邮发代号 2-786
征订热线:010-82341063
2023年9月1日,我国《关键信息基础设施安全保护条例》(以下简称《条例》)已正式施行2周年。《信息安全技术 关键信息基础设施安全保护要求》国家标准作为《条例》发布施行后首个正式发布的关键信息基础设施安全保护标准,已于2023年5月1日正式实施,为开展关键信息基础设施安全保护工作提供了具体的工作指引,对于关键信息基础设施运营者提升保护能力、构建保障体系具有重要的指引作用。
为回顾《条例》发布施行以来对于网络安全产业的促进、影响和变化,助力进一步发挥标准的规范和引导作用,帮助关键信息基础设施运营者更好地理解标准对关基保护工作的要求以及如何落地实施,《中国信息安全》杂志社策划制作关基保护主题视频访谈节目,特邀请国家工业信息安全发展研究中心检查评估所所长张格、天融信科技集团副总裁吕延辉围绕标准的落地实施,从关保要义、标准指南、管理运营、应对处置等角度展开交流研讨。
张 格
国家工业信息安全发展研究中心检查评估所所长
吕延辉
天融信科技集团副总裁
李 刚(主持人)
《中国信息安全》杂志社运营总监
一、《信息安全技术 关键信息基础设施安全保护要求》国家标准发布实施的有何重要意义?
张格:该标准的发布是推进国家关键信息基础设施安全保护工作的一步重要举措,针对关基运营单位和建设者关心的一些技术问题做了比较明确的规定,解决了大家在关基保护工作中面临的“怎么建、怎么管、怎么用”的问题。标准的出台强有力地保证了国家关基设施运营者的工作能有据可依、有标准可依,进一步推动了国家网络安全整体标准化和法治化的进程。吕延辉:此标准是我国关基保护方面首个总纲性的标准,对于指导我们关基保护工作具有非常重大的价值。具体体现在:第一,标准充分借鉴了国内外在关保工作方面的经验和举措,同时结合了相关政策法规中的相关要求,提出了从分析识别到安全防护等六个重点环节的保护要求,推动我们以此为基础去构建关基安全防护的标准;第二,该标准是在等保要求的基础上,针对关基系统的特点提出了更高的要求,关基运营者在工作中需要将关保和等保的要求同时作为关基建设必须满足的安全要求;第三,标准深入贯彻了“三化”特点,即体系化、实战化和常态化。体系化的规划是开展关保的基础性工作,需要把关保、等保、数保综合统筹考虑,进行组织架构的体系设计推进工作。二、《信息安全技术 关键信息基础设施安全保护要求》的发布实施为行业工作带了哪些新的变化?张格:我的感受分为五个方面:第一,标准的发布实施促使各行业关基保护的意识得到提升;第二,更加重视供应链安全管理的问题;第三,对数据安全、人工智能等新技术带来的新风险和挑战做了具体保护要求;第四,更加注重实战能力的检验;第五,重点提出要威胁信息共享。吕延辉:标准中强调了动态风险防控的理念,强化安全的管理职责、数据安全和供应链安全,以及安全能力的闭环体系化、实战化,为网络安全产业也提供了产品和技术研发的指导。第一,一定要重视关键信息基础设施的顶层安全设计和统筹规划;第二,切实提升关基从业者、运营人员的安全意识和实战能力;第三,重视供应链安全风险,优先采用安全可信的产品和服务;第四,通过构建数据安全治理体系,强化数据安全管控措施,从而真正提升数据在全生命周期里的安全能力;第五,构建能覆盖关基的全网系统,以及7*24小时的全方位、全链条的网络安全监测的能力,完善监测预警流程和机制,提升网络攻击精准发现和快速预警的能力;第六,减少攻击面,开展攻防演练,建立威胁情报共享机制,实现整体防御的安全能力体系。三、各领域的关键信息基础设施是否存在一些共性的安全问题?该如何应对?张格:第一,安全架构和信息化架构不匹配的问题,很多关基的安全还是后置的,甚至是补齐性、外挂式的安全防护;第二,涉及关基安全的各层人员的安全意识亟待全面提升;第三,要体系化地进行关基保护工作,要做到纵深有弹性的安全保障;第四,关基防护要靠产业支撑,供给侧要提升与关基的紧耦合性,提供专门针对关基设计的产品和解决方案。吕延辉:第一,供应链的安全问题,其中核心的是关键核心技术自主掌控程度不足的问题;第二,网络攻击威胁的问题,由于关键信息基础设施的特殊性,导致必然会面临有组织大规模的网络攻击;第三,关基所承载的重要数据的安全问题,以及重要数据跨境传输的安全问题;第四,传统的基础设施在数字化转型过程中所形成的数实融合的安全场景问题;第五,人员的问题,包括安全意识不足和安全能力、技术的落后。四、从产业的角度,如何配合做好关键信息基础设施安全保护工作?吕延辉:网络安全产业的发展具有四化的特点,即国产化、行业化、服务化和智能化。国产化方面,目前,网络安全产品底层架构的国产化程度不足,在威胁对抗等前沿技术领域,和国外还存在一定差距。天融信已有64类、200多款国产化的安全产品和系统,但仍然没有完全覆盖非国产化领域的安全需求。行业化方面,一是要能够应用关基信息化系统的原生组件的原生安全能力,二是是要能够将专业的安全能力覆盖到所有的信息化组件,甚至能够嵌入到关基的业务系统和处置流程中。但由于前期安全的后置化或外置化部署,所以这方面还有很大的发展空间。服务化方面,就是网络安全能力交付方式的服务化。要探索针对关基建设和运营的安全即服务的模式。智能化方面,随着AI技术的变革,生成式AI的逐渐成熟和ChatGPT的横空出世,给网络安全领域带来了新挑战和新机遇。一方面,在生成式AI技术加持之下,可能会让关基面临更加复杂、强度更高的网络攻击;另一方面,我们也需要把AI的技术应用到网络安全领域,增强网络安全的能力。天融信在AI方面有多年的探索,近期也推出了天问安全大模型,是安全领域的垂直大模型,也致力于把安全的AI技术更好地加持到安全能力里面。
文章来源: https://mp.weixin.qq.com/s?__biz=MzA5MzE5MDAzOA==&mid=2664201365&idx=1&sn=54a48165aa692e477c0e3c84bc4406c6&chksm=8b597e6cbc2ef77a4b92a523782041f5683d2566732930945e4334febcb814bf544e8a316c4a&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh