一場突如其來的新冠疫情�,深刻改變了各國民眾的生活方式,在這場全球性的公共衛(wèi)生危機(jī)中�����,人們的生活、工作都不同程度地從線下轉(zhuǎn)為線上����,從現(xiàn)實(shí)世界向網(wǎng)絡(luò)世界轉(zhuǎn)換。與此同時(shí)��,網(wǎng)絡(luò)空間當(dāng)中的關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢也愈趨嚴(yán)峻復(fù)雜����,持續(xù)性威脅、網(wǎng)絡(luò)勒索���、數(shù)據(jù)竊取等事件頻發(fā),危害經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行��。
為保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全��,維護(hù)國家網(wǎng)絡(luò)安全�����、網(wǎng)絡(luò)空間主權(quán)和國家安全����、保障經(jīng)濟(jì)社會(huì)健康發(fā)展����、維護(hù)公共利益和公民合法權(quán)益�����,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《條例》)應(yīng)運(yùn)而生�,并于7月30日正式發(fā)布,于2021年9月1日開始正式施行��,引發(fā)業(yè)內(nèi)集中關(guān)注����。廣電計(jì)量信息化服務(wù)專家以一問一答的形式,為大家詳細(xì)解讀《條例》傳遞出的重要信息:
Q1:什么是關(guān)鍵信息基礎(chǔ)設(shè)施��?
公共通信和信息服務(wù)���、能源���、交通、水利�、金融����、公共服務(wù)��、電子政務(wù)�����、國防科技工業(yè)等重要行業(yè)和領(lǐng)域��,以及其他一旦遭到破壞��、喪失功能或者數(shù)據(jù)泄露�,可能嚴(yán)重危害國家安全、國計(jì)民生����、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等�。
Q2:關(guān)鍵信息基礎(chǔ)設(shè)施包括什么�����?
1. 公共通信和信息服務(wù):電信網(wǎng)�、廣播電視網(wǎng)����、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)����;提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位���;廣播電臺(tái)��、電視臺(tái)�、通信社等新聞單位���。
2. 公共服務(wù):衛(wèi)生醫(yī)療����、教育�、社保、環(huán)境保護(hù)���、公用事業(yè)�����。
3. 電子政務(wù):政府機(jī)關(guān)����。
4. 其他重要信息系統(tǒng):遭到破壞或者數(shù)據(jù)泄露,可能危害國家安全��、國計(jì)民生�����、公共利益的重要網(wǎng)絡(luò)設(shè)施���、信息系統(tǒng)�����,例如大型裝備�、化工�、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位。
a. 網(wǎng)站類�,如縣級(含)以上黨政機(jī)關(guān)網(wǎng)站,重點(diǎn)新聞網(wǎng)站或者日均訪問超過100萬人次的網(wǎng)站等�;
b. 平臺(tái)類����,如注冊用戶數(shù)超過 1000 萬��,或活躍用戶(每日至少登陸一次)數(shù)超過100萬��,或日均成交訂單額或交易額超過 1000 萬元的網(wǎng)絡(luò)服務(wù)平臺(tái)可定為關(guān)鍵信息基礎(chǔ)設(shè)施���;
c. 生產(chǎn)業(yè)務(wù)類,如地市級以上政府機(jī)關(guān)面向公眾服務(wù)的業(yè)務(wù)系統(tǒng)���,或與醫(yī)療���、安防、消防����、應(yīng)急指揮、生產(chǎn)調(diào)度���、交通指揮等相關(guān)的城市管理系統(tǒng)�����,或規(guī)模超過 1500 個(gè)標(biāo)準(zhǔn)機(jī)架的數(shù)據(jù)中心等�����。
Q3:政府部門的職責(zé)及分工是什么�����?
1. 國家網(wǎng)信部門:負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作��。
2. 國務(wù)院公安部門:負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作���。
3. 國務(wù)院電信主管部門及其他有關(guān)部門:依照本條例和有關(guān)法律��、行政法規(guī)的規(guī)定��,在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作���。
4. 省級人民政府有關(guān)部門:依據(jù)各自職責(zé)對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。
Q4:為什么要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)�?
1. 網(wǎng)絡(luò)空間軍備競賽愈演愈烈,多國關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)面臨重大風(fēng)險(xiǎn)��。世界主要國家和地區(qū)將關(guān)鍵基礎(chǔ)設(shè)施立法作為網(wǎng)絡(luò)安全立法中的重中之重�����,并將其作為國家網(wǎng)絡(luò)安全戰(zhàn)略的核心內(nèi)容。
美國:從克林頓政府時(shí)期開始加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)�,各屆政府不斷接力優(yōu)化��,逐漸演變形成一項(xiàng)綜合戰(zhàn)略���。2017年特朗普發(fā)布《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全總統(tǒng)行政令》����,2021年7月拜登簽發(fā)《關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)空間安全的國家安全備忘錄》�����,均就加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)提出相關(guān)要求和措施����。
俄羅斯:為保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施不僅頒布專門法律,同時(shí)在《刑法》和《刑事訴訟法》中增加“非法影響俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施”的章節(jié)�����,并配套修改了相關(guān)法律的個(gè)別條款�����。2021年7月普京簽署了新版《俄羅斯聯(lián)邦國家安全戰(zhàn)略》,以加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)����。
歐盟:在最新的《歐盟安全聯(lián)盟戰(zhàn)略》中將增強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)水平和恢復(fù)能力作為未來五年網(wǎng)絡(luò)安全領(lǐng)域的核心工作。
2. 全球范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈攻擊��、勒索攻擊等安全事件日益增多����,不斷動(dòng)搖經(jīng)濟(jì)社會(huì)運(yùn)行的根基。數(shù)據(jù)顯示�����,2020年全球勒索攻擊次數(shù)同比增長150%以上���。世界主要國家和地區(qū)紛紛把關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)上升到維護(hù)國家安全的高度����。
Q5:從哪些方面強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者主體責(zé)任�����?
