發揮著重要作用,其網絡安全和數據安全是關鍵信息基礎設施保護工作的重中之重。為強化關基信息基礎設施的安全保護,國家電子政務外網采取了多種措施,包括制定規章制度和標準規范、推廣技術應用以及進行攻防演練等。
一、國家電子政務外網中關鍵信息基礎設施安全保護技術機制
基于《條例》中的保障和促進措施,結合《信息安全技術 關鍵信息基礎設施安全保護要求》,國家電子政務外網遵循“以關鍵業務為核心的整體防護,以風險管理為導向的動態防護,以信息共享為基礎的協同聯防”三項保護原則,開展關鍵信息基礎設施網絡安全和數據安全能力建設。在安全自查、監測預警、應急處置等方面落實保護工作,構建全方位的數字政府安全保障體系。
(一)網絡安全能力建設
一是嚴格落實安全自查工作。每年開展關鍵信息基礎設施安全保護自查工作,全面摸清網絡安全保護狀況,檢測排查并督促整改網絡安全風險隱患、漏洞和突出問題,防范發生網絡信息安全事故,確保網絡安全平穩運行。二是推進監測預警平臺建設。加強國家電子政務外網網絡信息安全通報預警力量建設,推進主管部門和安全廠商之間的網絡安全威脅情報共享協同,深度挖掘分析,及時收集、匯總、分析和共享各方網絡安全信息,建立具有政務外網特色的威脅情報信息庫。在政務外網網絡安全監測工作的基礎上,推進安全監測預警平臺的建設,逐步具備基礎網絡監測、政務云監測、政務應用監測以及政務數據監測能力,并提供 7×24 小時的安全監測服務。三是完善事件應急處置機制。制定并完善針對關鍵信息基礎設施網絡安全的應急處置預案,定期進行預案的研討及更新修訂,不斷提高風險防范和應急處置能力。結合自動化安全事件處置平臺,建立人機共治的機制,大大提升了處置效率。四是定期開展實戰化攻防演練。通過定期開展實戰化攻防演練,檢驗關鍵信息基礎設施的安全防護能力,提升網絡安全應急處置隊伍的應對能力。在實踐中不斷完善安全應急處置流程和工作機制,進一步提高安全事件應急處置的綜合能力水平,促進形成常態化的網絡安全保障措施。五是持續強化央地協同聯動能力。國家電子政務外網積極推進《條例》的貫徹實施,協同各省市加快推進覆蓋全網、整體聯動、準確高效、功能完備的國家電子政務外網安全體系建設。為各級政務外網安全管理部門搭建跨地域、跨層級、跨系統的安全事件協同處置通道,進一步提升全網監測發現、分析研判、預警通報、信息共享和協同處置能力,切實保障政務外網關鍵信息基礎設施的網絡安全、業務安全和數據安全。
(二)數據安全能力建設
國家電子政務外網圍繞數據安全技術方面要求,針對正在建設和運行的關鍵信息基礎設施,結合實際工作和經驗總結,制定了多項規章制度和標準規范,形成了多項政務數據安全保護措施,用于指導各環節的政務數據安全保護工作。
1. 建立政務數據安全規章制度與標準規范
通過制定國家電子政務外網數據安全和數據運維管理制度,提供政務數據分類分級的方法指導和安全保護技術要求,確保了關鍵信息基礎設施的穩定運行和數據的安全可靠性。標準規范提供了政務數據安全技術框架,規定了政務數據準備、交換和使用階段的安全技術要求,以及相關信息基礎設施的安全技術要求,指導解決政務信息共享交換中可能出現的數據泄露、數據濫用等問題,增強政務信息共享交換的數據安全保障能力。
2. 制定落實政務數據安全保護措施
開展重要數據分類分級工作。針對關鍵信息基礎設施,根據政務領域數據分類分級、重要數據和核心數據識別認定、數據分級防護等標準規范,制定形成數據分類分級規則,
開展數據分類分級管理工作。通過人工和技術工具的結合,識別數據資源并梳理形成數據資產目錄,明確業務數據類型和數據級別。開展重要數據安全保護。主要采取六個方面措施:一是針對重要數據字段及個人敏感信息,采用基于國密的密碼技術,對數據交換通道和存儲進行加密,確保數據傳輸和存儲的安全性。二是嚴格控制數據訪問,對數據服務器及應用系統進行點對點的精細化訪問控制,防止未經授權的訪問。三是加強數據庫的操作審計,以防止數據非法導入和導出。四是加強人員管理,采用數字證書進行操作身份認證,并按照最小授權原則開放權限。五是嚴格控制遠程管理的開通權限和時限,通過限定訪問端口和記錄操作行為來降低遠程管理風險。六是探索建立數據標識和分類分級保護平臺,利用密碼技術實現對共享交換數據標識、管控和溯源,確保數據交換的真實性、保密性和完整性,實現數據流轉過程的“可視化”。
二、國家電子政務外網中關鍵信息基礎設施安全保護管理機制
《條例》明確了關鍵信息基礎設施運營者和安全管理機構的責任與義務,國家電子政務外網按照相關要求,制定關鍵信息基礎設施安全保護管理辦法,明確責任主體、組織結構和責任分工,堅持“誰運營、誰負責”原則,履行好關鍵信息基礎設施運營者的主體責任,確保安全保護工作有序開展,切實提升關鍵信息基礎設施安全保障水平。此外,國家電子政務外網在現有分工的基礎上,設立專門的關鍵信息基礎設施安全保護管理機構,負責統籌安全管理工作,建立統籌協調、分工負責的管理機制,并履行如下職責。
