保护工作部门要建立健全网络安全工作的组织领导体系,强化“一盘棋”思想,认真落实网络安全责任制和责任追究制度;要明确一名领导班子成员分管关键信息基础设施安全保护工作,并明确具体负责的司局级单位。
运营者要严格落实《党委(党组)网络安全工作责任制实施办法》,并明确一名领导班子成员为首席网络安全官,分管关键信息基础设施安全保护工作;设置专门安全管理机构,确定关键岗位。同时,要建立健全网络安全管理和评价考核制度,加强网络安全统筹规划和贯彻实施。
保护工作部门和运营者应按照关键信息基础设施识别认定指南,分析识别和认定国家关键信息基础设施并报公安部;在此基础上,组织开展摸底调查,梳理排查关键信息基础设施建设、运行、管理情况及安全保护状况,全面掌握网络基础设施、重要业务系统和重要数据等资源底数和网络资产,建立档案并动态更新。
保护工作部门要定期组织对本行业已确认的关键信息基础设施进行按照审查评估。当关键信息基础设施发生较大变化时,运营者要及时报告保护工作部门;保护工作部门应在收到报告后3个月内完成重新认定,并将认定结果报公安部备案。
运营者要加强关键信息基础设施专门安全管理机构人力、财力、物力方面的投入和保障,建立专门工作机制,明确专门安全管理机构在关键信息基础设施安全保护计划、能力建设、应急演练、事件处置、教育培训、安全管理、评价考核等方面的职责,确保专门安全管理机构有效运转;
加强关键信息基础设施核心岗位人员管理,建立健全各项管理制度,强化专门安全机构的负责人及关键核心岗位人员管理,组织对其进行安全背景审查,审查时应征求公安机关、国家安全机关的意见,审查情况应报送保护工作部门;
加强关键信息基础设施设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全,采购的产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。
二、大力提升关键信息基础设施安全保护能力
1、制定关键信息基础设施安全保护规划及安全建设方案,组织开展安全建设试点示范。
保护工作部门应结合关键信息基础设施安全需求,按照“实战化、体系化、常态化”保护要求,组织制定并实施本行业关键信息基础设施安全保护总体规划和安全防护策略,加强网络安全和业务发展的统筹协调,创造有利于业务发展的网络安全环境,确保安全保护措施与关键信息基础设施“同步规划、同步实施、同步运行”。
运营者应按照关键信息基础设施安全保护规划,组织制定安全建设方案,确保安全规划任务目标有效落实。安全保护规划和安全建设方案应通过国家关键信息基础设施安全保护专家组的评估审议。公安部将选择典型的关键信息基础设施开展安全建设试点示范,推进实施安全可控应用示范工程,集中资源力量开展安全保护技术攻关和应用创新,总结提炼建设经验做法,加强宣传推广。
运营者应按照《网络安全法》和国家网络安全等级保护制度要求,依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,开展相应等级的网络安全建设,健全完善网络安全管理制度,加强技术防护,建设关键信息基础设施综合防御体系。
在落实网络安全等级保护制度的基础上,按照《关键信息基础设施安全保护要求》和行业特殊要求,强化整体防护、监测预警、应急处置、数据保护等重点保护措施,合理分区分域,收敛互联网暴露面,加强网络攻击威胁管控,强化纵深防御,积极利用新技术开展安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,不断提升内生安全、主动免疫和主动防御能力。
针对主动发现和公安机关通报反馈的各类安全问题隐患及风险威胁,运营者应建立清单台账,逐一制定安全整改方案,及时开展整改加固。针对突出的安全隐患,运营者要立行立改,不能立即整改到位的,要采取有效的措施管控安全风险,完善安全保护措施,确保发现的问题隐患及时整改清零销账,及时消除和化解威胁关键信息基础设施安全的重大风险,着力防范各类风险隐患联动交汇、累积叠加,守住安全底线,不断提升关键信息基础设施安全保护能力。
公安机关将建立重大安全风险隐患挂牌督办制度,对运营者网络安全工作不力、重大安全问题隐患久拖不改,或者存在较大网络安全风险、发生重大网络安全案事件的,会同行业主管部门对相关负责人进行约谈,挂牌督办。
