安恒信息副总裁杨方宇:我国自2003提出重点保障基础信息网络和重要信息系统安全;2012年提出基础信息资源保障要求,保障信息系统互联互通和部门间信息资源共享安全;2016年颁布的《中华人民共和国网络安全法》,明确了网络安全相关责任;2021年通过的《关键信息基础设施安全保护条例》,使我国在关键信息基础设施安全防护领域有了专门的法律法规。从法律法规的完善可以看出,我国对关键信息基础设施保护的思路,经历了从初步概念到相对清晰的保护范围、从单一部门牵头组织防护到多部门联合保护、从单一安全执法检查到专门的立法规范等方面的变化。
《关键信息基础设施安全保护条例》明确了关键信息基础设施范围、责任机构及职责、运营者责任义务、保障和促进措施以及相关法律责任等。当前应从四个方面做好关键信息基础设施保护:
第一,明确关键信息基础设施的范围,参照条例进行关基认定,并要求关基安全运营相关岗位人员持证上岗;
第二,突出关键信息基础设施重要性,强化安全防护力度,秉持“基于等保、高于等保”的高标准防护要求;
第三,厘清防护职责,建立分层机制,落实关键安全防护职责,提高网络安全事件的恢复能力;
第四,聚焦自主可控,重点关注关键信息基础设施供应链安全和产业发展。
:如何平衡好关键信息基础设施的安全保护和有效应用?
杨方宇:关键信息基础设施防护的安全需求和业务需求有时会存在冲突,不同行业及不同地区对关基的安全需求不一致。因此,我们可以参照信息安全等级保护制度要求,进行关基等级保护评定,各行业主管部门也应按照本行业特殊业务及安全需求制定本行业的等级保护要求,以平衡安全保护和业务。
具体而言,一是要从实战角度出发,强化关键信息基础设施关键环节的安全防护措施;二是以保护关键业务和运行安全为重点,变单点防护为整体防控;三是从全局安全视角出发,建立关键信息基础设施体系化,构建自主可控的安全环境;四是建立信息共享机制,实现网络安全联防联控;五是加强网络安全检测和应急响应体系,实现威胁动态感知和处置。
:《网络安全法》明确规定了信息系统运营、使用单位应当按照信息安全等级保护制度的要求,履行安全保护义务。事实上,在我国计算机信息系统实行安全的等级保护由来已久。请结合自身实践,谈谈目前我国等保推行和建设情况如何?
杨方宇:信息安全等级保护制度是我国网络安全领域的一项基本制度。网络安全等级保护指导业务运营者厘清家底,明确重要信息系统资产情况;等级保护从1.0到2.0的提升过程中,覆盖了“云、大、物、移、工”等新技术、新应用、新场景,有效预防新技术带来的风险;网络安全等级保护体系化的建设理念,有效指导网络建设,充分体现纵深防御理念。
等保2.0标准采用“一个中心、三重防护”理念,通过实施三重防护的主动防御框架,实现攻击者进不去、非授权者重要信息拿不到、窃取保密信息看不懂、系统和信息改不了、系统工作瘫不了和攻击行为赖不掉的安全防护效果。这也是安恒信息安全运营的一个方向。用户完成等级保护建设后,安恒能够针对不断变化的攻防及安全态势,为用户提供持续的安全运营服务,使其业务系统的安全防护能力始终保持较高水平,应对外界不断变化的安全威胁。在一些重大漏洞爆发时,安恒信息能以最短时间向用户推送相关情报,帮助用户排查影响、升级防护策略,最大程度减少对用户业务的影响。
:在数字产业化、产业数字化发展进程中,等级保护在护航产业的数字化转型中扮演着哪些角色?
杨方宇:等级保护是体系化的建设方法论,是数字化转型的基础。企业网络安全体系建设是一项复杂的系统性工程,特别是对于深入推进数字化转型阶段的安全防护,必须全面保障数字化业务的各个方面,加强网络安全顶层设计规划,以体系化、工程化的模式建立新型网络安全防御体系,增强应对各类安全风险的能力。信息系统上云,数据流动从而产生数字产业,等级保护能够有效防护云上安全,等级保护云计算扩展要求是数字化转型的安全基座。数字化转型涉及的技术和场景众多,需要培养既懂网络安全技术,又了解数字化转型方法论,业务场景相关技术的复合型人才,等级保护的技术和管理类措施,能够培养综合性人才。( 孔繁鑫)
来源: 光明网
