随着信息技术的快速发展和应用,网络设施、信息系统的重要性也越来越突出,但与此同时,网络空间内的攻击破坏、数据盗窃等行为也日益增多。针对当前严峻的网络空间安全形势,运营者如何更好地构建一体化关键信息基础设施网络安全保障体系?北京大学信息科学技术学院教授、网络与信息安全实验室主任陈钟接受了人民网记者的相关采访。
陈钟: 《条例》明确了关键信息基础设施的工作要求、关键信息基础设施认定方法和运营者的责任义务,并提出了保障促进措施。
其中,《条例》第六条规定:“运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。”因此,运营者要采取多方面措施,并在网络安全等级保护的基础上实施对关键信息基础设施的重点保护。
总的来说,我认为运营者应该从以下三方面构建一体化的安全保障体系:一是抓好管理,建立健全关键信息基础设施安全管理体系,围绕制度、组织、人员、建设、运维等落实安全管理措施;二是用好技术,建立健全基于安全管理中心和多重保护措施的安全技术防护体系,建设风险识别、安全防护、检测评估、监测预警、事件处置等多种安全能力;三是做好技管结合,强化安全“三同步”原则,确保人力、财力、物力投入,构建一体化关键信息基础设施网络安全保障体系。
陈钟:《条例》进一步强化和明确了安全管理要求,如建立专门安全管理机构、主要负责人责任制、安全事件报告制等。关键信息基础设施运营者应建立健全关键信息基础设施安全管理体系,并在如下方面来落实和强化有效的安全管理措施。
一是重视安全管理体系建设。运营者应当参照法律规范和安全管理体系相关标准,按照计划、实施、检查、改进的管理周期,建设运用风险管理的思想进行安全管理的体系,并围绕安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面制定具体的安全管理目标和控制措施。
二是强化重要人员职责及管理。在常规的落实人员录用、人员离岗、安全意识教育和培训、人员访问管理方面安全要求的基础上,《条例》强化了主要负责人和关键岗位人员的要求。此外,落实《条例》要求,应对主要负责人和关键岗位人员进行安全背景审查,即应当从政治思想、工作经历、求职动机、个人作风、教育背景、专业技能、人员素质等方面对主要负责人和关键岗位人员加强安全审查,避免引入重大安全隐患。
三是强化安全管理机构作用。在现有网络安全等级保护工作组织领导框架上,《条例》要求运营者建立专门的安全管理机构,并赋予其在关键信息基础设施安全保护工作中的职责。专门的安全管理机构的主要职责应包括建立制度、制定策略和方案、认定关键岗位、开展能力建设、执行安全检测和评估等。专门的安全管理机构的建立和职责赋予,应使其切实承担起授权和审批、沟通和合作、审核和检查以及对上汇报和配合检查等工作,确保关键信息基础设施在设计、建设、运行、维护等阶段落实各项安全要求。
四是强化安全监测检查和评估。网络安全不会静止不变,也不是一劳永逸,而是一个动态对抗的过程。为加强运营者的安全建设迭代升级能力和安全事件应急处置能力,《条例》在网络安全法的基础之上再次强调了安全监测、应急演练、安全检查检测和风险评估的重要性。因此,运营者不仅要进一步加强对风险的认识,还要主动定期开展检测和评估工作,对发现的安全问题及时整改。同时,还要重视应急管理,按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件。
五是强化重要安全制度落地。除了制定常规的安全策略、管理制度、操作规程、记录表单等安全管理制度外,运营者应按照《条例》的细化要求,建立健全网络安全管理、评价考核制度,针对关键信息基础设施的实际运营情况,进一步细化制定个人信息和数据安全保护、网络产品和服务采购管理、网络安全事件应急处置、安全保密管理等方面的制度。此外,运营者还应建立网络安全事件和重要事项报告制度,保证及时上报,绝不瞒报、漏报。
陈钟:我认为第一是重视“一个中心三重防护”。在安全物理环境的基础上,针对安全管理中心和计算环境安全、区域边界安全、通信网络安全进行高安全强度的方案设计,建立以安全管理中心为核心,以区域边界安全、通信网络安全为基础,以计算环境安全为支撑的网络安全保障体系,形成系统的、立体的、动态的安全保障能力。
第二是强化“安全可信”技术落地。落实《条例》要求,运营者应强化安全可信技术供给能力,推动关键信息基础设施安全防护技术创新,确保所使用安全机制和技术的可靠性、透明性和可信验证能力,加强对所采用产品和服务的安全性、来源多样性和供应渠道可靠性的审查。
第三是强化“实战化”能力建设。运营者应加强重视网络安全保障体系的实际防护能力,即网络安全逐渐走向实战化。从防护能力建设角度看,运营者应从顶层设计出发,采取“动态防御、主动防御、纵深防御”的网络安全技术体系建设策略,分析实际将要面临的威胁和潜在攻击,部署多层次、立体化安全防护措施,强化关键信息基础设施在实战中的威胁应对能力和安全防护能力,形成“整体防控、精准防控、联防联控”的安全防护体系。
第四是强化“智能化”安全防护能力。运营者可以采用三个层次的安全技术措施,一是采用防火墙、安全网关、网闸、恶意代码防范等传统网络环境中的安全防护技术,通过网络隔离、访问控制、数据备份等措施实施基础的安全保护。二是针对云计算、移动互联网、物联网、大数据等新型网络环境带来的威胁,分析相关的网络特性、协议格式、平台架构等因素,采用相适应的安全保护措施。三是应积极发展基于大数据、区块链和人工智能的安全防护技术,对各类流量数据、日志数据、报警数据进行网络安全大数据挖掘,以及区块链溯源和人工智能分析,提高恶意行为判别、安全事件即时监测、安全预警和态势感知等智能化的安全防护能力。
五是强化“以数据为中心”的安全落地。《条例》第六条和第十四条均提到了加强对数据和个人信息安全保护的重要性,要求运营者履行个人信息和数据安全保护责任。因此,运营者应当遵循数据安全法、个人信息保护法和《条例》要求,“以数据为中心”,从发现、管理、保护和监测等维度构建保护能力,即构建重要数据和个人信息的自动发现、分级分类识别能力;数据和个人信息的访问、修改、阻断等管理能力;阻止数据和个人信息泄露、非授权使用的保护能力;数据和个人信息异常使用行为发现的监测能力。