一是建立健全關鍵信息基礎設施安全管理制度。國家電子政務外網推動關鍵信息基礎設施安全保護管理工作方案的制定,確保安全保護措施與關鍵信息基礎設施的規劃、建設和使用同步進行。同時,實行一把手負責制,關鍵信息基礎設施運營者的主要負責人將負總責,領導關鍵信息基礎設施的安全保護、安全能力建設和重大網絡安全事件處置工作,并組織研究解決重大網絡安全問題。此外,管理制度還明確了管理責任部門、認定規則、安全規劃、安全標準、評價考核等一系列合規要求。
二是組織制定政務數據分類分級指南,完善政務數據分類分級安全工作規則和管理制度。規范政務數據安全使用原則,明確政務數據安全負責人和具體工作要求,落實相關責任。建立數據資產目錄、摸清家底,明確各項資產的安全管理負責人,圍繞政務數據全生命周期實施數據分類分級管理,根據業務應用屬性對政務數據進行分類分級保護,組織專業團隊開展數據安全監測,著重關注重要數據的界定、識別,盯緊重要數據安全防護,嚴防重要數據泄露。
三是持續推進商用密碼在關鍵信息基礎設施安全保護中的應用。制定商用密碼應用方案,推進國產商用密碼在政務網絡、政務云、各業務系統、數據共享體系方面的規模化部署和替代,落實對正在運行的關鍵信息基礎設施每年至少一次的商用密碼應用安全性評估,提升政務外網商用密碼一體化支撐能力。
四是統籌關鍵信息基礎設施相關安全測評與評估工作。運營者和測評機構需要對關鍵信息基礎設施和政務數據開展系統性安全監測、風險評估工作,重要數據每年評估一次,對發現的安全問題及漏洞及時整改,并按照政務外網保護工作部門要求報送情況,合力提升關鍵信息基礎設施綜合安全防護水平。
五是構建供應鏈安全管理制度,保障關鍵信息基礎設施網絡安全和數據安全。遵循供應鏈安全相關法律法規及標準規范,建立供應鏈管理和審核制度,從產品和服務以及數據處理活動安全性、可能帶來的網絡安全風險等多個角度,加強對供應商審查和安全評估。嚴格落實測評認證,定期開展系統滲透測試和漏洞掃描,及時整改發現的安全問題,降低供應鏈安全風險。
六是加快推動信息領域新技術在關鍵信息基礎設施安全保護上的應用。充分利用以 5G、大數據、人工智能等為代表的新技術、新手段,加強管理和技術創新,依托信息化手段構建具備聯合預警、協同防御體系的立體化關鍵信息基礎設施安全保護平臺,強化數據信息分析處理,加強關鍵信息基礎設施全流程管控,提升網絡安全綜合保護能力和效能。
七是搭建演習平臺,定期開展攻防演練。建立監測預警、信息通報和應急處置機制,制定應急管理制度和安全事件應急預案。為各級政務外網安全管理部門搭建演練環境,定期開展應急演練,查找關鍵信息基礎設施安全保護工作中的短板和不足,針對發現的問題,制定切實可行的整改措施,提升各級政務外網安全事件處置能力。
八是定期組織開展安全意識教育和安全操作培訓,提升關鍵信息基礎設施安全保障能力。培訓內容包括但不限于國家網絡與信息安全相關法律法規、網絡與信息安全意識、政務數據安全管理規定、安全知識與技術技能等,培訓形成記錄并對培訓效果進行評價。
三、未來持續加強國家電子政務外網中關鍵信息基礎設施安全保護機制的思路
面臨全球復雜嚴峻的網絡安全局勢,關鍵信息基礎設施的安全防護需要不斷完善機制,以應對新問題和新挑戰。國家電子政務外網將進一步推進關鍵信息基礎設施安全保護工作,筑牢網絡安全防線。
一是健全完善規章制度與標準規范體系,優化關鍵信息基礎設施安全保護機制,不斷適應數字化發展的新需求。圍繞政務外網關鍵信息基礎設施共性安全需求和基線安全要求,完善規章制度提升政務外網網絡安全和數據安全保障能力,健全標準規范體系為我國關鍵信息基礎設施安全保護工作實踐提供技術支撐和方法指引。
二是持續提升各級政務外網關鍵信息基礎設施協同處置能力。堅持底線思維和極限思維,以實戰化演練為契機,模擬關鍵信息基礎設施遭到大規模、高烈度的攻擊,檢驗各級政務外網信息共享的能力和協同處置的效率。
三是加強網絡安全人才隊伍培養。網絡安全防護能力和關鍵信息基礎設施安全保護能力的提升需要專業人才隊伍的支撐。應加快啟動網絡安全人才培訓,改善專業技術人才隊伍缺乏的局面,提升網絡安全專業化能力,為數字政府建設提供堅實的安全保障。
四、結語
關鍵信息基礎設施作為重要的戰略資源,在建設數字中國的過程中發揮著基礎性、全局性的支撐作用,國家電子政務外網將全面深入踐行關鍵信息基礎設施安全保護,積極推進安全保護機制的研究與落地,保護網絡系統和信息資源安全,為數字中國建設保駕護航。
一顆小胡椒
中國信通院CAICT
FreeBuf
一顆小胡椒
中國信息安全
RacentYY
尚思卓越
一顆小胡椒
前沿信安資訊陣地
尚思卓越
奇安信集團
安全牛
