By 立思辰官方 | 2020-09-10

干货|网络安全等级保护和关键信息基础设施安全保护工作宣贯会

9月2日,由公安部网络安全保卫局指导,公安部第三研究所、公安部第一研究所主办的“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”在北京成功举办。会议旨在宣传贯彻公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,解读《网络安全等级保护定级指南》国家标准,研究探讨网络安全等级保护制度服务国家“一带一路”战略,以及网络安全领域引入保险的对策与机制。


落实“两个制度主线”


公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全为大会致辞,并作题为《以落实“两个制度”为主线,全面加强网络安全综合防控体系建设》的主题发言。

重点解读了公安部《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,以下为郭启全副局长演讲强调以下两点:

1、深入贯彻实施国家网络安全等级保护制度

  • 网络运营者应深化网络定级备案工作,全面梳理本单位网络及业务系统。

  • 定期开展网络安全等级测评,对已定级备案网络的安全性进行检测评估,查找潜在的网络安全问题及隐患。

  • 科学开展安全建设整改,按照"一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)"的要求开展网络安全建设和整改加固。

  • 强化安全责任落实,按照"谁主管谁负责,谁运营谁负责"的原则,厘清网络安全等级保护边界,明确安全保护责任。

  • 加强供应链安全管理及网络关键人员的安全管理,对服务过程中可能存在的安全风险进行评估并采取相应措施。

  • 落实密码安全防护要求。第三级以上网络在规划、建设和运行阶段充分考虑符合要求的密码产品及服务,并在网络安全等级测评中同步开展商用密码应用安全性评估。

2、建立实施关键信息基础设施安全保护制度

  • 组织认定关键信息基础设施,重要行业和领域相关保护工作部门充分考虑新技术并对本行业关键信息基础设施订单实行动态调整机制。

  • 明确关键信息基础设施安全保护工作职能分工,运营者应指定专门安全管理机构负责关键信息基础设施保护安全保护工作并由主要负责人负总责。

  • 落实关键信息基础设施重点防护措施,加强安全保护及保障并定期进行安全检测评估。

  • 加强重要数据和个人信息保护,建立并落实重要数据和个人信息保护制度,采取技术、管理手段相结合的方式切实保护重要数据全生命周期安全。

  • 强化核心岗位人员和产品服务的安全管理,应对负责人和关键岗位人员进行背景审查。



等级保护2.0和可信计算3.0


中国工程院沈昌祥院士发表题为《按等级保护2.0可信计算3.0筑牢关键信息基础设施安全防线》的主题演讲。

沈昌祥院士讲解了可信计算3.0的发展与创新,指出如下重点:

  • 要尽快在核心技术上取得突破

  • 加快安全可信的产品推广应用,在网络安全等级保护制度2.0标准要求下,全面使用安全可信的产品和服务,切实保障关键信息基础设施安全


关基保护行业实践与探索


自然资源部信息中心总工程师顾炳中作了《关键信息基础设施保护行业实践与探索》的主题演讲。

介绍了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的重要性,并强调重要行业部门要以此为契机,按照文件要求,全面加强等级保护与关键信息基础设施安全保护各项工作,全力保障行业部门关键信息基础设施、重要网络和数据安全。


等保定级解读

公安信息安全等级保护评估中心主任助理李明作了《网络安全等级保护定级指南解读》的报告。

报告中强调定级的要素,并针对典型应用场景做了定级使用分析:

1、定级要点

  • 定级对象应全面

  • 对象划分需合理

  • 初步定级应准确

  • 定级流程需完整

  • 定级文档应合规

2、定级标准使用场景

(一)云计算

  • 在云计算环境中,云服务客户侧的等级保护对象和云服务商侧的云计算平台/系统需分别作为单独的定级对象定级,并根据不同的模式将云计算平台/系统划分为不同的定级对象。

  • 对于大型的云计算平台,宜将和云计算基础设施和有关辅助服务系统划分为不同的定级对象。

(二)物联网

  • 物联网主要包括感知、网络传输和处理应用等特征要素,需将以上要素作为一个整体对象定级,各要素不单独定级。

(三)工业控制系统

  • 主要包括现场采集/执行、现场控制、过程控制和生产管理等特征要素。其中,前三者需要作为一个整体对象定级,各要素不单独定级;生产管理要素宜单独定级。

  • 对于大型工控系统,可根据系统功能、责任主体、控制对象和生产厂商等因素划分为多个定级对象。

(四)移动互联网系统

  • 采用移动互联技术的系统主要包括移动终端、移动应用、无线网络等特征要素;

