0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

干货 | 关键信息基础设施的安全该如何保护?

广电计量 2022-06-22 14:10 次阅读

一场突如其来的新冠疫情,深刻改变了各国民众的生活方式,在这场全球性的公共卫生危机中,人们的生活、工作都不同程度地从线下转为线上,从现实世界向网络世界转换。与此同时,网络空间当中的关键信息基础设施面临的网络安全形势也愈趋严峻复杂,持续性威胁、网络勒索、数据窃取等事件频发,危害经济社会稳定运行。

为保障关键信息基础设施的安全,维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益,《关键信息基础设施安全保护条例》(以下简称《条例》)应运而生,并于7月30日正式发布,于2021年9月1日开始正式施行,引发业内集中关注。广电计量信息化服务专家以一问一答的形式,为大家详细解读《条例》传递出的重要信息:

Q:什么是关键信息基础设施?

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

Q:关键信息基础设施包括什么?

1.公共通信和信息服务:电信网、广播电视网、互联网等信息网络;提供云计算、大数据和其他大型公共信息网络服务的单位;广播电台、电视台、通信社等新闻单位。

2.公共服务:卫生医疗、教育、社保、环境保护、公用事业。

3.电子政务:政府机关。

4.其他重要信息系统:遭到破坏或者数据泄露,可能危害国家安全、国计民生、公共利益的重要网络设施、信息系统,例如大型装备、化工、食品药品等行业领域科研生产单位。

a.网站类,如县级(含)以上党政机关网站,重点新闻网站或者日均访问超过100万人次的网站等;

b.平台类,如注册用户数超过 1000 万,或活跃用户(每日至少登陆一次)数超过100万,或日均成交订单额或交易额超过 1000 万元的网络服务平台可定为关键信息基础设施;

c.生产业务类,如地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统,或规模超过 1500 个标准机架的数据中心等。

Q:政府部门的职责及分工是什么?

1.国家网信部门:负责统筹协调关键信息基础设施安全保护工作。

2.国务院公安部门:负责指导监督关键信息基础设施安全保护工作。

3.国务院电信主管部门及其他有关部门:依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

4.省级人民政府有关部门:依据各自职责对关键信息基础设施实施安全保护和监督管理。

Q:为什么要加强关键信息基础设施安全保护?

1.网络空间军备竞赛愈演愈烈,多国关键信息基础设施和重要信息系统面临重大风险。世界主要国家和地区将关键基础设施立法作为网络安全立法中的重中之重,并将其作为国家网络安全战略的核心内容。

美国:从克林顿政府时期开始加强关键信息基础设施防护,各届政府不断接力优化,逐渐演变形成一项综合战略。2017年特朗普发布《增强联邦政府网络与关键性基础设施网络安全总统行政令》,2021年7月拜登签发《关于改善关键基础设施控制系统网络空间安全的国家安全备忘录》,均就加强关键基础设施的安全防护提出相关要求和措施。

俄罗斯:为保护关键信息基础设施不仅颁布专门法律,同时在《刑法》和《刑事诉讼法》中增加“非法影响俄罗斯联邦关键信息基础设施”的章节,并配套修改了相关法律的个别条款。2021年7月普京签署了新版《俄罗斯联邦国家安全战略》,以加强关键信息基础设施保护。

欧盟:最新的《欧盟安全联盟战略》中将增强关键信息基础设施的保护水平和恢复能力作为未来五年网络安全领域的核心工作。

2.全球范围内针对关键信息基础设施的供应链攻击、勒索攻击等安全事件日益增多,不断动摇经济社会运行的根基。数据显示,2020年全球勒索攻击次数同比增长150%以上。世界主要国家和地区纷纷把关键信息基础设施安全保护上升到维护国家安全的高度。

Q:从哪些方面强化和落实关键信息基础设施运营者主体责任?

1.岗位建设方面,要设置专门安全管理部门,履行信息安全保护职责,参与本单位与网络安全和信息化有关的决策,并对机构负责人和关键岗位人员进行安全背景审查。

2.责任要求方面,关键信息基础设施运营者实行“一把手负责制”,明确运营者主要负责人负总责,保障人财物投入。

3.人员招聘方面,不得雇佣受到刑事处罚的人员从事网络安全管理和网络运营关键岗位的工作。因为危害关键信息基础设施安全的相关人员,5年内不得从事网络安全管理和网络运营关键岗位的工作。

4.安全检测和评估方面,定期开展安全检测和风险评估,履行安全事件和威胁报告义务。

5.安全合规方面,落实网络安全审查要求。

6.安全监控方面,强化监测预警和信息共享等。

Q:关键信息基础设施与安全保护措施该如何关联?

