人民网
人民网>>社会·法治

良法善治大家谈|“关键信息基础设施安全保护”系列解读

落实“三化六防”措施 保护水利关键信息基础设施安全

人民网记者 郝萍
2021年11月12日11:22 | 来源:人民网
小字号

编者按:没有网络安全就没有国家安全,没有信息化就没有现代化。党中央、国务院高度重视关键信息基础设施安全保护工作,为进一步健全关键信息基础设施安全保护制度体系,制定出台了《关键信息基础设施安全保护条例》(以下简称《条例》)。对此,人民网“良法善治大家谈”栏目采访九位专家学者推出“关键信息基础设施安全保护”系列解读,从多领域、多角度全面阐释关键信息基础设施安全保护的重要性和必要性。

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。《条例》是我国首部专门针对关键信息基础设施安全保护工作的行政法规,在关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等方面进行了界定和规范,为加强关键信息基础设施安全保护工作提供了重要法治保障。

水利作为关键信息基础设施重点行业领域之一,水利部门应如何贯彻落实《条例》要求?在网络安全等级保护制度的基础上又应该怎样扎实做好相关工作?对此,水利部网络安全与信息化领导小组办公室主任,水利部信息中心党委书记、主任蔡阳接受了人民网记者的相关采访。

人民网记者:水利关键信息基础设施是如何认定的?

蔡阳:根据《条例》第八条规定,水利部是负责水利行业关键信息基础设施安全保护工作的部门,负责结合水利行业实际,制定水利行业关键信息基础设施认定规则。

水利关键信息基础设施的认定首先要明确水利关键业务。根据水利业务特点,防洪、供水、生态等水利公共产品和公共服务供给,关乎国家安全、经济社会稳定和广大人民群众生命财产安全,相关业务规模大、覆盖地域广、在水利行业领域不可替代、对其他行业领域有连锁性及关联性重大安全风险,这些业务可确定为水利关键业务。主要包括:水灾害防御、水资源管理、水工程管理、水生态与河湖管理等方面。

明确关键业务后,需要分析这些业务对信息化的依赖程度。其中,对信息化依赖程度高的水利关键业务,其网络设施、信息系统才可纳入为关键信息基础设施认定范围。然后,各级水利部门初步认定关键信息基础设施后,经逐级审核,报水利部认定。最后,认定结果通知水利关键信息基础设施运营者,并通报国务院公安部门。

人民网记者:在构建水利关键信息基础设施安全保护体系方面,您认为水利行业应如何贯彻落实《条例》要求?

蔡阳:一直以来,水利行业高度重视网络安全,特别是水利关键信息基础设施安全,网络安全防护体系基本建成,但与《条例》的相关要求相比还有差距。水利关键信息基础设施运营者应深入贯彻“三化六防”措施,以水利网络安全顶层设计为指引,以水利关键信息基础设施为安全保护对象,坚持“体系化,实战化,常态化”理念,构建水利关键信息基础设施安全综合防御体系,不断提升水利关键信息基础设施“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”能力。

人民网记者:正如您刚才所提到的“三化六防”要求,能否简要谈谈水利行业的落实情况?

蔡阳:我认为第一方面是加强体系化建设——构建水利关键信息基础设施安全综合防御体系。以水利网络安全总体策略为指引,通过组织管理、安全技术、监督检查三个体系建设,不断提升网络安全纵深防御能力、监测预警能力、应急响应能力。

一是组织管理体系。水利部依托现有网络安全管理体系,建立水利行业关键信息基础设施安全保护和监督管理组织体系。各级水行政主管部门是所辖水利关键信息基础设施安全保护工作的主管部门,下属网信部门具体负责监督管理工作,下属相应业务部门负责指导协调;各水利关键信息基础设施运营者承担安全保护的主体责任,根据情况可设业务主管单位、建设单位、运行管理单位,分别承担监督协调、网络安全建设、网络安全运行责任。

