《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 長揚科技談《關(guān)保條例》一周年:關(guān)基運營者加強能力建設(shè) 國產(chǎn)化安全產(chǎn)品需求提升

長揚科技談《關(guān)保條例》一周年:關(guān)基運營者加強能力建設(shè) 國產(chǎn)化安全產(chǎn)品需求提升

2022-11-07
來源:安全419
關(guān)鍵詞: 關(guān)保條例 長揚科技

  我國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱《條例》)已正式施行一周年,關(guān)于《條例》推出并施行的價值和意義,,我們不再做過多的贅述,,需要指出的是,,盡管在2017年6月1日施行的《網(wǎng)絡(luò)安全法》中規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施提供者的相關(guān)義務(wù)和規(guī)則,,對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運營者的責任與義務(wù)也做出了特別規(guī)定,,但總體而言,,《網(wǎng)絡(luò)安全法》的規(guī)定較為原則,,缺乏細化的措施,。

  相比之下,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》規(guī)定的條款內(nèi)容則更加詳盡,、方法更具操行性,、安全保護標準更嚴格,而且對《網(wǎng)絡(luò)安全法》中規(guī)定安全檢測評估機制等進行了創(chuàng)新,,能夠更大程度實現(xiàn)互聯(lián)網(wǎng)領(lǐng)域中關(guān)鍵基礎(chǔ)設(shè)施的安全穩(wěn)定運行,。

  那么現(xiàn)在我們回過頭來看《條例》自2021年9月1日以來這一年,相關(guān)行業(yè),、企業(yè)都發(fā)生了哪些積極的變化呢,?而在具體落實方面又著重體現(xiàn)在哪里呢?圍繞著這些話題,,我們特別邀請到了專注于工業(yè)互聯(lián)網(wǎng)安全的企業(yè)——長揚科技的營銷咨詢部總經(jīng)理李莊來分享他們所觀察到的一些細節(jié),。

  《條例》促進國家整體

  網(wǎng)絡(luò)安全戰(zhàn)略的深化落地

  李莊表示,,通過《條例》的細則能夠明顯看到國家、行業(yè)監(jiān)管部門,、關(guān)基運營者,、安全支撐企業(yè)等多方力量對關(guān)基網(wǎng)絡(luò)安全的重視程度不斷提升,具體來看則主要體現(xiàn)在以下3點:

  ● 1,、突出了重點保護對象,。從等保到關(guān)保,保護對象從“全行業(yè)”重點突出了能源,、交通,、水利、公共通信和信息服務(wù),、金融,、公共服務(wù)、電子政務(wù),、國防科技工業(yè)等行業(yè),;尤其是明確了以上企業(yè)的工業(yè)控制系統(tǒng),作為影響國計民生的核心生產(chǎn)運行系統(tǒng),,都被定義為關(guān)鍵信息基礎(chǔ)設(shè)施(critical information infrastructure,CII)進行重點保護,。

  ● 2、明確了關(guān)基保護流程,。在網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上,,著眼分析識別、安全防護,、檢測評估,、監(jiān)測預警、主動防御,、事件處置6大環(huán)節(jié),,圍繞網(wǎng)絡(luò)安全風險全過程閉環(huán)管理,建立網(wǎng)絡(luò)安全整體框架和規(guī)定動作,。

  ● 3,、加強了主動防御體系?;诘缺?.0主張的“一個中心,、三重防護”的縱深防御思想,增加了“主動防御,、監(jiān)測預警,、事件處置”等要求,加強對于各類安全攻擊行為的監(jiān)測、分析,、處置,、溯源、協(xié)同,、共享,、通報、整改等指導要求,,實現(xiàn)了對關(guān)基安全的立體化安全保障能力,,實現(xiàn)了安全管理的閉環(huán)。

