關保、等保:當下如何做好中國特色網絡安全的重中之重
等級保護是我們國家加強網絡安全和信息安全管理的主要方面,在網絡安全法當中明確規定了實行等級保護制度,而且明確規定了關鍵信息基礎設施在等級保護的基礎上實施重點保護,在2022西湖論劍·網絡安全大會的“關鍵信息基礎設施及等級保護”論壇上,我們接觸了目前國內關鍵信息基礎設施及等級保護領域的最專業分析。
(以下內容截取自2022西湖論劍·網絡安全大會的“關鍵信息基礎設施及等級保護”論壇中各位專家的部分發言,完整大會回放請移步“數說安全”微信視頻號觀看“直播回放”)
中國計算機學會計算機安全專業委員會主任、公安部第一研究所副所長于銳:
關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全保障的重中之重。縱觀層出不窮的網絡安全事件,持續不斷針對關鍵信息基礎設施的網絡攻擊已經成為常態,讓我們警覺的同時也給了我們很多的啟發。沒有硝煙的網絡攻擊正沖擊著世界各國,任何國家的關鍵信息基礎設施都是可能遭受重點攻擊的目標,復雜的世界格局中沒有任何國家可以置身事外,獨善其身。
同時在美西方針對我國持續不斷的打擊和升級的對抗下,我國關鍵信息基礎設施面臨的網絡安全形勢相較其他國家更加嚴峻復雜,近年來,國內各級各類實網攻防演練也暴露出不少關基保護風險、短板與問題。特別是新冠肺炎發生以來高級持續性威脅、勒索病毒、數據竊取等事件的頻發,嚴重危害了經濟社會穩定運行,在一些關鍵信息基礎設施中埋下了隱性危險,為此我國高度重視關鍵信息基礎設施的保護工作。
習近平總書記就此多次做出重要指示,網絡安全法、《關鍵信息基礎設施安全保護條例》和相關標準相繼出臺,關鍵信息基礎設施是國家安全建設和發展的基石已成為共識,作為一項保障國家安全、國際民生和公共利益的重大長期任務,關鍵信息基礎設施保護要樹立正確的安全理念,深入分析我國網絡安全與關基保護的現狀,動員全社會力量從政策、機制、管理、人才到技術、產品、系統以及安全運營服務等各方面,目標導向,多措并舉,全方位推進落實習近平總書記的指示精神,落實網絡安全法和《關鍵信息基礎設施安全保護條例》。
作為關鍵信息基礎設施運營者的行業、企業要承擔起主體防護責任,認真執行重要信息系統等級保護制度,落實公安機關提出的“三化六防”工作要求,監管機構、行業主管部門、科研院所、網絡安全企業共同發力,加快構建關鍵信息基礎設施安全保障能力和保障體系,完善關鍵信息基礎設施安全防護的應急機制,提升全天候、全方位網絡安全態勢感知能力。隨著關鍵信息基礎設施新技術、新場景和新應用的不斷涌現,還會有更多的安全問題和攻擊形態不斷浮出水面,希望與會的各位專家、學者、企業家能充分利用西湖論劍這個平臺,暢所欲言,為我國的關鍵信息基礎設施保護工作出謀劃策,也希望通過這個論壇讓與會的各位朋友能夠了解關鍵信息基礎設施保護的新趨勢、新進展、新技術,啟發新的工作與發展思路,讓這一論壇真正成為大家學習交流的紐帶,共謀發展的平臺。
近年來中國計算機學會計算機安全專委會積極培育學術交流、創新賦能、科普教育和政府智庫能力,主動對接國家網絡安全戰略規劃,對接公安機關網絡安全保衛業務,發揮政府部門與會員單位的橋梁紐帶作用,交流網絡安全各方面成果和經驗,組織學術研討、技術培訓和咨詢服務活動。在此歡迎與會的技術專家,企業家積極加入我們專委會,為專委會發展輸入新鮮血液,帶來新的活力,
中國計算機學會計算機安全專業委員會榮譽主任、公安部一所、三所原所長、一級警監、研究員嚴明:
主題:《關鍵信息基礎設施安全保護條例學習》
回顧等級保護這些年來,我們已經構筑了四大支撐支柱,它是我們等級保護開展工作的四個重要的支撐點:
1、法律的定位:網絡安全法等基本法當中明確規定了我們實行等級保護制度,而且規定了有關的責任和落實。
2、管理的落實:公安的網絡安全保衛局(大家稱為網警),有專門的隊伍從事等級保護制度的落實。
