在《关键信息基础设施安全保护条例》颁布实施一周年之际,由光明网网络安全频道、中国信息协会信息安全专业委员会主办,北京六方云信息技术有限公司承办的推进落实《关键信息基础设施安全保护条例》专题分享会在京举行。
会上,六方云总裁李江力以“关基安全保护的技术支撑分析”为主题现场交流。他表示,当前,我国关键信息基础设施安全保护的相关规则正在逐步完善,但其落地实施不仅需要多部门共同协作、长期建设,也要求其自身全方位、成体系、有框架。
李江力介绍,关键信息基础设施是数字经济时代社会运行的神经中枢,也是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。
“当前,我国关键信息基础设施安全保护的基本措施总结起来就是‘三化六防’。其中实战化、体系化、常态化是基本要求,六防指的是动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控,具体工作包含分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个环节,在实际工作中,需要多种技术来支撑这六个环节的工作。”李江力说。
他认为,在分析识别环节,除了要进行业务的分析,包含信息化的范围、流程以及自动化的情况分析外,还要梳理资产和潜在风险漏洞,以排除安全隐患,如同做“定向体检”一样。在安全防护环节,并不是一上来就着手做技术层面的防护,要注重安全制度和机构人员设置,应设置相关管理制度及考核方法,强调安全管理制度与技术防护并重的原则,对于保护对象需按照等保的要求做到“一个中心、三重防护”,至少做到等保三级以上的安全防护,对于安全建设则需要做到“三同步”即同步规划、同步建设、同步使用,并且要关注安全运维和供应链安全。
针对检测评估环节,要依托定期或不定期的安全检测评估,发现系统的潜在隐患、及时整改。监测预警环节则需要建立起常态化的安全分析、事件分析、以及建立威胁预警机制。主动防御环节则对关基运营者提出了更高的要求,运营方不仅需要做好安全防护工作,而且需要具备攻防对抗的能力,遇到威胁攻击可以溯源追查并反制,达到实战化要求。针对事件处理环节,则需要建立完善的制度、具备安全事件应急预案和相关事件处理流程,做好安全事件的响应处置、安全取证及恢复、及重要节点的通报处理,强化关键信息基础设施安全保护动态自适应能力,全方位保证关键信息基础设施安全。
“这六个环节中,每一个环节首先都需要制度保障,其次才是技术。”李江力认为,落实《关键信息基础设施安全保护条例》的这六个环节中,如果能做到一级级的探索节点、一步步的总结分析,最终可以形成统一的闭环。这样,保护系统安全的目的也就达到了。“当然,这个工程量很大,不仅包含了很多规章制度、技术手段和产品方案的协作,也需要各业务部门和众多企业的协作。”
在李江力看来,我国的关键信息基础设施安全保护,要在《关键信息基础设施安全保护条例》基础上,还要推动安全设备生产商自我革新,充分调动全社会的积极力量,在建立起一套完整、科学、严密的制度框架基础上,落实责任、共商共建,将安全化为实体,将安心落到实处。