1. 崗位建設(shè)方面,要設(shè)置專門安全管理部門���,履行信息安全保護(hù)職責(zé)�,參與本單位與網(wǎng)絡(luò)安全和信息化有關(guān)的決策�����,并對機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查�����。
2. 責(zé)任要求方面����,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者實(shí)行“一把手負(fù)責(zé)制”����,明確運(yùn)營者主要負(fù)責(zé)人負(fù)總責(zé),保障人財(cái)物投入�����。
3. 人員招聘方面�����,不得雇傭受到刑事處罰的人員從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作。因?yàn)槲:﹃P(guān)鍵信息基礎(chǔ)設(shè)施安全的相關(guān)人員�,5年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作。
4. 安全檢測和評估方面����,定期開展安全檢測和風(fēng)險(xiǎn)評估,履行安全事件和威脅報(bào)告義務(wù)��。
5. 安全合規(guī)方面�����,落實(shí)網(wǎng)絡(luò)安全審查要求�����。
6. 安全監(jiān)控方面����,強(qiáng)化監(jiān)測預(yù)警和信息共享等。
Q6:關(guān)鍵信息基礎(chǔ)設(shè)施與安全保護(hù)措施該如何關(guān)聯(lián)�����?
同步規(guī)劃、同步建設(shè)���、同步使用���。強(qiáng)調(diào)業(yè)務(wù)系統(tǒng)和安全建設(shè)必須同步進(jìn)行,杜絕“重業(yè)務(wù)���,輕安全”的現(xiàn)象��,強(qiáng)調(diào)安全措施在安全運(yùn)維中迭代���,杜絕“重建設(shè)����,輕運(yùn)維”的現(xiàn)象。
Q7:針對“漏洞探測����、滲透性測試”等活動(dòng)有哪些特殊規(guī)定?
《條例》第三十一條規(guī)定:“未經(jīng)國家網(wǎng)信部門���、國務(wù)院公安部門批準(zhǔn)或者保護(hù)工作部門����、運(yùn)營者授權(quán),任何個(gè)人和組織不得對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施漏洞探測��、滲透性測試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動(dòng)�����。對基礎(chǔ)電信網(wǎng)絡(luò)實(shí)施漏洞探測���、滲透性測試等活動(dòng)�,應(yīng)當(dāng)事先向國務(wù)院電信主管部門報(bào)告�����。”
《條例》相比過去所有信息安全法律����,首次提出可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的具體活動(dòng),包括“漏洞探測����、滲透性測試”。此類活動(dòng)可能是不法分子針對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行的漏洞探測,一旦被不法分子發(fā)現(xiàn)安全漏洞并掌握�����,則會(huì)給國家安全���、國計(jì)民生�、公共利益帶來威脅����。因此《條例》直接規(guī)定禁止未經(jīng)授權(quán)或批準(zhǔn)的此類行為。
結(jié)合《條例》的相關(guān)要求�,廣電計(jì)量可提供如下技術(shù)服務(wù),點(diǎn)我咨詢:https://uao.so/XMNjX
信息安全管理體系建設(shè)服務(wù)
廣電計(jì)量依據(jù)安全等級保護(hù)2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求�,協(xié)助客戶搭建信息安全管理體系:
1. 安全管理人員
人員錄用,人員離崗�,安全意識(shí)教育和培訓(xùn)�����,外部人員訪問管理
2. 安全建設(shè)管理
安全方案設(shè)計(jì)�����、產(chǎn)品采購和使用、自行軟件開發(fā)���、外包軟件開發(fā)�、工程實(shí)施���、測試驗(yàn)收���、系統(tǒng)交付、服務(wù)供應(yīng)商選擇
3. 安全管理機(jī)構(gòu)
崗位設(shè)置��、人員配備�����、授權(quán)和審批���、溝通和合作�����、審核和檢查
4. 安全管理制度
安全策略����、管理制度、制定和發(fā)布��、評審和修訂
5. 安全運(yùn)維管理
環(huán)境管理����、資產(chǎn)管理、介質(zhì)管理����、配置管理、密碼管理�、變更管理、設(shè)備維護(hù)管理��、漏洞和風(fēng)險(xiǎn)管理�����、網(wǎng)絡(luò)和系統(tǒng)安全管理��、惡意代碼防范管理���、備份與恢復(fù)管理、安全事件處置��、應(yīng)急預(yù)案管理、外包運(yùn)維管理�、數(shù)據(jù)安全管理制度、個(gè)人信息數(shù)據(jù)分級防護(hù)管理規(guī)定����、資產(chǎn)分類管理辦法
可為您帶來如下收益:
1. 建立、健全單位信息安全管理制度體系�����;
2. 確保各項(xiàng)信息工作安全合規(guī)���;
3. 規(guī)范管理流程�、明細(xì)職責(zé)分工���。
什么是ISMS信息安全管理體系�����?
