其他
中央网信办郭涛:加强关键信息基础设施安全保护体系和能力建设实践
Editor's Note
抓好“重中之重”,守好“神经中枢”,切实筑牢国家网络安全防线!
The following article is from 中国信息安全 Author 郭涛
一、深刻理解关键信息基础设施保护的重要意义
(一)关键信息基础设施保护是深入贯彻习近平总书记网络强国重要思想的重要措施
党的十八大以来,以习近平同志为核心的党中央站在全局和战略高度,准确把握世界互联网发展潮流、国内外网络安全形势和我国互联网治理实践,系统阐述了事关网信事业发展的一系列重大理论和实践问题,提出了一系列新理念新思想新观点新论断,形成了习近平总书记关于网络强国的重要思想。今年 7 月,全国网络安全和信息化工作会议在京召开,习近平总书记的重要指示,明确了“十个坚持”的重要原则。总书记强调:“坚持党管互联网,坚持网信为民,坚持走中国特色治网之道,坚持统筹发展和安全,坚持正能量是总要求、管得住是硬道理、用得好是真本事,坚持筑牢国家网络安全屏障,坚持发挥信息化驱动引领作用,坚持依法管网、依法办网、依法上网,坚持推动构建网络空间命运共同体,坚持建设忠诚干净担当的网信工作队伍”。做好关键信息基础设施保护工作,必须坚决贯彻习近平总书记“十个坚持”的重要原则,加强党中央对关键信息基础设施保护工作的集中统一领导,把关键信息基础设施保护工作摆在党和国家事业全局中来谋划,加快构建关键信息基础设施安全保障体系,提升关键信息基础设施保护水平。党中央高度重视关键信息基础设施保护工作。习近平总书记在 2016 年的全国网络安全和信息化工作座谈会上强调,“加快构建关键信息基础设施安全保障体系”。2018 年 4 月,总书记在全国网络安全和信息化工作会议上强调:“必须旗帜鲜明、毫不动摇坚持党管互联网,加强党中央对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进。要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任”。总书记的重要指示,对各级党委(党组)及网信部门等做好关键信息基础设施保护工作提出了明确要求,我们要认真学习领会,切实把思想和行动统一到党中央的战略部署上来。(二)关键信息基础设施保护是应对全球复杂严峻网络安全形势的必然要求当前,世界正经历百年未有之大变局,不稳定不确定因素日益增多、国际格局复杂多变,针对关键信息基础设施的高级可持续威胁、数据窃取等事件频发,国家网络安全形势复杂严峻。能源领域。2019 年 3 月 7 日,委内瑞拉古里水电站发电系统遭受网络攻击,导致全国 23 个州中的 18 个州发生停电,加拉加斯和委内瑞拉大部分地区停电超过 24 小时,停电导致加拉加斯地铁无法运行和大规模交通拥堵,城市最大的机场受停电影响且备用发电机也失效,手机和网络都无法正常使用。2021 年 5 月,美国最大的成品油管道系统运营商遭遇勒索软件攻击,攻击导致燃油输送管线被迫关停,东海岸 45% 的燃料供应暂停,美国交通部宣布受影响区域实施紧急状态。金融领域。2021 年 10 月,巴基斯坦国家银行遭受破坏性网络攻击,影响了银行的自动取款机、内部网络和移动应用程序,使得银行部分系统瘫痪,导致资金挤兑。2022 年 2 月 15 日,乌克兰两家国有银行 Privatbank 和 Oschadbank 遭受 DDoS 攻击,导致银行客户无法正常访问网上银行账户。通信领域。2021 年 9 月,新西兰第三大电信运营商 Vocus 遭 DDoS 攻击,导致全国多地断网达 30 分钟,包括奥克兰、惠灵顿及基督城等多个大城市受到影响。2022 年 2 月,国际电信运营商沃达丰葡萄牙公司遭网络攻击,该公司 4G 和 5G 网络被迫中断,固定电话、电视、短信等服务瘫痪,大部分客户数据服务被迫下线。这些案例为我们敲响了警钟。我国关键信息基础设施面临较大风险隐患,网络安全态势感知、监测预警、应急处置特别是追踪溯源能力不足,安全防护多采用合规性静态防护、围墙式单点防护,难以有效应对国家级、有组织的高强度网络攻击。筑牢关键信息基础设施安全保护防线,对于国家总体安全至关重要。二、大力推进关键信息基础设施保护工作走深走实
(一)加强顶层设计,出台《关键信息基础设施安全保护条例》
中央网信办会同工业和信息化部、公安部等部门制定出台《关键信息基础设施安全保护条例》(以下简称《条例》)。2021 年 8 月 17 日正式公布,自 2021 年 9 月 1 日起施行。出台《条例》是贯彻落实习近平总书记关于网络强国的重要思想的具体举措,也是近年来国家网络安全和信息化工作成功经验的制度化提升,回应了社会各界对加强关键信息基础设施安全保护的关注,为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。贯彻落实《条例》有关要求,保护工作部门结合本行业、本领域实际,制定出台相关管理办法,交通运输部发布《公路水路关键信息基础设施安全保护管理办法》,国家铁路局制定《铁路关键信息基础设施安全保护管理办法》,推动各行业领域关键信息基础设施安全保护水平不断提升。(二)突出规范引领,发布关键信息基础设施安全标准2022 年 11 月,市场监管总局、中央网信办、公安部联合召开《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)国家标准发布宣贯会。该标准是关键信息基础设施安全保护标准体系的构建基础,2023 年 5 月 1 日正式实施。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施 3 项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等 6 个方面提出 111 条安全要求,为运营者开展关键信息基础设施安全保护工作提供了强有力的标准保障。(三)抓好关键环节,保障关键信息基础设施供应链安全建立网络安全审查制度,制定出台《网络安全审查办法》,保障关键信息基础设施供应链安全。关键信息基础设施运营者采购网络产品和服务,要依据行业网络安全审查预判指南,预判该产品和服务投入使用后可能带来的网络安全风险。对于影响或者可能影响国家安全的,应当申报网络安全审查。出台《云计算服务安全评估办法》,提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。(四)创新人才培养,构建教育技术产业融合发展良性生态人才是强国之本、兴邦大计。网络安全人才是筑牢网络安全屏障、维护国家网络安全的第一资源。深入研究网络安全人才与创新发展规律,深化国家网络安全人才与创新基地、国家网络安全教育技术产业融合发展试验区建设,打造国家网络安全人才高地、创新高地、产业集聚区。持续深化一流网络安全学院示范项目建设,围绕网络安全基础理论、开源软件安全等,建设完善课程、教材、实验环境等教学体系,培养高校学生自主创新能力。破除“唯论文”评价机制,建立以实际能力和贡献为导向的评价标准,将教师和学生承担的重大研究课题和工程、企业创新任务、基础开源代码等贡献重大成果视同高水平学术论文。创新企业和高校联合培养机制,大力实施网络安全学院学生创新资助计划,由企业根据网络安全实际需求和产业共性问题提出创新任务,遴选并资助优秀在校学生开展创新研究,引导学生开展基础创新,提升学生解决实际问题的能力,培养交叉型、复合型、实用型网络安全创新人才。三、筑牢关键信息基础设施网络安全屏障
(本文刊登于《中国信息安全》杂志2023年第9期)
推荐阅读
文章来源:中国信息安全
点击下方卡片关注我们,带你一起读懂网络安全 ↓