《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 專家解讀:《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》施行一周年 行業(yè)發(fā)生了哪些變化,?

專家解讀:《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》施行一周年 行業(yè)發(fā)生了哪些變化?

2022-11-09
來(lái)源:安全419

  《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱“《條例》”)正式發(fā)布,,并確定于2021年9月1日起施行,。

  在《條例》全文正式發(fā)布的當(dāng)日,,我們?cè)鴮?duì)其核心要點(diǎn)進(jìn)行過(guò)分析和解讀,在這里先快速回顧一下,。一是《條例》不僅明確了關(guān)鍵信息基礎(chǔ)設(shè)施(以下簡(jiǎn)稱“關(guān)基”)的定義,,還明確了認(rèn)定的主體和認(rèn)定方式;二是關(guān)基的主管部門及其相應(yīng)的職責(zé)被明確,,其中包括工信部,、網(wǎng)信辦、公安部等部門都在其中,;三是明確了關(guān)基運(yùn)營(yíng)者的合規(guī)制度建設(shè)義務(wù)和主體責(zé)任,,明確要建立健全網(wǎng)絡(luò)安全、數(shù)據(jù)安全,、個(gè)人信息等相關(guān)保護(hù)制度,;四是針對(duì)具體的漏洞挖掘、滲透測(cè)試等活動(dòng)提出了特殊要求和規(guī)定,。

  如今,,距離《條例》正式施行剛好滿一年,那么在這一年中,,《條例》對(duì)于網(wǎng)絡(luò)安全行業(yè)的促進(jìn)都有哪些體現(xiàn),?對(duì)于用戶側(cè)有著什么樣的影響?在《條例》施行的前后,,在安全建設(shè)方面的關(guān)注點(diǎn)有了哪些變化呢,?帶著這種種問(wèn)題,我們特別連線了兩家我國(guó)在相關(guān)領(lǐng)域安全建設(shè)中的佼佼者——威努特與天地和興兩家企業(yè),,看看他們對(duì)《條例》推出前后的一些變化是如何看待的,。

  監(jiān)管力度持續(xù)加強(qiáng)

  關(guān)基保護(hù)建設(shè)成為“一把手工程”

  威努特認(rèn)為,《條例》提出一個(gè)總綱,,明確了界定保護(hù)范圍及原則目標(biāo),,對(duì)于用戶而言更加清晰;尤其是針對(duì)能源,、電信等關(guān)鍵信息基礎(chǔ)設(shè)施,,明確確立為國(guó)家優(yōu)先保障重點(diǎn),。其次,,《條例》設(shè)立了監(jiān)管機(jī)制及認(rèn)定機(jī)制,,同時(shí)明確了關(guān)基運(yùn)營(yíng)者的責(zé)任和義務(wù),既壓實(shí)了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的主體責(zé)任,,同時(shí)也規(guī)定了網(wǎng)信部門,、公安機(jī)關(guān)等機(jī)構(gòu)的責(zé)任,進(jìn)一步明確網(wǎng)絡(luò)安全檢測(cè)的常態(tài)化,。這些方面的明確,,有利于用戶更清晰地了解關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的建設(shè)、維護(hù),、檢查等全面運(yùn)行模式,,也了解各方應(yīng)承擔(dān)的法律責(zé)任。

  談及《條例》施行這一年來(lái),,對(duì)我國(guó)網(wǎng)絡(luò)安全行業(yè)的促進(jìn)這一話題時(shí),,威努特從政策、意識(shí)以及監(jiān)管三個(gè)層面分享了他們的觀點(diǎn),。

  //在政策層面,,在政策層面,《條例》的發(fā)布讓關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)做到了有法可依,,并且隨著“三法一條例”的陸續(xù)出臺(tái)實(shí)施,,我國(guó)整體網(wǎng)絡(luò)安全領(lǐng)域法律法規(guī)的體系逐步地完善,條例中,,涉及國(guó)家基礎(chǔ)信息,、重要數(shù)據(jù)、個(gè)人信息,、違法信息的治理都給予了極高的關(guān)注,,不同行業(yè)主管單位也在積極構(gòu)建企業(yè)自身的安全體系;

