當前位置:中工網理論頻道滾動-正文
關於建立我國關鍵資訊基礎設施安全防護能力評估體系的思考
中國電子技術標準化研究院 孫彥 姚相振
http://www.workercn.cn2018-04-12來源:光明網 
分享到:更多

  

  關鍵資訊基礎設施保護工作直接關係到國家安全、國計民生和公共利益,習近平總書記在“4·19講話”中要求加快構建關鍵資訊基礎設施安全保障體系。《網路安全法》第五條明確規定國家應採取措施對關鍵基礎設施進行保護,第三十四條規定了關鍵資訊基礎設施運營者的安全保護義務,第三十八條要求運營者每年至少進行一次檢測評估。《關鍵資訊基礎設施安全保護條例(徵求意見稿)》進一步明確了運營者的安全防護責任。

    關鍵資訊基礎設施保護體系的建立健全依賴於運營者網路安全防護能力的提升。對於運營者安全防護能力的評估則是促進能力提升的基礎。美國、德國等西方國家在評估運營者安全防護能力方面有著豐富的經驗。2014年,美國家標準技術研究所發布了《改善關鍵基礎設施網路安全的框架》,指導組織或機構管理網路安全風險。同年,美能源部和國土安全部針對關鍵資訊基礎設施開發了網路安全能力成熟度模型(以下簡稱“C2M2模型”),指導運營者實現美國關鍵基礎設施網路安全框架的落地執行。

    C2M2模型提供了網路安全防護能力評估的一種通用方法,適用於運營者對其資訊系統、工控系統等資產的安全水平進行評估。模型從風險管理、配置管理、資訊共用與交流、供應鏈和外部依賴管理等10個安全域進行評價。每個安全域由一系列安全實踐組成。C2M2模型總結了安全實踐的實施原則,提供了運營者安全能力的基線,模型的使用不具備強制性。不同行業的運營者可以從模型中自行選擇所需的安全域和安全實踐,評估其安全能力,識別差距和不足,強化關鍵資訊基礎設施的安全保護能力。C2M2模型提供了網路安全能力建設的統一參考,方便不同類型的機構交流經驗。

    我國在關鍵資訊基礎設施安全保障體系建設方面起步較晚,急需建立關鍵資訊基礎設施安全防護能力評估體系:一是制定科學合理、擴展性強的關鍵資訊基礎設施網路安全能力評估標準。我國在關鍵資訊基礎設施安全防護能力的評估建設方面,應深入分析不同行業關鍵資訊基礎設施保護的實踐經驗,充分考慮不同領域可能存在迥異安全需求和擴展性要求,以適用於不同類型的關鍵資訊基礎設施安全能力的評估。

    二是應充分考慮我國國情,與已有網路安全能力評估框架標準的有效銜接。我國在關鍵資訊基礎設施保護領域正在制定包括《關鍵資訊基礎設施網路安全框架》、《關鍵資訊基礎設施安全保障指標體系》、《關鍵資訊基礎設施檢查評估指南》、《關鍵資訊基礎設施網路安全保護基本要求》、《關鍵資訊基礎設施安全控制措施》等在內的一系列標準,關鍵資訊基礎設施網路安全能力評估應與現行標準形成配套,充分考慮我國國情實際,突出威脅資訊共用、監測預警、應急處置等橫向協同的安全域內容,在國家網路安全標準的統一框架要求基礎上不斷完善。

零容忍黨員幹部追求低級趣味

  趣味屬於人的心理和精神上的選擇,黨員幹部遠離低級趣味,關鍵是要管住自己,不但築好“防火牆”,還要備好……  

掃碼關注



工人日報
客戶端
蘋果版
安卓版