  • 可作为一个整体独立定级或与相关联业务系统一起定级,各要素不应单独定级。

(五)通信网络设施

  • 对于电信网、广播电视传输网等通信网络设备,宜根据安全责任主体、服务类型或服务地域等因素将其划分为不同的定级对象。

  • 当安全责任主体相同时,跨省的行业或单位的专用通信网可作为一个整体对象定级;当安全责任主体不同时,需根据安全责任主体和服务区域划分为若干个定级对象。

(六)数据资源

  • 数据资源可独立定级。

  • 当安全责任主体相同时,大数据、大数据平台/系统宜作为一个整体对象定级,当安全责任主体不同时,大数据应独立定级。

  • 对于数据资源,综合考虑其规模、价值等因素,及其遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度确定其安全保护等级。

  • 涉及大量公民个人信息以及为公民提供公共服务的大数据平台/系统,原则上其安全保护等级不低于第三级。


“一带一路”网络安全保障


中国电科首席专家兼中国网安副总工程师董贵山作了《“一带一路”国家网络安全需求及企业跨境网络安全保障实践》的报告。

报告从“一带一路” 与网络安全的整体发展出发进行了整体阐述:

  • 网络安全需求:数据安全是核心、密码应用是关键、适应能力很重要、标准国际化要加强。

  • 企业跨境网络安全保障方向:跨境信息与数据安全、境外驻地办公安全、境内密码基础能力建设、境内网络安全监测预警中心建设。

  • 网络安全等级保护“走出去”建议:对境外敏感数据定级定密、境外信息系统的保护等级。


全情投入,践行等保和关基保护制度


深信服董事长何朝曦发表了《全情投入,践行王雷安全等级保护、关键信息基础设施安全保护制度》的报告。

何朝曦指出,作为网络安全厂商,需要在各方的协同过程中全情投入,肩负起相应的责任:

  • 在网络安全等级保护工作方面,持续开展政策标准宣贯、创新攻关、提供符合相关要求的产品和服务,帮助用户科学开展建设整改,构建良性产业生态。

  • 在关键信息基础设施安全保护方面,以等保为基础,帮助用户落实重点防护措施,加强重要数据和个人信息保护,提供安全可信的产品及服务确保供应链安全。


新一代网络安全体系实践


奇安信集团董事长齐向东作了《面向等保2.0和关基防护的新一代网络安全体系实践》的报告。齐向东在报告中指出:

  • 网络安全从实战化寻找问题、从体系化迈向全局、从常态化部署“无死角”网络安全防护。

  • 从动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控六大防御体系建设,提升关键基础设施防护能力。



保险机制与网络安全治理


人保财险责任险部副总经理邵运州作了《网络安全引入保险机制对策与措施》的报告。

邵运州在介绍中指出,网络安全责任保险是行业重要里程碑,并指出:

  • 网络安全治理面临网络安全攻击目标高价值化、网络风险复杂化、风险管理手段有限三大挑战。

  • 保险的实质为风险分散机制,也将通过其优势成为服务网络安全治理的重要手段。

  • 构建一体化网络安全保险产品体系,实现“保险+科技+服务”模式,助力打造网络安全治理闭环。



服务“一带一路”实践经验


北京时代新威信息技术有限公司总经理王新杰作了《网络安全等级保护经验做法服务“一带一路”》的报告。王新杰强调:

  • “国家利益延伸到哪里,网络安全保卫就应该到哪里”网络安全,既是“一带一路”建设的保障措施,更是重要的合作内容。

  • 提出三个“共识”,用等保技术标准在“一带一路”形成共识、凝聚共识、拓展共识。让等级保护成为“一带一路”网络的中国方案。


以上内容整理于网络安全等级保护和关键信息基础设施安全保护工作宣贯会。


>>大会视频回放 

链接: https://pan.baidu.com/s/1zfAx8ANaR0kXcsM6KcJtgQ

密码: pt5s


未来,彩球直播将基于自身行业实践经验,不断推进网络安全等级保护制度的应用和关键信息基础设施安全保护工作,为保护关键信息基础设施安全贡献力量,为国家网络强国建设保驾护航!