  //在意識(shí)層面,,部分領(lǐng)域,、行業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)進(jìn)一步的提升,主管單位負(fù)責(zé)人的網(wǎng)絡(luò)安全責(zé)任感也進(jìn)一步得到了提升,,網(wǎng)絡(luò)安全人才的結(jié)構(gòu)也在進(jìn)一步優(yōu)化,;

  //在監(jiān)管層面,關(guān)鍵信息基礎(chǔ)設(shè)施主管單位對(duì)于企業(yè)安全防護(hù)能力建設(shè)的監(jiān)督檢查,、對(duì)企業(yè)網(wǎng)絡(luò)存在的漏洞,、風(fēng)險(xiǎn)進(jìn)一步進(jìn)行了多環(huán)節(jié),多角度的監(jiān)測(cè),,監(jiān)管力度在持續(xù)加強(qiáng),;

  針對(duì)同樣的話題,天地和興的專家則從需求側(cè)和供給側(cè)兩個(gè)角度進(jìn)行了分析。

  首先是需求側(cè)方面,,由于《條例》明確了關(guān)基運(yùn)營(yíng)者如因防護(hù)不到位將受到嚴(yán)厲懲罰,,可以說(shuō)徹底扭轉(zhuǎn)了不少關(guān)基運(yùn)營(yíng)者在相關(guān)安全建設(shè)方面抱有70分萬(wàn)歲的心態(tài),而是要轉(zhuǎn)而以實(shí)戰(zhàn)的心態(tài)去開(kāi)展網(wǎng)絡(luò)安全建設(shè)和運(yùn)營(yíng),,同時(shí),,《條例》的施行,更是讓關(guān)基相關(guān)安全建設(shè)上升為“一把手”工程,,促進(jìn)了關(guān)基運(yùn)營(yíng)者在重視程度以及資源投入方面相比此前都有了大幅的提升,。

  同此前相比,用戶在預(yù)算以及組織層面不再聚焦于少數(shù)幾個(gè)系統(tǒng)的等保測(cè)評(píng)相關(guān)工作,,而是更側(cè)重于主動(dòng)防御,、聯(lián)防聯(lián)控的網(wǎng)絡(luò)安全體系,而且在這一過(guò)程中,,更重要的是在于關(guān)基運(yùn)營(yíng)者在網(wǎng)絡(luò)安全建設(shè)方面的思路發(fā)生了轉(zhuǎn)變,,從以往的重建設(shè)輕運(yùn)營(yíng)轉(zhuǎn)變?yōu)榻ㄔO(shè)與運(yùn)營(yíng)同等重要,需要從規(guī)劃設(shè)計(jì),、建設(shè)實(shí)施,、運(yùn)營(yíng)優(yōu)化來(lái)整體考慮,真正落實(shí)了《網(wǎng)絡(luò)安全法》和《條例》的三同步要求,。

  具體到產(chǎn)品,、解決方案的需求層面,也伴隨著發(fā)生了不小的變化,,早就被認(rèn)定為難以滿足需求的“三大件”時(shí)代徹底遠(yuǎn)去,,SIEM和SOC已經(jīng)成為了標(biāo)配,零信任,、SASE等新興技術(shù)也在該領(lǐng)域快速發(fā)展,,同時(shí)包括5G安全、AI安全,、虛擬化安全等多個(gè)場(chǎng)景的安全建設(shè)也都被納入到關(guān)基運(yùn)營(yíng)者需重點(diǎn)考慮的范圍,。