  從上述幾點可以看出,,這對于各行業(yè)的關(guān)基運營者在實際落地《條例》的過程中起到了指導,、明確、強化的作用,,同時也促進了國家整體網(wǎng)絡(luò)安全戰(zhàn)略的深化落地,。

  關(guān)基運營者加強監(jiān)管與安全能力建設(shè)

  國產(chǎn)化安全產(chǎn)品需求提升

  《條例》的施行,首先影響到的就是那些被劃定為關(guān)基單位的運營者們,,同時也是網(wǎng)絡(luò)安全行業(yè)的甲方用戶群體,在通過《條例》明確了自身的責任和義務(wù)之后,,結(jié)合其給出的關(guān)基保護重點建設(shè)方向,,那么相比此前,他們在行動上有著怎樣的變化呢,?

  首先是在管理方面,,《條例》施行后,集團型客戶明顯加強了對下屬生產(chǎn)企業(yè)的集中監(jiān)管,。

  在《條例》的第十二條明確“安全保護措施應(yīng)當與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃,、同步建設(shè)、同步使用”這一要求,,對于集團型客戶而言,,在頂層規(guī)劃方面就進行工控網(wǎng)絡(luò)安全總體設(shè)計,從而指導集團和下屬企業(yè)按照“統(tǒng)一規(guī)劃,、統(tǒng)一標準,、統(tǒng)一投資、統(tǒng)一建設(shè),、統(tǒng)一管理,、統(tǒng)一運維(運營)”的模式,著手進行工控網(wǎng)絡(luò)安全企業(yè)標準的設(shè)計編寫,,并通過構(gòu)建集團測工控安全態(tài)勢感知平臺,,做到“摸清家底、認清風險、找出漏洞,、及時通報,、持續(xù)整改”。

  其次是在建設(shè)方面,,關(guān)基運營者開始普遍關(guān)注和加強對內(nèi)部組織,、人員網(wǎng)絡(luò)安全能力。

  根據(jù)《條例》第十五條“按照國家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預案,,制定本單位應(yīng)急預案,,定期開展應(yīng)急演練,處置網(wǎng)絡(luò)安全事件”,、“組織網(wǎng)絡(luò)安全教育,、培訓”;第二十五條“保護工作部門應(yīng)當按照國家網(wǎng)絡(luò)安全事件應(yīng)急預案的要求,,建立健全本行業(yè),、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預案,定期組織應(yīng)急演練,;指導運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置,,并根據(jù)需要組織提供技術(shù)支持與協(xié)助”。

  因此,,關(guān)基運營者除了相關(guān)管理制度的進一步完善和加強的基礎(chǔ)上,,還特別注重強化自身的網(wǎng)絡(luò)安全能力提升工作,以適應(yīng)和滿足《條例》所提出的要求,,并以實戰(zhàn)化的角度出發(fā),,無論是自己獨立完成還是通過以采購專業(yè)第三方服務(wù)的方式來完成包括制定應(yīng)急預案、開展應(yīng)急演練等工作,,提升“以攻促防”以盡可能地保證在遭受網(wǎng)絡(luò)攻擊后,,能夠快速且有效地處置及相應(yīng),保障關(guān)基設(shè)施的正常運轉(zhuǎn),。

  最后是在采購方面,,用戶對于國產(chǎn)化的工控安全產(chǎn)品需求日益提升。

  根據(jù)《條例》第十九條提到的“運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),;采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,,應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”要求,結(jié)合今年2月份新版《網(wǎng)絡(luò)安全審查辦法》的正式施行,,共同確保了關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,、網(wǎng)絡(luò)安全和數(shù)據(jù)安全,從而更好地維護國家安全,。從行業(yè)角度看,,國家能源局,、水利部、國鐵集團等行業(yè)主管部門也在行業(yè)相關(guān)規(guī)劃中提出要進行“安全自主可控”國產(chǎn)化替代要求,。由于我國工業(yè)控制系統(tǒng)基礎(chǔ)弱,,大部分控制系統(tǒng)被國外壟斷,在國內(nèi)外日益嚴峻的大背景下,,工控行業(yè)需要逐漸改變過分依賴國外芯片,、操作系統(tǒng)的現(xiàn)狀,避免出現(xiàn)因為“卡脖子”而影響關(guān)基企業(yè)運行安全的事件,。