二是安全技术体系。遵循网络安全总体策略,构建涵盖基础防护、监测分析和响应恢复的网络安全技术体系。在基础防护方面,建设完善统一身份认证服务、统一密码服务、统一备份服务、统一应用安全检测平台、统一数据共享交换平台等统一基础安全服务,构成纵深防御底盘,安全资源共享共用,提升整体安全支撑能力;根据网络安全等级保护相关要求,在基础安全服务的支撑下,构建“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”多层次防护。在监测分析方面,结合自身安全数据,构建安全情报中心;建设安全数据采集系统,对各类安全设备日志、主机日志、应用日志、重要边界网络流量、内外部威胁情报等网络安全相关数据进行统一收集;采用大数据技术,构建网络安全大数据平台,汇集、整理、存储、处理各类安全数据,形成安全数据仓库;在各类安全数据的基础上,构建网络安全威胁感知系统,基于行为分析、特征分析、关联分析、威胁情报、机器学习等技术实现对网络安全威胁的全方位感知。在响应恢复方面,建设网络安全风险全过程闭环管理系统,将安全风险根据影响程度分为不同类别:安全事件、安全告警、安全威胁,根据事先确定的流程,对安全事件、安全告警、安全威胁处置进行全过程闭环管理;建设统一设备管控系统,把应急响应与网络安全设备联动管理,实现阻断、隔离、策略下发等多种动作编排,将威胁防护措施转化成安全策略控制任务,提高全网协防效率,缩短威胁处置时间,提升应急能力。

三是监督检查体系。依据《水利网络安全管理办法(试行)》,围绕抓住“及时发现漏洞、及时有效处置漏洞”两个关键,通过“查、改、罚”等有效手段,强化水利关键信息基础设施安全监管,建立水利关键信息基础设施安全监督检查体系,各级水利关键信息基础设施安全保护工作的主管部门定期监督检查,结合水利关键信息基础设施运营者自查,配合网信部门、公安部门的网络安全检查监测,形成监督检查合力。

第二方面是立足实战化——坚持以攻促防。攻防实战结果是检验水利关键信息基础设施安全工作最重要的依据,也是评价网络安全保护能力最重要指标。

定期开展实战攻防。水利关键信息基础设施保护工作部门、运营者要定期开展实战攻防,通过攻防演习、攻防演练、沙盘推演等方式,发现漏洞隐患,检验网络安全防护手段的有效性、联防联控机制的完善性,锻炼网络安全队伍,提高全员的网络安全意识。

建设仿真平台。水利关键信息基础设施,特别是水利工程控制系统类关键信息基础设施,应加强模拟仿真平台建设,依托平台开展常态化的攻防培训、应急演练、测试验证等。

第三方面是实施常态化运营——提升防护能力。加强网络安全运营管理,将关键信息基础设施的日常安全监测、安全巡检、安全事件分析和安全响应处置等内容,纳入到生产运营管理中,并在保证业务稳定运行的情况下,定期进行漏洞检测、安全配置检查、安全风险评估和网络安全应急演练等工作。通过常态化运营,构建分析预测、威胁防护、持续监测、响应处置的闭环体系,不断优化完善,提升网络安全六大能力。

一是提升动态防御能力。采用大数据、人工智能等技术,基于水利网络安全大数据分析平台,构建水利关键信息基础设施安全态势感知平台,通过数据挖掘、关联分析,结合自动化、半自动化处置措施,持续监测网络安全攻击、动态调整策略,以应对动态、多变、高强度的网络攻击,实现水利关键信息基础设施安全从静态防御到动态防御。

二是提升主动防御能力。充分利用水利网络安全威胁情报中心,配合全流量数据采集分析等,及时主动发现、处置网络安全威胁,特别是潜伏威胁、未知威胁,并跟踪溯源,水利关键信息基础设施安全变被动防御为主动防御。

三是提升纵深防御能力。依据网络安全等级保护2.0“一个中心、三重防护”理念,采用分区分域分业务隔离机制,层层设防、逐级设防,打造水利关键信息基础设施网络安全纵深防御。

四是提升精准防护能力。根据水利关键信息基础设施安全实际,以水利工控网络安全为焦点,以水利基础数据网络安全为要点,针对性的采取措施,实施精准防护。

五是提升整体防护能力。构建网络安全综合防御体系,从保护对象自身安全加固、外部强化防护、全方位监测预警、应急联动处置等方面全面加强安全,通过水利关键信息基础设施安全态势感知平台统一管理调度,形成协同联动、高效统一的整体防护。

六是提升联防联控能力。在国家联防联控机制下,构建水利网络安全联防联控体系,实现“一处报警,处处设防;一处威胁,处处处置”,提升整体应对网络攻击能力。这是健全水利网络安全保障体系、提升行业网络安全整体实战对抗能力的重要抓手,是实现网络安全防护目标不受冲击破坏的有力保障。

(责编:彭晓玲、邓志慧)

分享让更多人看到

返回顶部