运营者应对核心业务系统所承载和处理的数据进行深入梳理排查,确认数据类型和资产情况,全面摸排数据资产并进行分级分类管理;对数据采集、存储、处理、应用、提供、销毁等环节,全面进行风险排查和隐患分析;加强新技术新应用安全保护和风险管控,配合公安机关打击整治针对新技术、新业态的网络违法犯罪,打造自主可控的安全防护体系。
数据处理者应落实网络安全等级保护制度,开展数据定级备案、安全建设整改、检测评估等工作,及时消除风险隐患,确保数据全生命周期的安全。针对供应链安全、邮件系统安全、网站安全、数据安全、新技术新应用网络安全等方面存在的突出问题,保护工作部门应适时组织开展专项整治行动,整改突出问题,及时排除重大安全风险隐患。
保护工作部门和运营者要调动各方资源力量,建设网络安全监控指挥中心,全面加强网络安全监测,对本行业、本领域的关键信息基础设施、重要网络等开展7x24小时实时监测,形成立体化的安全监测预警体系,严密监测网络运行状态和网络安全威胁等情况,一旦发现异常、网络攻击和安全威胁,立即采取有效措施,严密防范网络安全重大事件发生。
公安部将统筹保护工作部门和运营者的网络安全监测预警资源,加强网络新技术研究和应用,健全完善常态化网络安全实时监测体系,构建国家层面的网络安全实时监测、通报预警、侦查调查、安全防护等工作体系,形成协同联动的国家关键信息基础设施安全监测体系。
保护工作部门、运营者应加强网络安全威胁情报体系建设,组织开展关键信息基础设施威胁情报搜集工作。保护工作部门应指导运营者建立情报分析研判机制,调动技术支持单位资源力量,培养威胁情报专业人才,围绕本行业、本领域关键信息基础设施安全保护工作,主动获取和分析挖掘威胁情报、行动性线索,及时发现对关键信息基础设施和重要网络进行攻击窃密和破坏的动向,提升威胁情报搜集和分析研判能力。保护工作部门、运营者与公安机关要建立威胁情报共享机制,充分发挥各方优势,拓宽情报来源,及时整合分析各方情报线索,提高主动发现和处置威胁风险的能力:
建立威胁情报共享机制,加强主动防御; 加强情报搜集,构建一体化的网络安全威胁情报共享机制,及时发现苗头动向、及时预警防范、及时追踪溯源、及时开展反制; 依托大数据分析技术,实现安全数据、环境数据、情报数据的关联分析,精准发现设备、系统、数据间的内在线索,挖掘大数据背后隐藏的众多网络安全事件,定位攻击源,溯源事件过程和攻击路径; 将网络安全与业务深度融合,化繁为简,由内向外,联动通报处置事件。
开展网络攻防演练及比武竞赛,及时发现整改网络安全深层次问题隐患,检验网络安全防护有效性和应急处置能力; 以攻促防,增强保护弹性和网络攻防技术对抗及谋略斗争能力; 平战结合,立足应对大规模网络攻击威胁,强化合成作战。
演练时,要以本行业运营者为防守方,将关键信息基础设施设为攻击目标,组建安全可靠、技术过硬的攻击队伍、应急处置队伍、技术支持队,模拟多种形式的攻击手法进行攻防演练。
同时,保护工作部门和运营者要密切配合公安机关组织开展的攻防演习,不断提炼总结实战经验,促进实现网络攻防演习常态化,不断提升关键信息基础设施综合防御能力和对抗能力。
一是创新完善网络攻防演习的内容和方式,构建形成多层次、体系化、常态化的演习机制,适时开展对抗演习,并在行业内部组织红蓝队伍,定期开展网络攻防对抗,提高技术对抗、智慧较量、谋略对抗能力;
二是专注攻击技术研究,持续进步,在加强防护的基础上,深入收集并研究攻击者常用的工具方法,做到对内发现漏洞、补齐短板,对外展示能力、形成震慑;
三是坚持练战结合,积极探索将攻防演习的手段方法应用于关键信息基础设施日常监测、通报预警,优化完善网络安全防护方法,坚持底线思维,提升安全防护能力,防范化解重大网络安全风险。
保护工作部门、运营者要统筹资源和力量,充分发挥行业技术支持力量、网络安全科研机构、网络安全企业等的积极性、主动性和创新性,重点参与网络安全核心技术攻关、网络安全试点示范、总体规划、安全建设方案制定等工作。
公安部将充分调动社会力量,加强关键信息基础设施安全协同协作、互动互补、共治共享和群防群治,建立健全公安机关牵头、重要行业部门配合、社会力量参与的关键信息基础设施安全保护工作新局面,形成各方主体各司其职、各负其责、齐抓共管的关键信息基础设施联防联控体系。
