Advertisement

关键信息基础设施(RVA)安全保护要点分析

阅读量:

关键的信息基础设施是国家的核心资产,《网络安全法》明确规定对其实施重点防护。为了切实履行法律规定,在2017年7月10日之前相关机构已经正式发布《关键信息基础设施安全保护条例(征求意见稿)》,该条例详细划定了关键信息基础设施的保障范围,并明确了各部门的安全保障职责,在此基础上制定了相应的保障制度。当前我国正致力于构建覆盖全国的关键信息化基础架构安全防护体系,在推进这一目标的过程中需要特别关注以下几点:一是提高部门间协同联动的能力二是完善技术手段三是强化人员素质四是严格监管机制五是定期评估效果。

界定关键信息基础设施概念

这是对关键信息基础设施进行安全保护的前提。

国际上有两个重要概念:关键基础设施(CIT)与关键信息基础设施(KIX)。其中的关键基础设施是指那些对国家安全、经济运行和社会发展至关重要的系统和资产。这些设施一旦遭受破坏、摧毁或毁灭,则会严重威胁到国家安全、经济命脉以及公民的健康与安全等基本要素。

关键信息基础设施体系是指对于关键基础设施自身具有重要性,并且在运行过程中不可或缺的关键信息通信系统;这些系统负责接收、处理和存储电子数据。

近年来

明确关键信息基础设施具体范畴

这是关键信息基础设施安全保护的关键步骤。

要实施保护必须明确哪些设施是“关键的”、“应当予以重点保护的”。

参考美欧经验后可知, 信息基础设施的关键性通常遵循"领域-业务-支撑资源"的结构进行识别判定. 在确定各领域的框架时, 政府部门占据主导地位, 主要依靠相关法律法规规定, 如美国自2013年起, 通过《提高关键基础设施安全性和恢复能力》总统法令, 已经将化工产业、商业设施、通信网络以及重点制造业等领域划入了16个重点保护的关键领域. 关键业务及与其相关的资源要素识别判定则需遵循一定标准与操作流程. 欧美国家均已建立了基于事故后果的识别判定标准体系. 美国在这一环节着重考量了人员伤亡数量、经济损失规模、大规模人员撤离情况以及国家安全风险等方面的影响因素.

我国《关键信息基础设施安全保护条例(征求意见稿)》旨在明确规定了关键信息基础设施的领域划分,并未对构成部分作出具体规定。借鉴美欧的相关实践,在制定一套基于安全事件影响或后果的识别认定标准的基础上, 逐步构建行业和国家层面的关键信息基础设施清单

制定关键信息基础设施安全保护标准规范

基于美国、欧盟及其他国家的相关经验可以看出,制定标准和规定被视为加强关键信息基础设施安全保护的一项关键举措。例如,在2013年之前美国政府就已经发布了《关键基础设施网络安全框架》,并采取全面强化网络安全风险管理措施;而今5月更是推出了《联邦机构实施网络安全框架指南》这一政策性文件。

我国《网络安全法》及《关键信息基础设施安全保护条例(征求意见稿)》均明确规定运营者需遵循国家标准的强制性条款履行相应的安全保护义务;但目前我国尚未形成关键信息基础设施安全保护的标准规范体系;应结合现有国际国内网络安全管理标准,在此基础上制定相应的规范体系,并进一步明确职责归属与具体实施细则;以促进企业加强网络安全管理为核心目标

提高态势感知、应急响应和恢复能力

现代化的关键信息基础设施体系构成网络防御的核心支柱,在全球范围内各国都将致力于建设具备抗击能力强的网络防御体系作为战略目标

自美国于2003年颁布《网络空间安全战略》以来,在遭受攻击时需确保信息系统的正常运转,并迅速恢复全部功能;根据第21号总统指示,《提高关键基础设施的安全性和恢复力》要求国土安全部门具备对关键基础设施进行即时监控的能力。

不仅如此,美国还在以下四个方面采取了相关举措。

1. 推广先进性技术的应用,例如,在2011年发布的《联邦网络空间安全研发战略规划》中明确提出重点支持那些可能彻底颠覆现有网络安全格局的技术领域,并明确指定了四个主要研究方向.

安装动态风险评估平台,并在美国政府机构中部署爱因斯坦2及爱因斯坦3系统,并在全球各地的网络运行中心开通并提供给这些部门使用与协作的风险感知与协作机制。

3. 推动公共与私营部门之间的合作关系,并建立安全威胁信息的共享机制。例如,在关键信息基础设施合作中, 美国与其他国家共同分享网络安全威胁信息, 并协同处理各种危机事件.

