關(guān)于建立我國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評估體系的思考
發(fā)布時間:2018-04-13 16:01
分享到:
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作直接關(guān)系到國家安全��、國計民生和公共利益�,習(xí)近平總書記在“4·19講話”中要求加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系?����!毒W(wǎng)絡(luò)安全法》第五條明確規(guī)定國家應(yīng)采取措施對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)�,第三十四條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的安全保護(hù)義務(wù)�����,第三十八條要求運(yùn)營者每年至少進(jìn)行一次檢測評估�。《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》進(jìn)一步明確了運(yùn)營者的安全防護(hù)責(zé)任����。
關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系的建立健全依賴于運(yùn)營者網(wǎng)絡(luò)安全防護(hù)能力的提升��。對于運(yùn)營者安全防護(hù)能力的評估則是促進(jìn)能力提升的基礎(chǔ)�����。美國、德國等西方國家在評估運(yùn)營者安全防護(hù)能力方面有著豐富的經(jīng)驗(yàn)�。2014年,美國家標(biāo)準(zhǔn)技術(shù)研究所發(fā)布了《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》��,指導(dǎo)組織或機(jī)構(gòu)管理網(wǎng)絡(luò)安全風(fēng)險���。同年��,美能源部和國土安全部針對關(guān)鍵信息基礎(chǔ)設(shè)施開發(fā)了網(wǎng)絡(luò)安全能力成熟度模型(以下簡稱“C2M2模型”)����,指導(dǎo)運(yùn)營者實(shí)現(xiàn)美國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架的落地執(zhí)行。
C2M2模型提供了網(wǎng)絡(luò)安全防護(hù)能力評估的一種通用方法����,適用于運(yùn)營者對其信息系統(tǒng)、工控系統(tǒng)等資產(chǎn)的安全水平進(jìn)行評估�。模型從風(fēng)險管理、配置管理����、信息共享與交流、供應(yīng)鏈和外部依賴管理等10個安全域進(jìn)行評價�。每個安全域由一系列安全實(shí)踐組成。C2M2模型總結(jié)了安全實(shí)踐的實(shí)施原則�����,提供了運(yùn)營者安全能力的基線��,模型的使用不具備強(qiáng)制性����。不同行業(yè)的運(yùn)營者可以從模型中自行選擇所需的安全域和安全實(shí)踐,評估其安全能力��,識別差距和不足�,強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)能力�����。C2M2模型提供了網(wǎng)絡(luò)安全能力建設(shè)的統(tǒng)一參考��,方便不同類型的機(jī)構(gòu)交流經(jīng)驗(yàn)�。
我國在關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)方面起步較晚����,急需建立關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評估體系:一是制定科學(xué)合理、擴(kuò)展性強(qiáng)的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力評估標(biāo)準(zhǔn)����。我國在關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力的評估建設(shè)方面����,應(yīng)深入分析不同行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐經(jīng)驗(yàn),充分考慮不同領(lǐng)域可能存在迥異安全需求和擴(kuò)展性要求����,以適用于不同類型的關(guān)鍵信息基礎(chǔ)設(shè)施安全能力的評估。
二是應(yīng)充分考慮我國國情�����,與已有網(wǎng)絡(luò)安全能力評估框架標(biāo)準(zhǔn)的有效銜接。我國在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域正在制定包括《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》��、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》�����、《關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估指南》��、《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》�、《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》等在內(nèi)的一系列標(biāo)準(zhǔn),關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力評估應(yīng)與現(xiàn)行標(biāo)準(zhǔn)形成配套��,充分考慮我國國情實(shí)際��,突出威脅信息共享����、監(jiān)測預(yù)警、應(yīng)急處置等橫向協(xié)同的安全域內(nèi)容�,在國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的統(tǒng)一框架要求基礎(chǔ)上不斷完善。