即組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)�����,以及完成這些目標(biāo)所用方法的體系�����。它是直接管理活動(dòng)的結(jié)果�,表示成方針、原則���、目標(biāo)����、方法�、過程、核查表(Checklists)等要素的集合����。
信息安全管理體系是按照ISO/IEC 27001標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》的要求進(jìn)行建立的,由組織機(jī)構(gòu)單位按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)的要求�,制定信息安全管理方針和策略,采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全管理計(jì)劃�����、實(shí)施�、評審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系����。
安全測試服務(wù)
廣電計(jì)量可提供信息收集、權(quán)限提升��、溢出測試�、注入攻擊、跨站攻擊����、后門程序檢查、登錄體系測試��、權(quán)限體系測試�����、命令執(zhí)行攻擊�、反序列化攻擊、文件包含漏洞��、文件上傳漏洞�����、路徑遍歷與文件讀取等安全測試服務(wù)�。
可為您帶來如下收益:
1. 評估網(wǎng)站中存在的安全隱患�����、安全漏洞����;
2. 發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患����;
3. 驗(yàn)證網(wǎng)站現(xiàn)有安全措施的防護(hù)強(qiáng)度;
4. 評估網(wǎng)站被入侵的可能性�,并在入侵者發(fā)起攻擊;
5. 前封堵可能被利用的攻擊途徑���。
什么是安全測試����?
挑選重要網(wǎng)站或信息系統(tǒng)進(jìn)行安全測試��,模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測試����,在保證整個(gè)安全測試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標(biāo)信息系統(tǒng)的管理權(quán)限以及敏感信息,并將入侵的過程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶,由此證實(shí)用戶系統(tǒng)所存在的安全威脅和風(fēng)險(xiǎn)��,并及時(shí)提醒安全管理員完善安全策略�。
攻擊手段涵蓋現(xiàn)有的和最前沿的安全攻擊方法,滲透測試并不影響系統(tǒng)的正常運(yùn)作和業(yè)務(wù)應(yīng)用����。
風(fēng)險(xiǎn)(安全)評估服務(wù)
廣電計(jì)量可提供風(fēng)險(xiǎn)安全評估服務(wù)�����,通過信息資產(chǎn)的識(shí)別與賦值�、威脅評估、弱點(diǎn)評估����、現(xiàn)有安全措施評估、綜合風(fēng)險(xiǎn)分析等若干環(huán)節(jié)�,對信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)分析,并協(xié)助客戶對風(fēng)評過程中發(fā)現(xiàn)的問題進(jìn)行整改�,整改完成后測試是否整改完畢。
可為您帶來如下收益:
1. 清晰地展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀�;
2. 提供公正、客觀�、翔實(shí)的數(shù)據(jù)作為決策參考;
3. 為組織下一步控制和降低安全風(fēng)險(xiǎn)����、改善安全狀況���、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù)。
什么是風(fēng)險(xiǎn)安全評估����?
風(fēng)險(xiǎn)(安全)評估是對信息系統(tǒng)和IT基礎(chǔ)設(shè)施進(jìn)行安全風(fēng)險(xiǎn)評估,包括明確風(fēng)險(xiǎn)評估范圍����、識(shí)別重要資產(chǎn)、識(shí)別脆弱性和威脅�����、現(xiàn)有安全控制措施��、應(yīng)用系統(tǒng)漏洞掃描�����、分析和計(jì)算風(fēng)險(xiǎn)狀況�����、制定不可接受風(fēng)險(xiǎn)處置方案和風(fēng)險(xiǎn)評估報(bào)告和總結(jié)。
應(yīng)急演練服務(wù)
廣電計(jì)量可結(jié)合客戶實(shí)際情況���,協(xié)助客戶做好網(wǎng)絡(luò)安全事件應(yīng)對處置�,建立健全單位應(yīng)急演練預(yù)案��。
可為您帶來如下收益:
1. 滿足單位本身自我檢查要求
2. 滿足主管部門聯(lián)合檢查要求
3. 滿足監(jiān)管部門合規(guī)審查要求
什么是應(yīng)急演練��?
指各行業(yè)主管部門�、各級政府及其部門�、企事業(yè)單位、社會(huì)團(tuán)體等組織相關(guān)單位及人員����,依據(jù)有關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案,開展應(yīng)對網(wǎng)絡(luò)安全事件的活動(dòng)���。
請點(diǎn)擊下載軟件測評及信息安全畫冊����,了解更多相關(guān)服務(wù)內(nèi)容:https://uao.so/HsQpET8k