  對于由政策帶動的市場需求變化,,國內(nèi)的安全企業(yè)也在積極應(yīng)對,在溝通中我們了解到,,目前長揚工控安全防護產(chǎn)品已經(jīng)與業(yè)內(nèi)眾多生態(tài)伙伴實現(xiàn)產(chǎn)品兼容性互認證,,包括麒麟軟件、統(tǒng)信軟件,;飛騰,、龍芯、申威,、海光,、兆芯等CPU廠商;長城,、曙光,、寶德 、聯(lián)想,、浪潮等整機廠商。隨著時間的不斷推移,,我們有理由相信,,無論是從國家的政策要求角度還是從實際的安全角度,在技術(shù)上自主可控的國產(chǎn)化安全產(chǎn)品市場在未來必將迎來一個快速發(fā)展的時期,。

  《條例》落地過程中仍存在的

  四大現(xiàn)實問題與挑戰(zhàn)

  基于上述內(nèi)容我們可以看出,,《條例》施行一年以來,對行業(yè)的促進作用已經(jīng)顯現(xiàn),,也推動了關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)安全建設(shè)水平的提升,,但同時,我們也應(yīng)看到這期間所仍然存在的一些問題,。針對這一話題,,李莊表示,關(guān)鍵信息基礎(chǔ)設(shè)施是國家重要的戰(zhàn)略資源,,關(guān)系國家安全,、國計民生和公共利益,具有基礎(chǔ)性、支撐性,、全局性作用,,保護關(guān)鍵信息基礎(chǔ)設(shè)施安全是國家網(wǎng)絡(luò)安全工作的重中之重。在具體落地工作中,,仍存在以下現(xiàn)實問題和挑戰(zhàn):

  ● 1,、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護法律仍需完善。關(guān)基保護要求基于等保高于等保,,對于關(guān)基運營者來說兩者要求都要滿足,,但《條例》細則中的《CII安全保護要求》和《CII安全檢查評估指南》仍未發(fā)布,運營者進行關(guān)基保護落地缺少細化依據(jù),;

  ● 2,、關(guān)基涉及的行業(yè)范圍廣,業(yè)務(wù)眾多,,復雜度高,。關(guān)鍵信息基礎(chǔ)設(shè)施涵蓋各行業(yè)的業(yè)務(wù)系統(tǒng)眾多且復雜度高。目前在各行業(yè)關(guān)基業(yè)務(wù)識別認定方面,,缺少統(tǒng)一的行業(yè)認定標準和規(guī)范指引,;

  ● 3、關(guān)基保護工作開展時間相對較短,,運營者自身各方意識有待加強,。關(guān)基保護涉及到從“縱深防御”到“動態(tài)防御、主動防御,、聯(lián)防聯(lián)控”的轉(zhuǎn)變,,運營者自身的安全意識認知、人員技術(shù)能力,、主動監(jiān)測能力,、安全分析水平、事件處置等軟能力方面仍需要進一步加強,。

  ● 4,、安全方案和產(chǎn)品“實戰(zhàn)”能力不強。關(guān)基運營者選用的安全方案和產(chǎn)品缺少在“以攻促防”場景下的實戰(zhàn)檢驗能力,,沒有發(fā)揮真正的防護作用,,這一點主要體現(xiàn)在我國一年一度的大型攻防演練活動中,依然會有大量的相關(guān)企業(yè)被攻陷,,暴露出嚴重的安全隱患,。