3、等保技術標準:為了做好等級保護有一系列的標準,我們剛剛更新了新版的標準。
4、等保評估中心:我們已經有了200多個遍布全國的第三方技術咨詢機構以及各地的等保評估中心。
法律的定位,管理的推進,標準的規制和第三方技術支持的支撐,使得我們等級保護能夠一步一步的扎扎實實的走到現在。
去年《關鍵信息基礎設施安全保護條例》出臺,是貫徹落實習近平總書記關于網絡強國重要思想的具體措施,也是近年來國家網絡安全和信息化工作成功經驗的制度化提升,特別是回應了社會各界對加強關鍵信息基礎設施安全保護的關注和呼吁,將為我國深入開展關鍵信息基礎設施安全保護工作提供有力法治保障。
對《關鍵信息基礎設施安全保護條例》的學習體會提出十個要點供大家參考:
要點一:定位。條例是網安法的下位法。
要點二:責任。公安部門負責指導監督關鍵信息基礎設施的安全保護工作。
要點三:構筑了保護工作的管理和責任的架構。
要點四:強調了網絡安全等級保護的基礎上實施重點保護。
要點五:確定了保護工作部門的責任,保護工作部門這六個字希望大家能夠記住,涉及到關保條例的時候一定有保護工作部門的參與和它的責任的體現。
要點六:制訂了保護工作部門的任務和責任,就是制定認定規則進行認定。
要點七:強調了主要負責人負總則,實行一把手負責制。
要點八:要專門設立安全管理機構,并且進行具體規定。
要點九:強調了對漏洞探測和滲透性測試管理的要求。
要點十:特別強調了能源電信的重點保障問題。
我們相信隨著“條例”的實施,關鍵信息基礎設施安全保護工作一定能登上一個新的臺階。我聽到的消息有兩點,因為它是一個全新的架構一定要先經過試點再來推廣,所以我從公安部網絡安全保衛局聽到的目前正在選擇試點部門,當然一定是一個行業主管部門。第二個現已經在部署公安的有關技術支持工作,公安部黨委已經決定在公安部第一研究所組建一個關鍵信息基礎設施保護中心,所有工作在一步一步的往前推進。所以我們相信隨著“條例”的實施,關鍵信息基礎設施的安全保護工作一定會登上一個新的臺階。
公安部信息安全等級保護評估中心咨詢部副主任袁靜:
主題:《基于等級保護的關鍵信息基礎設施安全保護與測評思考》
大家都知道無論是落實等級保護,還是落實關基保護都離不開標準的指導,我們在去年年初牽頭制訂了關鍵信息基礎設施的標準體系,并且設立了關鍵信息基礎設施標準的總體組,這個總體組就負責整個關鍵信息基礎設施標準相關系列標準的推動和研究,它涉及到三大塊,包括重要標準,支撐標準和特定領域的標準,我們看到在這里重要標準下面一層就是等級保護的標準,包括支撐標準里面的密碼技術的標準,所以這兩部分是關基要落實的基礎,我們在標準里面也是要落實,在標準體系里面也是作為基礎。
另外,對于關鍵信息基礎設施保護的六個方面,識別認定、安全保護、檢測評估、監測預警、主動防御和事件處置,每一個環節都有相應的標準來做指導。而且,每個環節都有一到兩個核心標準。
在等保以及其他標準的技術和管理要求以上,關基的保護更加強調運營的安全,對我們日常運營提出了更高的要求。對于關鍵信息基礎設施測評前面說了保護是定制化的,對于關基的測評來說也是定制化的。
中國電信集團網信安部總經理谷紅勛:
主題:《貫徹關保條例 落實關基保護》
跟大家簡要介紹一下我們在關基防護方面一些有特色的探索。
探索實踐一:依托天翼云,構建安全可信的國家核心關基設施。突破關鍵核心技術,發布天翼云4.0,全力打造國產化信創能力體系,構建云網邊端安一體化的安全基礎設施。在自主可控云上,經過十余年的探索,中國電信在國家云,央企云都已經形成了用四個一非常成熟的相對自主可控的一個龐大的公有云體系:一朵分布式云、一朵自主可控云、一朵安全可信云、一朵開放合作云。
探索實踐二:近兩三年來中國電信做了另外的一個嘗試,也是自主開發的。中國電信做了一個安全中臺,在集團黨組的大力支持下,整合資源聚合能力,在安全領域目前已經研發到最后階段,初步實現了數據的集中化,分析的智能化,以及整個運營編排化,還有服務的能力化。第一期做了七大類場景,數據做到了百分之百的采集和統一分析,因為采集分析背后是數據治理問題,如果數據治理不好的話整個開銷是很大的。
