落实《关保要求》之“ 如何做好安全防护 ”


GBASE培训中心
GBASE培训中心 2023-06-08 13:34:10 65936
分类专栏: 资讯

关键信息基础设施运营者应按照《关键信息基础设施安全保护要求》,落实关键信息基础设施安全保护措施,包括分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置六个环节的措施。

 

★★

安全防护

 

01

落实国家网络安全等级保护制度

 

运营者应首先落实国家网络安全等级保护制度,按照网络安全等级保护有关政策和标准,对网络和信息系统开展定级、备案、相应等级的安全建设整改和等级测评工作。落实等级保护制度,是关键信息基础设施安全防护的前提,是法律规定。

 

02

安全管理制度

 

确定关键信息基础设施安全保护工作目标,建立一系列安全管理制度。

一是建立包括风险管理制度、网络安全考核及监督问责制度、教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、“三同步”制度(安全措施同步规划、同步建设、同步使用)、供应链安全管理制度等的安全管理制度体系。制定包含管理体系、技术体系、运营体系、保障体系等内容的网络安全保护规划,加强机构、编制、人员、经费、装备、科研、工程等的资源保障。网络安全保护规划应形成文档并经审批后发布至相关组织和人员。网络安全保护规划应至少每年修订一次,发生重大变化时应及时进行修订。

二是基于关键业务链、供应链等安全需求,建立完善安全策略,并根据关键信息基础设施所面临的安全风险和威胁变化及时进行相应调整。安全互联策略包括访问控制策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略(配置、漏洞、补丁、病毒库等)、供应链安全管理策略、安全运维策略等。

三是在确定安全规划、安全策略的基础上,细化制定一系列操作规范、流程和工单,保证规划和策略落到实处。

 

03

安全管理机构

 

成立网络安全与信息化工作委员会或领导小组,由单位主要负责人担任领导职务。设置专门的网络安全管理机构,明确负责人及若干专门岗位,设置系统管理、网络管理、安全管理等关键岗位。

关键岗位应由专人负责,并配备2人以上共同管理。建立网络安全考核及监督问责机制,落实责任制。将安全管理机构主要人员纳入单位信息化决策体系,确保网络安全与信息化建设同步进行。

 

04

安全管理人员

 

人是关键信息基础设施安全保护工作中最重要的要素。运营者要高度重视人才选拔和岗位安排。

一是对安全管理机构的负责人和关键岗位的人员进行安全背景审查,审查过程中应请公安机关和国家安全机关协助。对关键岗位的人员要进行安全技能考核,符合要求的方能上岗。

二是安排安全管理机构人员参加国家、行业或业界组织的网络安全大赛、论坛、研讨等相关活动,及时获取网络安全动态和知识,并传达给相关部门及人员。

三是建立网络安全教育培训制度,定期开展基于岗位的网络安全教育培训和技能考核,设置科学的年度培训时长。教育培训内容应包括网络安全相关法律、政策、制度、标准和规定,以及网络安全保护技术、管理制度、网络安全风险意识等。

四是当安全管理机构负责人和关键岗位人员的身份、安全背景等发生变化(例如取得非中国国籍)时,应重新进行背景审查。当发生内部岗位调动时,应及时评估并调整调动人员的访问权限。当人员离岗时,应及时终止离岗人员的所有访问权限,收回与身份鉴别相关的软硬件设备,进行离职面谈,并通知相关人员或角色,确保人员变动后不发生危害网络安全的事件。

五是明确专门岗位人员的安全保密职责和义务,包括安全职责、奖惩机制、离岗后的脱密期限等,并与专门岗位人员签订安全保密协议。

 

05

安全通信网络

 

为了保障网络通信安全,运营者应从以下方面采取安全措施:

一是互联安全。建立具有不同安全保护等级的系统、不同业务系统、不同区域及与其他运营者之间的安全互联策略。保持同一用户的用户身份、安全标记、访问控制策略等在具有不同安全保护等级的系统、不同业务系统、不同区域中的一致性。对不同局域网之间的远程通信,应采取身份验证或鉴别等安全防护措施(例如,设置基于密码技术的身份验证或鉴别设施,对通信双方进行验证)。