  在我們看來,上述這些問題和挑戰(zhàn)也并非是通過一個制度在短時間內(nèi)就能完全扭轉(zhuǎn)的,,隨著相關(guān)法律法規(guī)制度的不斷完善和細化,,以及我國整體網(wǎng)絡(luò)安全能力的逐步提升,,這些問題和挑戰(zhàn)都將會一一化解。

  滿足《條例》要求需重點關(guān)注六方面

  從關(guān)鍵信息基礎(chǔ)設(shè)施安全保護執(zhí)行落地的六個階段具體要求來看,,“分析識別,、安全防護、檢測評估,、監(jiān)測預警,、主動防御、事件處置”是基于等保2.0“安全技術(shù)+安全管理”的增強要求,。

  那么如何既滿足等保合規(guī)要求,,又符合關(guān)基保護要求呢?李莊在這里也為關(guān)基行業(yè)的運營者(企業(yè))提出自己的建議——需重點關(guān)注以下6個方面:

  ●1,、分析識別:運營者按照相關(guān)規(guī)定開展關(guān)鍵信息基礎(chǔ)設(shè)施分析和識別活動,,圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),開展業(yè)務(wù)依賴性識別,、關(guān)鍵資產(chǎn)識別,、風險識別等活動。本環(huán)節(jié)是開展安全防護,、檢測評估,、監(jiān)測預警、主動防御,、事件處置環(huán)節(jié)工作的基礎(chǔ),。

  ● 2、安全防護:運營者根據(jù)已識別的關(guān)鍵業(yè)務(wù)和資產(chǎn),、安全風險,,實施安全管理制度、安全管理機構(gòu),、安全管理人員,、安全通信網(wǎng)絡(luò)、安全計算環(huán)境,、安全建設(shè)管理,、安全運維管理等方面的安全控制措施,,確保關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全,。本環(huán)節(jié)在識別關(guān)鍵信息基礎(chǔ)設(shè)施安全風險的基礎(chǔ)上制定安全防護措施。

  ● 3,、檢測評估:為檢驗安全防護措施的有效性,,發(fā)現(xiàn)網(wǎng)絡(luò)安全風險隱患,運營者制定相應(yīng)的檢測評估制度,,確定檢測評估的流程及內(nèi)容等要素,,并分析潛在安全風險可能引起的安全事件,。

  ● 4、 監(jiān)測預警:運營者制定并實施網(wǎng)絡(luò)安全監(jiān)測預警和信息通報制度,,針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅,,提前或及時發(fā)出安全警示。建立威脅情報和信息共享機制,,落實相關(guān)措施,,提高關(guān)鍵信息基礎(chǔ)設(shè)施主動防御能力。

  ● 5,、主動防御:運營者以對安全行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ),,主動采取誘捕、溯源,、干擾和阻斷等措施,,及時精準預警,實時構(gòu)建彈性防御體系,,避免,、轉(zhuǎn)移、降低關(guān)鍵信息基礎(chǔ)設(shè)施面臨的風險的安全措施,。提升對網(wǎng)絡(luò)威脅與攻擊行為的認知和應(yīng)對能力,。

  ● 6、事件處置:對網(wǎng)絡(luò)安全事件進行報告和處置,,并根據(jù)檢測評估,、監(jiān)測預警環(huán)節(jié)發(fā)現(xiàn)的問題,運營者制定并實施適當?shù)膽?yīng)對措施,,恢復由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù),。

  基于上述內(nèi)容,運營者需要構(gòu)建一套持續(xù),、動態(tài)的風險管理方法,,實現(xiàn)從關(guān)基認定識別、主動防御,、到安全風險全過程監(jiān)測,、分析、處置,、改進的運營管理平臺和保障體系建設(shè),,以應(yīng)對動態(tài)的網(wǎng)絡(luò)安全威脅,將網(wǎng)絡(luò)安全風險控制在可接受的范圍,,確保企業(yè)自身關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)穩(wěn)定,、持續(xù)運行。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。