以下文章來源于關鍵資訊基礎設施安全保護聯盟籌 ,作者郭啟全
關鍵資訊基礎設施營運者應按照《關鍵資訊基礎設施安全保護要求》,落實關鍵資訊基礎設施安全保護措施,包括分析識别、安全防護、檢測評估、監測預警、技術對抗、事件處置六個環節的措施。
安全防護
01 落實國家網絡安全等級保護制度
營運者應首先落實國家網絡安全等級保護制度,按照網絡安全等級保護有關政策和标準,對網絡和資訊系統開展定級、備案、相應等級的安全建設整改和等級測評工作。落實等級保護制度,是關鍵資訊基礎設施安全防護的前提,是法律規定。
02 安全管理制度
确定關鍵資訊基礎設施安全保護工作目标,建立一系列安全管理制度。
一是建立包括風險管理制度、網絡安全考核及監督問責制度、教育教育訓練制度、人員管理制度、業務連續性管理及容災備份制度、“三同步”制度(安全措施同步規劃、同步建設、同步使用)、供應鍊安全管理制度等的安全管理制度體系。制定包含管理體系、技術體系、營運體系、保障體系等内容的網絡安全保護規劃,加強機構、編制、人員、經費、裝備、科研、工程等的資源保障。網絡安全保護規劃應形成文檔并經審批後釋出至相關組織和人員。網絡安全保護規劃應至少每年修訂一次,發生重大變化時應及時進行修訂。
二是基于關鍵業務鍊、供應鍊等安全需求,建立完善安全政策,并根據關鍵資訊基礎設施所面臨的安全風險和威脅變化及時進行相應調整。安全互聯政策包括通路控制政策、安全審計政策、身份管理政策、入侵防範政策、資料安全防護政策、自動化機制政策(配置、漏洞、更新檔、病毒庫等)、供應鍊安全管理政策、安全運維政策等。
三是在确定安全規劃、安全政策的基礎上,細化制定一系列操作規範、流程和工單,保證規劃和政策落到實處。
03 安全管理機構
成立網絡安全與資訊化工作委員會或上司小組,由機關主要負責人擔任上司職務。設定專門的網絡安全管理機構,明确負責人及若幹專門崗位,設定系統管理、網絡管理、安全管理等關鍵崗位。
關鍵崗位應由專人負責,并配備2人以上共同管理。建立網絡安全考核及監督問責機制,落實責任制。将安全管理機構主要人員納入機關資訊化決策體系,確定網絡安全與資訊化建設同步進行。
04 安全管理人員
人是關鍵資訊基礎設施安全保護工作中最重要的要素。營運者要高度重視人才選拔和崗位安排。
一是對安全管理機構的負責人和關鍵崗位的人員進行安全背景審查,審查過程中應請公安機關和國家安全機關協助。對關鍵崗位的人員要進行安全技能考核,符合要求的方能上崗。
二是安排安全管理機構人員參加國家、行業或業界組織的網絡安全大賽、論壇、研讨等相關活動,及時擷取網絡安全動态和知識,并傳達給相關部門及人員。
三是建立網絡安全教育教育訓練制度,定期開展基于崗位的網絡安全教育教育訓練和技能考核,設定科學的年度教育訓練時長。教育教育訓練内容應包括網絡安全相關法律、政策、制度、标準和規定,以及網絡安全保護技術、管理制度、網絡安全風險意識等。
四是當安全管理機構負責人和關鍵崗位人員的身份、安全背景等發生變化(例如取得非中國國籍)時,應重新進行背景審查。當發生内部崗位調動時,應及時評估并調整調動人員的通路權限。當人員離崗時,應及時終止離崗人員的所有通路權限,收回與身份鑒别相關的軟硬體裝置,進行離職面談,并通知相關人員或角色,確定人員變動後不發生危害網絡安全的事件。
五是明确專門崗位人員的安全保密職責和義務,包括安全職責、獎懲機制、離崗後的脫密期限等,并與專門崗位人員簽訂安全保密協定。
05 安全通信網絡
為了保障網絡通信安全,營運者應從以下方面采取安全措施:
一是互聯安全。建立具有不同安全保護等級的系統、不同業務系統、不同區域及與其他營運者之間的安全互聯政策。保持同一使用者的使用者身份、安全标記、通路控制政策等在具有不同安全保護等級的系統、不同業務系統、不同區域中的一緻性。對不同區域網路之間的遠端通信,應采取身份驗證或鑒别等安全防護措施(例如,設定基于密碼技術的身份驗證或鑒别設施,對通信雙方進行驗證)。
二是邊界防護。在具有不同安全保護等級的系統、不同業務系統、不同區域及與其他營運者之間的互操作、資料交換和資訊流向方面,設定嚴格的控制政策和機制,實施嚴格的控制措施。對未授權裝置進行動态檢測及管控,隻允許通過營運者自身授權和安全評估的軟硬體運作,防止網絡入侵攻擊。
三是安全審計。在邊界設定網絡審計措施,監測、記錄資訊系統運作狀态、日常操作、故障維護、遠端運維等,留存相關日志資料不少于12個月,以便對非法操作進行溯源和固證。
06 安全計算環境
計算環境是資訊系統的核心,包括主機、資料庫、伺服器、重要資料等重要資産。為了保障計算環境安全,營運者應從以下方面采取安全措施。
一是鑒别與授權。确定重要業務操作或異常使用者操作行為,并形成清單;設定動态的身份鑒别措施,或者采用多因子身份鑒别等方式,實作對裝置、使用者、服務(或者應用)、資料的安全管控。對針對重要業務資料資源的操作,可采取基于安全标記等的技術措施實施嚴格的通路控制。
二是入侵防範。采用人工智能和大資料分析等技術,建設防範新型網絡攻擊行為(例如進階持續性威脅攻擊)的管理和技術措施,及時識别并阻斷網絡入侵和病毒傳播,提高資訊系統的主動防護能力。