二是边界防护。在具有不同安全保护等级的系统、不同业务系统、不同区域及与其他运营者之间的互操作、数据交换和信息流向方面,设置严格的控制策略和机制,实施严格的控制措施。对未授权设备进行动态检测及管控,只允许通过运营者自身授权和安全评估的软硬件运行,防止网络入侵攻击。

三是安全审计。在边界设置网络审计措施,监测、记录信息系统运行状态、日常操作、故障维护、远程运维等,留存相关日志数据不少于12个月,以便对非法操作进行溯源和固证。

 

06

安全计算环境

 

计算环境是信息系统的核心,包括主机、数据库、服务器、重要数据等重要资产。为了保障计算环境安全,运营者应从以下方面采取安全措施。

一是鉴别与授权。确定重要业务操作或异常用户操作行为,并形成清单;设置动态的身份鉴别措施,或者采用多因子身份鉴别等方式,实现对设备、用户、服务(或者应用)、数据的安全管控。对针对重要业务数据资源的操作,可采取基于安全标记等的技术措施实施严格的访问控制。

二是入侵防范。采用人工智能和大数据分析等技术,建设防范新型网络攻击行为(例如高级持续性威胁攻击)的管理和技术措施,及时识别并阻断网络入侵和病毒传播,提高信息系统的主动防护能力。

三是设备配置和管理自动化。设置自动化工具、装备,支持系统账户、配置、漏洞、补丁、病毒库等的管理。在修复漏洞和打补丁时,应先验证、后实施。

 

07

安全建设管理

 

在新建或改建、扩建关键信息基础设施时,应依法落实“三同步”要求,同步规划、同步建设、同步使用安全保护措施,充分考虑网络安全因素。在规划、设计和建设阶段,应加强全过程网络安全管理,与规划、设计和建设单位签署安全保密协议,落实相关单位的网络安全责任,确保网络和数据安全。为了保证安全措施的有效性,可采取渗透性攻击测试、评审、源代码检测等方式进行验证。可建设关键信息基础设施仿真验证环境,对关键业务和安全措施进行验证。

 

08

安全运维管理

 

关键信息基础设施投入运行后,为了保障其安全,运营者应保证关键信息基础设施的运维地点位于我国境内;确需在境外运维的,应按照我国相关规定执行。

运营者应与维护人员签订安全保密协议,确保人员安全可控。在运维过程中,运维人员应优先使用已登记备案的运维工具和装备;确需使用由维护人员带入关键信息基础设施内部的维护工具装备的,应在使用前通过恶意代码等安全检测,确保工具装备安全可控。

 

09

供应链安全

 

关键信息基础设施的供应链安全是安全工作的重要方面,也是网络安全防护的薄弱环节,需要引起高度重视。为了保障供应链安全,运营者应从以下方面采取安全措施。

一是制定供应链安全管理策略。无论是采购产品还是服务,都要对关键信息基础设施和数据开展全链条、全生命周期的供应链安全风险分析、识别;针对威胁风险,制定安全建设策略、风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等,并采取相应措施确保策略落实到位。

二是建立供应链安全管理制度,落实供应链安全管理部门和安全责任人,加强对供应链安全管理资金、人员、权限等资源的保障。

三是加强产品在设计、研发、交付、使用、废弃等阶段,以及制造设备、工艺等方面的供应链安全风险排除,加强全链条安全管理,确保产品安全可控。

四是选择有实力、有能力、保障有力的供应商,防止由于政治、外交、贸易、经济等非技术因素导致产品和服务供应中断。同时,要在能提供相同产品的多个供应商中选择,以防范供应商锁定风险。

五是采购、使用的网络关键设备和网络安全专用产品,应通过国家规定的检测认证。需要获得销售许可的产品,应获得有关机构颁发的销售许可证。

六是采购、使用的网络产品和服务,应符合法律、行政法规的规定和相关国家标准的要求,在功能、性能方面不能偷工减料、弄虚作假。可能影响国家安全的网络产品和服务,应通过国家网络安全审查。当发现使用的网络产品和服务存在安全缺陷、漏洞等风险时,应及时采取措施消除风险隐患;涉及重大风险的,应按规定向公安机关等有关部门报告。