同步规划、同步建设、同步使用。强调业务系统和安全建设必须同步进行,杜绝“重业务,轻安全”的现象,强调安全措施在安全运维中迭代,杜绝“重建设,轻运维”的现象。

Q:针对“漏洞探测、渗透性测试”等活动有哪些特殊规定?

《条例》第三十一条规定:“未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。”

《条例》相比过去所有信息安全法律,首次提出可能危害关键信息基础设施安全的具体活动,包括“漏洞探测、渗透性测试”。此类活动可能是不法分子针对关键信息基础设施进行的漏洞探测,一旦被不法分子发现安全漏洞并掌握,则会给国家安全、国计民生、公共利益带来威胁。因此《条例》直接规定禁止未经授权或批准的此类行为。

Ø信息安全管理体系建设服务

广电计量依据安全等级保护2.0管理要求及数据安全法中数据安全制度要求,协助客户搭建信息安全管理体系:

1.安全管理人员

人员录用,人员离岗,安全意识教育和培训,外部人员访问管理

2.安全建设管理

安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、服务供应商选择

3.安全管理机构

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查

4.安全管理制度

安全策略、管理制度、制定和发布、评审和修订

5.安全运维管理

环境管理、资产管理、介质管理、配置管理、密码管理、变更管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理、数据安全管理制度、个人信息数据分级防护管理规定、资产分类管理办法

可为您带来如下收益:

1.建立、健全单位信息安全管理制度体系;

2.确保各项信息工作安全合规;

3.规范管理流程、明细职责分工。

什么是ISMS信息安全管理体系?

即组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合。


信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的,由组织机构单位按照信息安全管理体系相关标准的要求,制定信息安全管理方针和策略,采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

Ø安全测试服务

广电计量可提供信息收集、权限提升、溢出测试、注入攻击、跨站攻击、后门程序检查、登录体系测试、权限体系测试、命令执行攻击、反序列化攻击、文件包含漏洞、文件上传漏洞、路径遍历与文件读取等安全测试服务。

可为您带来如下收益:

1.评估网站中存在的安全隐患、安全漏洞;

2.发现网站存在的深层次安全隐患;

3.验证网站现有安全措施的防护强度;

4.评估网站被入侵的可能性,并在入侵者发起攻击;

5.前封堵可能被利用的攻击途径。

什么是安全测试?

挑选重要网站或信息系统进行安全测试,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,在保证整个安全测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息,并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并及时提醒安全管理员完善安全策略。

攻击手段涵盖现有的和最前沿的安全攻击方法,渗透测试并不影响系统的正常运作和业务应用。

Ø风险(安全)评估服务

广电计量可提供风险安全评估服务,通过信息资产的识别与赋值、威胁评估、弱点评估、现有安全措施评估、综合风险分析等若干环节,对信息系统的安全风险进行风险分析,并协助客户对风评过程中发现的问题进行整改,整改完成后测试是否整改完毕。

可为您带来如下收益:

1.清晰地展现信息系统当前的安全现状;

2.提供公正、客观、翔实的数据作为决策参考;

3.为组织下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。

什么是风险安全评估?

风险(安全)评估是对信息系统和IT基础设施进行安全风险评估,包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。

Ø应急演练服务

广电计量可结合客户实际情况,协助客户做好网络安全事件应对处置,建立健全单位应急演练预案。

可为您带来如下收益:

1.满足单位本身自我检查要求

2.满足主管部门联合检查要求

3.满足监管部门合规审查要求

什么是应急演练?

指各行业主管部门、各级政府及其部门、企事业单位、社会团体等组织相关单位及人员,依据有关网络安全应急预案,开展应对网络安全事件的活动。


声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3158

    浏览量

    59730
  • 安全测试
    +关注

    关注

    0

    文章

    26

    浏览量

    8704
收藏 人收藏

    评论

    相关推荐

    高鸿信安全国产可信低空经济信息基础设施解决方案

    全国产可信低空经济信息基础设施解决方案以可信信息基础设施为根基,运用国产平台及可信计算技术,在操作系统层及管理层部署可信计算系列软件,实现关键
    的头像 发表于 12-13 10:13 133次阅读
    高鸿信<b class='flag-5'>安全</b>国产可信低空经济<b class='flag-5'>信息</b><b class='flag-5'>基础设施</b>解决方案

    戴尔科技助力企业保护关键数据资产

    前段时间,美国联邦调查局(FBI)、网络安全基础设施安全局(CISA)以及澳大利亚网络安全中心(ASD)更新了关于臭名昭著的勒索软件团伙BianLian的
    的头像 发表于 12-05 14:56 298次阅读

    智能驾驶所需的基础设施

    智能驾驶所需的基础设施主要包括以下几个方面: 一、通信网络基础设施 5G/6G网络 :高速、低延迟的通信网络是实现智能驾驶的重要基础。5G网络已经能够提供足够的带宽和低延迟,支持车辆与云端、其他车辆
    的头像 发表于 10-23 16:05 747次阅读