  其次是供給側(cè)方面,《條例》的落地使得原來(lái)以政策合規(guī)為主的網(wǎng)絡(luò)安全產(chǎn)品服務(wù)市場(chǎng),,逐步轉(zhuǎn)向在滿足等保合規(guī)的基礎(chǔ)上能夠具備應(yīng)對(duì)網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻擊的安全技術(shù)產(chǎn)品,,既考驗(yàn)著供給側(cè)的產(chǎn)品技術(shù)能力,也考驗(yàn)著其綜合服務(wù)能力,。

  關(guān)基行業(yè)領(lǐng)域相關(guān)執(zhí)行標(biāo)準(zhǔn)仍有欠缺

  風(fēng)險(xiǎn)評(píng)估及應(yīng)急演練應(yīng)當(dāng)常態(tài)化

  通過(guò)上述內(nèi)容我們可以看出,,《條例》推出后,對(duì)于整體行業(yè)以及關(guān)基運(yùn)營(yíng)者在相關(guān)防護(hù)體系的建設(shè)思路上,、實(shí)際行動(dòng)上都有了很大的促進(jìn),,比如行業(yè)客戶對(duì)于網(wǎng)絡(luò)安全建設(shè)越來(lái)越關(guān)注,,相關(guān)的主管部門越來(lái)越重視相關(guān)資金投入,尤其是安全防護(hù)能力建設(shè)方面,,從安全設(shè)備部署查漏補(bǔ)缺到整體安全解決方案設(shè)計(jì),。但同時(shí),我們也看到在具體落實(shí)層面仍存在有待加強(qiáng)之處,。

  天地和興認(rèn)為,,由于受到企業(yè)自身數(shù)字化轉(zhuǎn)型進(jìn)度、安全建設(shè)能力的不平衡影響,,再加上《條例》的基本要求仍然不夠細(xì)化,且沒(méi)有明確針對(duì)不同行業(yè)的執(zhí)行標(biāo)準(zhǔn),,導(dǎo)致《條例》在執(zhí)行,、落地過(guò)程中,企業(yè)對(duì)于如何執(zhí)行以及執(zhí)行的重點(diǎn)方面缺乏一致的認(rèn)知,,比如哪些企業(yè)是屬于關(guān)基保護(hù)的范疇,?保護(hù)到什么程度?這些在執(zhí)行層面的細(xì)節(jié)部分如果不夠明確,,那么企業(yè)在執(zhí)行過(guò)程中就會(huì)存在一定的偏差,,而推進(jìn)的進(jìn)度以及保護(hù)的力度方面也會(huì)出現(xiàn)不一致的情況。

  關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)領(lǐng)域尚欠缺執(zhí)行標(biāo)準(zhǔn)這一點(diǎn),,威努特也表示認(rèn)同,,并同時(shí)針對(duì)用戶側(cè)方面體現(xiàn)出的不足提出了相關(guān)的改善建議,具體有如下3點(diǎn):

  ● 1. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是開(kāi)展網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ),,尤其是涉及行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施,,要有優(yōu)先開(kāi)展安全風(fēng)險(xiǎn)評(píng)估,并將風(fēng)險(xiǎn)評(píng)估作為一個(gè)常態(tài)化的動(dòng)作,,每年至少一次風(fēng)險(xiǎn)評(píng)估,。

  ● 2. 常態(tài)化進(jìn)行行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件應(yīng)急演練,保證一旦出現(xiàn)網(wǎng)絡(luò)安全事件,,能夠有條不紊的開(kāi)展應(yīng)急響應(yīng)工作,。

  ● 3.  行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)重視對(duì)企業(yè)自身資產(chǎn)的梳理,識(shí)別企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的類別并形成關(guān)鍵信息基礎(chǔ)設(shè)施資產(chǎn)列表,,通過(guò)常態(tài)化的風(fēng)險(xiǎn)評(píng)估,,實(shí)時(shí)掌握企業(yè)自身資產(chǎn)的風(fēng)險(xiǎn)情況。

  關(guān)基運(yùn)營(yíng)者不應(yīng)止步于“合規(guī)”

  要從實(shí)戰(zhàn)角度出發(fā)做好安全建設(shè)

  作為網(wǎng)絡(luò)安全市場(chǎng)的重要推動(dòng)力,,“合規(guī)”是一個(gè)不能繞開(kāi)的話題,,每當(dāng)新的法律法規(guī)等相關(guān)政策的出臺(tái),都會(huì)引起業(yè)內(nèi)的廣泛討論,,那么在《條例》施行后,,從合規(guī)的角度看,,關(guān)基運(yùn)營(yíng)者最應(yīng)該關(guān)注哪些方面呢?