4. 规划与实施对网络安全事件的协调应对,在定期进行的实际演练中提升在网络安全事件发生后的应对及恢复能力。

构建我国关键信息基础设施网络安全监测预警体系并提升其应急响应与恢复能力被视为当前重中之重的任务。
根据《关键信息基础设施安全保护条例(征求意见稿)》,该条例的第六章专门规定了监测预警与应急处置的相关内容。
然而,
监测预警体系应包含多个层面,
同时需明确规定各方主体如何参与其中,
以及如何进行体系建设,
目前这一现状尚不够明确,
仍需进一步完善。
与此同时,
应建立健全政府、行业及企业之间的信息共享机制,
并构建统一的共享平台。
与此同时,
还需建立健全应急预案协调指挥机制;
同时需通过多部门及跨行业联合演练来提升协同处置能力。

RVA产品功能与解决方案,详询400 100 6790

杭州世平信息科技有限公司(统称为"世平信息")是一家专注于推动智能化数据分析与应用开发的信息科技公司。公司致力于通过智能化手段进行数据管理和应用的深入开拓与持续创新,并为企业提供全方位的数据安全方案、专业的数据治理工具以及灵活的数据共享机制,并助力企业实现高效的数据利用。公司以专业的技术和优质的服务帮助企业充分挖掘大数据潜在价值并确保信息安全。

全部评论 (0)

还没有任何评论哟~

相关文章推荐

关键信息基础设施(RVA)安全保护要点分析

关键信息基础设施是国家的重要资产,《网络安全法》明确规定要对其实行重点保护。为落实法律要求,2017年7月10日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,划定了关键信...

《信息安全技术 关键信息基础设施安全保护要求》正式实施

2023年5月1日,《信息安全技术关键信息基础设施安全保护要求》(GB/T392042022)(以下简称《关基保护要求》)正式实施,作为《关键信息基础设施安全保护条例》(以下简称《关保条例》)发布后首...

21、关键信息基础设施安全保护条例

第一章总则 第一条为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。 第二条本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务...

《关键信息基础设施安全保护条例》解读

《条例》详细阐明了关键信息基础设施的范围、运营者应履⾏的职责以及对产品和服务的要求,对政府机关,国家⾏业主管或监管部门,能源、电信、交通等⾏业,公安机关以及个⼈进⾏要求,明确关键信息基础设施范围,规定...

关键信息基础设施保护条例_五个图表:读懂网络安全等级保护制度与关键信息基础设施保护制度...

作者:吴丹君律师张振君律师助理 2020年9月2日,网络安全等级保护和关键信息基础设施安全保护工作宣贯大会在京召开,大会对公网安〔2020〕1960号《贯彻落实网络安全等级保护制度和关键信息基础设施安...

国家涉及身份安全新规解读 | 《关键信息基础设施安全保护要求》

2022年11月7日,《信息安全技术关键信息基础设施安全保护要求》(GB/T392042022)国家标准发布。作为关键信息基础设施安全保护标准体系的构建基础,该标准将于2023年5月1日正式实施。

关键信息基础设施安全控制措施

《信息安全技术关键信息基础设施安全控制措施》 概括:关键信息基础设施运营者应通过资产识别、威胁识别、脆弱性识别、漏洞管理、已有安全措施识别和风险分析对关键信息基础设施进行风险识别;关键信息基础设施运营...

网络安全等保定级_差异:关键信息基础设施与网络安全等级保护2.0

2019年12月3日,全国信息安全标准化技术委员会以下简称信安标委秘书处在北京组织召开了国家标准《信息安全技术关键信息基础设施网络安全保护基本要求》报批稿以下简称《基本要求》试点工作启动会。

天津市网络安全等级保护和关键信息基础设施安全保护工作宣贯会成功举办

10月19日,天津市网络安全等级保护和关键信息基础设施安全保护工作宣贯会成功举办。 本次会议由天津市公安局网络安全保卫总队指导,天津市网络与信息安全信息通报中心主办。

关键信息基础设施安全相关材料汇总

文章目录 前言 一、法律 1《中华人民共和国国家安全法》 2《中华人民共和国网络安全法》 3《中华人民共和国密码法》 4《中华人民共和国数据安全法》 5《中华人民共和国个人信息保护法》 二、行政法规 ...