探索實踐三:安全的能力池,對內服務內部,對外服務客戶。在安全服務能力的標準化、虛擬化、云化、池化、分布化整個概念下,把整個全集團分布在各省各市的對內對外服務的能力拿過來,實現了云、網、邊、端的安全調度和協同防御,目前對外業務拓展也是蒸蒸日上。整個資源池是分布在31個省,有集約化的,有運營維護,API接口,還有流量的編排,業務配置,還有相關能力的管理。整個研發的目標就是能力的標準化、規模的部署化、還有功能的強大、能力的貫通。目前31個省,131個資源池已經部署完畢,這也是布置到天翼云上的。我們相信再有一段時間,整個在對客戶服務上將取得比較大的進步。
探索實踐四:發揮運營商優勢。全力打造業界領先的自有安全公司。中國電信在各省公司,各子公司,各控股公司聚合了很多有特色的一些安全對外的能力產品以及服務,我們想依托運營商的優勢,全力打造一個領先的安全公司。我們希望能夠為國家,為人民做一些貢獻,為整個中國的數字化做一些貢獻,也希望整個安全市場能夠為中國電信帶來新的增量。
中國科學院軟件研究所研究員連一峰:
主題:《淺談大數據與人工智能技術在關鍵信息基礎設施安全保護中的應用》
圍繞“三化六防”工作目標我們也開展了一些相關的技術研究,實際上無論是等級保護也好,關基保護也好,包括日常所說的網絡安全的工作也好,特別是對于技術部門來說,大量的工作都是用在對網絡安全異構多元大數據的分析處理上。圍繞數據的分析處理又分成很多層次,有數據的采集,數據的治理,數據的分析挖掘最后支撐關基保護的業務實戰。所以我也想從這幾個層次,把人工智能的一些算法在這些層次中的應用做一個簡單匯報:包括采集監測中的人工智能技術應用、數據驗證中的人工智能技術應用、數據融合中的人工智能技術應用、業務實戰中的人工智能技術應用。
安恒信息態勢感知事業部副總經理楊波:
主題:《關鍵信息基礎設施-供應鏈安全》
供應鏈的定義是指:軟件供應鏈在設計、開發、分發以及交付運營過程中深挖的編碼、工具、組件等要素的總和。整個供應鏈是一個非常寬泛的概念,每個節點的要素也是非常的多。隨著軟件工程的發展,開源成為供應鏈開發的主要方式,造成整個供應鏈在軟件開發上面臨著很多挑戰。
安恒信息近幾年在軟件供應鏈方面做了一些基礎性工作,首先是在云端建立軟件供應鏈的運營中心,建立軟件供應鏈庫,打造供應鏈生態。在端主要是依賴于政企客戶、央企部委、行業主管部門,安恒信息建立態勢感知平臺,平臺中提供軟件供應鏈的管理。我們希望通過這種方式給大家在軟件供應鏈上面提供一些思考和幫助,讓大家在后續的安全管理工作中更加重視軟件供應鏈的安全。
我們認為整個軟件供應鏈的安全生態會逐步建立,在國內外的政策背景下,關鍵技術已經獲得了快速的發展。另外,我們的安全標準體系和監測風險機制將不斷的完善。
我建議相關的監管部門、行業主管部門、頭部企業等制定相關軟件供應鏈的標準,讓更多的企業、組織和個人參與到軟件供應鏈的生態中,把軟件供應鏈安全做大做強。
我覺得安全廠商在軟件供應鏈方面也有很多工作可以做,最基礎的是要加強軟件供應鏈研究、情報共享、相關培訓。我覺得,軟件供應鏈廠商是整個軟件供應鏈里面最核心的一個部門。對廠商的要求是高標準的,按照三個同步的要求開展軟件研發的工作,引進國內外最新軟件開發安全經驗,開展軟件的開發保障軟件的高質量輸出。
作為關基單位,也是要根據《條例》的要求開展軟件供應鏈的工作。首先要知道自己有多少相關的軟件,避免一個軟件可能過了一年之后還沒有修補漏洞。另外,還要按照公安部門的要求開展網絡安全監控智慧中心的檢測,升級目前的安全管理平臺、技術體系。我相信在大家的共同努力下,我們的網絡肯定會越來越安全,數據肯定會越來越安全,讓我們共同構建安全可信的數字世界。