三是裝置配置和管理自動化。設定自動化工具、裝備,支援系統賬戶、配置、漏洞、更新檔、病毒庫等的管理。在修複漏洞和打更新檔時,應先驗證、後實施。
07 安全建設管理
在建立或改建、擴建關鍵資訊基礎設施時,應依法落實“三同步”要求,同步規劃、同步建設、同步使用安全保護措施,充分考慮網絡安全因素。在規劃、設計和建設階段,應加強全過程網絡安全管理,與規劃、設計和建設機關簽署安全保密協定,落實相關機關的網絡安全責任,確定網絡和資料安全。為了保證安全措施的有效性,可采取滲透性攻擊測試、評審、源代碼檢測等方式進行驗證。可建設關鍵資訊基礎設施仿真驗證環境,對關鍵業務和安全措施進行驗證。
08 安全運維管理
關鍵資訊基礎設施投入運作後,為了保障其安全,營運者應保證關鍵資訊基礎設施的運維地點位于大陸境内;确需在境外運維的,應按照大陸相關規定執行。
營運者應與維護人員簽訂安全保密協定,確定人員安全可控。在運維過程中,運維人員應優先使用已登記備案的運維工具和裝備;确需使用由維護人員帶入關鍵資訊基礎設施内部的維護工具裝備的,應在使用前通過惡意代碼等安全檢測,確定工具裝備安全可控。
09 供應鍊安全
關鍵資訊基礎設施的供應鍊安全是安全工作的重要方面,也是網絡安全防護的薄弱環節,需要引起高度重視。為了保障供應鍊安全,營運者應從以下方面采取安全措施。
一是制定供應鍊安全管理政策。無論是采購産品還是服務,都要對關鍵資訊基礎設施和資料開展全鍊條、全生命周期的供應鍊安全風險分析、識别;針對威脅風險,制定安全建設政策、風險管理政策、供應商選擇和管理政策、産品開發采購政策、安全維護政策等,并采取相應措施確定政策落實到位。
二是建立供應鍊安全管理制度,落實供應鍊安全管理部門和安全責任人,加強對供應鍊安全管理資金、人員、權限等資源的保障。
三是加強産品在設計、研發、傳遞、使用、廢棄等階段,以及制造裝置、工藝等方面的供應鍊安全風險排除,加強全鍊條安全管理,確定産品安全可控。
四是選擇有實力、有能力、保障有力的供應商,防止由于政治、外交、貿易、經濟等非技術因素導緻産品和服務供應中斷。同時,要在能提供相同産品的多個供應商中選擇,以防範供應商鎖定風險。
五是采購、使用的網絡關鍵裝置和網絡安全專用産品,應通過國家規定的檢測認證。需要獲得銷售許可的産品,應獲得有關機構頒發的銷售許可證。
六是采購、使用的網絡産品和服務,應符合法律、行政法規的規定和相關國家标準的要求,在功能、性能方面不能偷工減料、弄虛作假。可能影響國家安全的網絡産品和服務,應通過國家網絡安全審查。當發現使用的網絡産品和服務存在安全缺陷、漏洞等風險時,應及時采取措施消除風險隐患;涉及重大風險的,應按規定向公安機關等有關部門報告。
七是在采購網絡産品和服務時,應與供應商簽訂安全保密等有關協定,協定内容應包括安全職責、保密内容、獎懲機制、有效期等;或者,要求供應商簽署承諾書,明确供應商的安全責任和義務,由供應商承諾不非法擷取使用者資料、控制和操縱使用者系統及裝置,不利用使用者對産品的依賴性謀取不正當利益,不強迫使用者進行産品更新換代。
10 資料安全防護
在關鍵資訊基礎設施安全保護中,保護核心資料、重要資料安全是重中之重。營運者應落實《網絡安全法》《資料安全法》中有關資料安全的要求,并從以下方面采取安全措施:
一是在開展資料分類分級的基礎上,針對資料的不同類型和級别,制定有針對性的資料安全保護政策,明确一系列資料安全保護措施。
二是制定資料安全保護規劃,明確定護目标、任務、具體措施,實施一系列資料安全防護手段;建立并落實資料安全管理責任制和評價考核制度,開展資料安全風險評估。
三是制定資料安全事件應急預案并定期開展演練,加強力量、資源、裝備、經費等方面的保障,做好随時處置重大資料安全事件的準備;當發生重大安全事件時,能及時有效處置并恢複,将損失降到最低。
四是将在大陸境内營運過程中收集和産生的個人資訊和重要資料存儲在境内;因業務需要,确需向境外提供資料的,應按照國家相關規定和标準進行安全評估,或者通過有關部門組織的安全審查;法律、行政法規另有規定的,應依照其規定執行。
五是加強資料全生命安全管理,嚴格管控核心資料、重要資料在存儲、使用、加工、傳輸、提供、公開等環節的安全風險。可以采取加密、脫敏、去辨別化等手段,保護核心資料、重要資料、敏感資料安全。
六是建立重要資料容災備份機制。應加強業務連續性管理,建立資訊系統、資料庫等容災備份機制,對重要系統和資料庫采取異地備份措施。對業務資料安全性要求高的可采取資料異地實時備份,對業務連續性要求高的可采取重要系統異地備份,進而保障業務的異地實時切換,確定關鍵資訊基礎設施一旦被攻擊破壞可及時恢複和補救。
七是當關鍵資訊基礎設施廢棄時,應按照相應的資料安全管理政策對其中存儲的資料進行妥善處理,確定不危害核心資料、重要資料安全。
![人大的資訊安全防護系統有漏洞吧?[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)