  面對(duì)這個(gè)話題,,天地和興指出,,關(guān)基運(yùn)營(yíng)者應(yīng)能夠確保關(guān)基保護(hù)閉環(huán),從識(shí)別和梳理自身的重要業(yè)務(wù)和資產(chǎn)開(kāi)始,,梳理可能存在的攻擊路徑,,以實(shí)戰(zhàn)的角度去部署產(chǎn)品技術(shù)、落實(shí)管理制度和安全策略,,并加強(qiáng)監(jiān)測(cè)預(yù)警和檢測(cè)評(píng)估工作,,能夠及時(shí)的發(fā)現(xiàn)存在的隱患和可能的攻擊,同時(shí)能夠針對(duì)已經(jīng)發(fā)生的攻擊或安全事件能夠及時(shí)響應(yīng)和處置,。

  威努特則進(jìn)一步指出,,對(duì)于關(guān)基運(yùn)營(yíng)者而言,不應(yīng)僅僅止步于“合規(guī)”,,合規(guī)僅僅是基礎(chǔ)能力基線,,更應(yīng)該關(guān)注在合規(guī)的基礎(chǔ)上,進(jìn)一步強(qiáng)化企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)預(yù)測(cè)和研判能力,、網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)和安全運(yùn)營(yíng)能力,。尤其是態(tài)勢(shì)感知的建設(shè),是非常關(guān)鍵的,。最終關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)以防范安全威脅,、有效降低安全風(fēng)險(xiǎn)、保障業(yè)務(wù)的安全持續(xù),、穩(wěn)定運(yùn)行,,實(shí)現(xiàn)閉環(huán)管理動(dòng)態(tài)化、能力迭代自動(dòng)化,、安全能力流程化,、安全運(yùn)營(yíng)一體化。

  Gartner此前曾表示,,許多國(guó)家的政府已經(jīng)意識(shí)到,,幾十年來(lái),國(guó)家的關(guān)鍵信息基礎(chǔ)設(shè)施一直是一個(gè)未公開(kāi)的戰(zhàn)場(chǎng),,因此大家都紛紛采取行動(dòng),,要求對(duì)支撐這些資產(chǎn)的基礎(chǔ)系統(tǒng)實(shí)施更多的安全控制措施。在具體行動(dòng)上,,關(guān)鍵信息基礎(chǔ)設(shè)施的安全已經(jīng)成為世界各國(guó)政府首要關(guān)切的重點(diǎn),,美國(guó)、英國(guó),、歐盟,、加拿大和澳大利亞等國(guó)家都成立了“關(guān)鍵信息基礎(chǔ)設(shè)施部門”,,涵蓋通信、運(yùn)輸,、能源,、水利、醫(yī)療保健和公共設(shè)施等領(lǐng)域,。在這一形勢(shì)之下,,《條例》的施行對(duì)于我國(guó)整體網(wǎng)絡(luò)安全乃至國(guó)家安全都有著重要的意義和價(jià)值,通過(guò)上述內(nèi)容我們可以看出,,這一年來(lái),,它已經(jīng)在多個(gè)行業(yè)、領(lǐng)域產(chǎn)生了積極的影響,,我們也相信隨著后續(xù)相關(guān)政策的不斷細(xì)化,、完善,將進(jìn)一步在保障關(guān)鍵信息基礎(chǔ)設(shè)施安全方面發(fā)揮更大作用,,為筑牢國(guó)家網(wǎng)絡(luò)安全屏障提供有力支撐。



更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。