一是缩减、集中互联网出入口:各重要行业部门分支机构在设计互联网出入口时应向上或就近归集管理,减少互联网出入口数量,在互联网出入口部署安全防护设备;对采用VPN方式归集的,应落实流量控制、身份鉴别等安全措施。
二是压缩网站数量,加强域名管理:梳理互联网网站,排查历史域名,及时清除废弃域名,确保在线应用系统全部可管、可控。
三是加强终端控制:部署终端统一管控措施,及时修补漏洞;强化用户管理,集中管控用户操作行为日志,加强特权用户设备及账号的自动发现、申领和保管。
四是清理老旧资产:建立动态资产台账,掌握资产分布与归属情况;关停老旧和废弃系统,下线过期资产,清理无用账户。
五是加强App管理:根据移动业务需求,厘清现有移动端App状况,按照最小化原则,归集建设与压缩;加强App和应用后端的安全检测与防护,严格控制信息外泄。
一是对核心系统进行精准防护:对云平台、堡垒机、域控服务器等核心系统在主机层部署防护手段,实现主机内核加固、文件保护、登录防护、服务器漏洞修复、系统资源监控等安全防护功能。
二是对网络实施精细化管控:将混杂的流量分成管理、业务、应用等维度进行管理;通过设备指纹、人机识别保障业务正常开展,精准拦截各种攻击。
三是强化邮件服务器安全管控:加强邮件系统安全认证;梳理与邮件系统相关联的系统,严格控制访问策略,禁止敏感文件通过邮箱发送和存储,定期清理邮件信息。
四是及时发现漏洞并修复:实时跟进漏洞预警,加强各类漏洞的检测发现、巡查修补;建立白名单访问机制,拦截超出白名单的访问行为,防范零日漏洞。
一是网络分区:根据业务和安全需要、现有网络或物理地域状况等,将网络划分为不同的安全区域。
二是域间隔离:根据系统功能和访问控制关系,对网络进行分区分域管理;每个区域设置独立的隔离控制手段和访问控制策略。
三是纵向防护;在安全防护纵深上采用认证、加密、访问控制等技术措施,实现数据的远距离安全传输及纵向边界的安全防护,防止被层层突破、直捣核心。
运营者要根据关键信息基础设施安全保护需求,在人才选拔、任用、培训方面形成有效机制,坚持培养和引进并举,加强专门机构建设和人才培养,根据实际需求,突出实战实训,建立健全教学练战一体化的网络安全教育训练体系。
保护工作部门、运营者要组织行业专业力量,积极参加国家层面的“网鼎杯”等网络安全比武竞赛,并组织开展行业内部网络安全比武竞赛,以赛代练、以赛促防,不断发现、选拨、培养行业网络安全专业人才,壮大人才队伍,大力提升网络安全队伍实战能力。
一是设置专门网络安全管理机构,配备专职人员,加强人才培育和教育训练,加大科技攻关和信息化手段建设;
二是通过组织实战演习、举办网络安全大赛,建立特殊攻防人才的发现、选拔、使用机制;
三是各重点单位与公安机关密切配合,通过培训和实战训练,大力提升关键安全岗位人员实战化能力;四是要深入开展网络安全知识技能宣传普及,提高普通人员的网络安全意识和防护技能。
保护工作部门、运营者要加强关键信息基础设施安全保护工作经费保障,通过现有经费渠道,保障关键信息基础设施开展等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、安全保护平台建设、运行维护、监督检查、教育培训等的经费投入。
运营者应保障网络安全经费足额投入,作出网络安全和信息化有关决策时应有网络安全管理机构人员参与。保护工作部门、运营者要加强信息化手段建设,开展网络安全技术产业和项目,支持网络安全技术研究开发和创新应用,推动网络安全产业健康发展。
保护工作部门、运营者要加快推进关键信息基础设施领域安全可信工程的实施,梳理排查关键信息基础设施供应链安全风险,加强风险管控,从芯片、操作系统、数据库等基础软硬件以及防火墙、入侵检测设备等网络安全专用产品方面逐步进行安全可信升级替代,制定替代方案,从源头上解决关键信息基础设施安全隐患,有效防范和化解供应链带来的网络安全风险。
转载自《<关键信息基础设施安全保护条例><数据安全法>和网络安全等级保护制度 解读与实施》一书。
信息来源:人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEE Symantec 白帽汇安全研究院 安全帮 卡巴斯基
本文版权归原作者所有,如有侵权请联系我们及时删除
如有侵权请联系:admin#unsafe.sh