七是在采购网络产品和服务时,应与供应商签订安全保密等有关协议,协议内容应包括安全职责、保密内容、奖惩机制、有效期等;或者,要求供应商签署承诺书,明确供应商的安全责任和义务,由供应商承诺不非法获取用户数据、控制和操纵用户系统及设备,不利用用户对产品的依赖性谋取不正当利益,不强迫用户进行产品更新换代。

 

10

数据安全防护

 

在关键信息基础设施安全保护中,保护核心数据、重要数据安全是重中之重。运营者应落实《网络安全法》《数据安全法》中有关数据安全的要求,并从以下方面采取安全措施:

 一是在开展数据分类分级的基础上,针对数据的不同类型和级别,制定有针对性的数据安全保护策略,明确一系列数据安全保护措施。

二是制定数据安全保护规划,明确保护目标、任务、具体措施,实施一系列数据安全防护手段;建立并落实数据安全管理责任制和评价考核制度,开展数据安全风险评估。

三是制定数据安全事件应急预案并定期开展演练,加强力量、资源、装备、经费等方面的保障,做好随时处置重大数据安全事件的准备;当发生重大安全事件时,能及时有效处置并恢复,将损失降到最低。

四是将在我国境内运营过程中收集和产生的个人信息和重要数据存储在境内;因业务需要,确需向境外提供数据的,应按照国家相关规定和标准进行安全评估,或者通过有关部门组织的安全审查;法律、行政法规另有规定的,应依照其规定执行。

五是加强数据全生命安全管理,严格管控核心数据、重要数据在存储、使用、加工、传输、提供、公开等环节的安全风险。可以采取加密、脱敏、去标识化等手段,保护核心数据、重要数据、敏感数据安全。

六是建立重要数据容灾备份机制。应加强业务连续性管理,建立信息系统、数据库等容灾备份机制,对重要系统和数据库采取异地备份措施。对业务数据安全性要求高的可采取数据异地实时备份,对业务连续性要求高的可采取重要系统异地备份,从而保障业务的异地实时切换,确保关键信息基础设施一旦被攻击破坏可及时恢复和补救。

七是当关键信息基础设施废弃时,应按照相应的数据安全管理策略对其中存储的数据进行妥善处理,确保不危害核心数据、重要数据安全。

 

杭州中电安科现代科技有限公司

 

杭州中电安科现代科技有限公司(简称“中电安科”)成立于2016年,是国内领先的工控网络安全产品与解决方案提供商。公司聚焦工控网络安全产品的自主研发,覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域的工业网络安全产品体系,持续深耕电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业,为用户提供具有核心竞争力的工控网络安全解决方案及服务,获得了行业用户的广泛认可。自2021年起,公司相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资,正式进入网络安全“国家队”。

 

渠道合作:李经理 18505541506

技术咨询:齐经理 15010390956

品牌合作:赵经理 15010923501

 

网站声明:如果转载,请联系本站管理员。否则一切后果自行承担。

本文链接:https://www.xckfsq.com/news/show.html?id=21866
赞同 0
评论 0 条
GBASE培训中心L2
粉丝 0 发表 98 + 关注 私信
上周热门
Kingbase用户权限管理  2020
信刻全自动光盘摆渡系统  1749
信刻国产化智能光盘柜管理系统  1419
银河麒麟添加网络打印机时,出现“client-error-not-possible”错误提示  1014
银河麒麟打印带有图像的文档时出错  924
银河麒麟添加打印机时,出现“server-error-internal-error”  715
麒麟系统也能完整体验微信啦!  657
统信桌面专业版【如何查询系统安装时间】  633
统信操作系统各版本介绍  624
统信桌面专业版【全盘安装UOS系统】介绍  598
本周热议
我的信创开放社区兼职赚钱历程 40
今天你签到了吗? 27
信创开放社区邀请他人注册的具体步骤如下 15
如何玩转信创开放社区—从小白进阶到专家 15
方德桌面操作系统 14
我有15积分有什么用? 13
用抖音玩法闯信创开放社区——用平台宣传企业产品服务 13
如何让你先人一步获得悬赏问题信息?(创作者必看) 12
2024中国信创产业发展大会暨中国信息科技创新与应用博览会 9
中央国家机关政府采购中心:应当将CPU、操作系统符合安全可靠测评要求纳入采购需求 8

添加我为好友,拉您入交流群!

请使用微信扫一扫!