    微软贝莱德成立AI基础设施投资基金

    微软与全球顶尖资产管理公司贝莱德携手,共同发起了一项名为“全球人工智能基础设施投资伙伴关系”的宏伟计划。基金旨在汇聚超过300亿美元的私募股权力量,以撬动高达1000亿美元的巨额投资,专注于构建支撑人工智能发展的基础设施
    的头像 发表于 09-19 16:55 348次阅读

    通信基础设施设备的电流检测应用

    电子发烧友网站提供《通信基础设施设备的电流检测应用.pdf》资料免费下载
    发表于 09-03 10:03 0次下载
    通信<b class='flag-5'>基础设施</b>设备的电流检测应用

    中移芯昇发布智能可信城市蜂窝物联网基础设施研究成果

    是科技部国家重点研发计划《智能可信城市蜂窝物联网基础设施技术研究及应用示范》项目的关键成果,由中移物联网有限公司牵头,芯昇科技有限公司、中移雄安信息通信科技有限公司
    的头像 发表于 08-31 08:03 627次阅读
    中移芯昇发布智能可信城市蜂窝物联网<b class='flag-5'>基础设施</b>研究成果

    守护国之重器:关键基础设施的反无人机技术探索|特信无人机反制

    ,其后果不堪设想。因此,探讨并应用反无人机技术,成为保护关键基础设施安全的当务之急。跟着特信无人机反制小编一起来看看吧~
    的头像 发表于 06-17 09:35 403次阅读

    数字新时代的关键--IPv6 与数据基础设施建设

    在当今信息爆炸的时代,IPv6(互联网协议第6版)与数据基础设施建设正以前所未有的紧密程度相互关联,共同塑造着数字世界的未来格局。IPv6凭借其海量的地址资源,为数据基础设施建设提供了坚实的网络
    的头像 发表于 06-11 15:53 330次阅读
    数字新时代的<b class='flag-5'>关键</b>--IPv6 与数据<b class='flag-5'>基础设施</b>建设

    宁畅推出“全栈全液”AI基础设施方案

    近日,宁畅科技正式发布其“全栈全液”AI基础设施方案,这一创新举措旨在全面支持大模型落地所需的各项技术需求。方案集成了计算、存储、网络、建设、管理、应用及液冷等多项关键技术,为用户提供一站式解决方案。
    的头像 发表于 05-31 09:18 616次阅读

    专家解读 | NIST网络安全框架(1):框架概览

    本文主要探讨NIST CSF框架的起源目标、内容组成,及其在网络安全风险管理中的关键作用,通过采用框架,组织能够更有效地实施风险识别、安全保护
    的头像 发表于 05-06 10:30 1357次阅读
    专家解读 | NIST网络<b class='flag-5'>安全</b>框架(1):框架概览

    大模型时代,商汤大装置重构AI基础设施与服务

    大模型时代,怎样的基础设施与服务才能满足行业所需?
    的头像 发表于 04-12 11:47 735次阅读
    大模型时代,商汤大装置重构AI<b class='flag-5'>基础设施</b>与服务

    展望2024数据中心基础设施

    前阵子,DeLL'ORO GROUP发布预测报告,回顾了23年数据中心基础设施报告中的突出趋势,及展望了2024年数据中心基础设施的发展情况,以下是报告内容。
    的头像 发表于 03-25 15:59 397次阅读

    垂直起降机场:飞行基础设施的未来是绿色的

    停车场和配送设施飞机还可以将现有的物流设施用作垂直起降机场枢纽,并将非传统的农村地区(例如重新利用的道路基础设施)用作物流枢纽,从而显着提高供应链速度和远程位置访问。 与所有电动汽
    发表于 03-25 06:59

    KVM矩阵系统助力企业构建高效、安全的IT基础设施

    随着企业信息化程度的不断提高,IT基础设施的重要性日益凸显。如何构建高效、安全的IT基础设施成为了企业面临的重要挑战。KVM矩阵系统作为一种先进的远程管理解决方案,以其高效、灵活、
    的头像 发表于 02-18 14:53 559次阅读

    北斗时空安全隔离装置 为国家关键基础设施构筑“授时安全防火墙”

    模块,具备卫星导航信号模拟功能,能够自主产生安全可信的导航信号,为后端授时设备提供可信不间断授时。ZRGNR2000可通过原位加固的方式,帮助用戶实现授时安全防御,广泛应用于各精密授时行业的安全加固。解决了当前
    的头像 发表于 01-31 15:14 1036次阅读
    北斗时空<b class='flag-5'>安全</b>隔离装置 为国家<b class='flag-5'>关键</b><b class='flag-5'>基础设施</b>构筑“授时<b class='flag-5'>安全</b>防火墙”