落实“两个制度”,合力保卫网络安全
随着5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术的发展,网络空间与物理空间被彻底打通,网络空间成为继“陆海空天”之后的第五大战略空间,愈演愈烈的网络攻击已经成为国家面临的新问题、新挑战。当前我国面临的主要挑战有:
● 敌对势力的网络攻击,日益威胁我国家安全;
● 黑客组织、不法分子等网络违法犯罪升级;
● 网络空间活动增多,网络、数据安全面临新的挑战;
● 国家新基建项目启动,维护关键信息基础设施和大数据安全的任务更加繁重。
面对当前国际形势,如何合力应对网络战对国家安全的威胁,保卫国家网络安全是目前面临的主要威胁和“研究课题”。
国家确立网络安全等级保护制度和关键信息基础设施安全保护制度。为深入贯彻落实“两个制度”,健全完善国家网络安全综合防控体系,有效防范网络安全威胁,有力处置网络安全事件,严厉打击危害网络安全的违法犯罪活动,切实保障国家网络安全,特制定指导意见。
各行业、各部门网络安全运营者该如何依据指导意见落实“两个制度”,合力保卫保障网络安全?是我们值得思考的问题。
网络安全等级保护制度是国家基本制度,行业主管部门和各行业网络安全运营者应积极贯彻落实网络安全等级保护制度,扎实推进定级备案、等级测评、安全建设整改和检查等网络安全等级保护基础工作、落实责任,做到“守土有责、守土尽责”。
定级备案是开展网络安全等级保护的首要工作,部分行业或企事业单位仍然存在重要信息系统未定级、新建系统保护对象边界划分不明及梳理混乱等问题,针对此类问题,公安部网络安全保卫局一级巡视员、总工程师郭启全在宣贯会上特别强调“没定级的要定级,定级不准的要改变等级,科学确定等级,公安机关对备案进行审核”。
开展等级测评工作是落实网络安全等级保护制度的核心内容,企业运营者应依据网络安全等级保护测评要求等有关标准,积极主动开展等级测评、风险评估等工作,及时发现网络和信息系统可能存在的安全风险,及时进行整改,消除重大风险隐患,尽可能及早规避;针对第三级以上的重要网络系统应坚持每年开展一次等级测评工作,作为开展等级测评工作的主要参与方——网络安全等级保护测评机构应严格执行等级测评工作,保证测评结果的准确性、有效性以及时效性。
安全建设整改是等级保护工作落实是否到位的重要体现,网络安全运营者通过“安全自评估”或“等级测评”及时发现网络系统可能存在的安全问题,基于网络安全等级保护相关标准,推动安全问题整改,提升网络信息系统的安全防护能力。此外,在系统安全建设是应基于国家相关法律法规要求,选择采购“安全可信”的软硬件网络安全产品和服务,保证整个网络信息系统供应链安全。
此外,为更高效、安全的推进等级保护工作制度的落实,网络安全运营者还应对第三级以上的网络和重要信息系统要正确、有效采用密码技术进行保护,并进行商用密码应用安全性评估工作。
落实实施关键信息基础设施安全保护制度是在落实网络安全等级保护制度基础上,要突出保护重点,强化保护措施,切实维护关键信息基础设施安全。指导意见明确要求公安部加强对关键信息基础设施安全服务机构的安全管理、加大培训力度、提升服务能力,为运营者落实“两个制度”提供支持。
网络安全运营者在落实等级保护制度的基础上对其运营的第三级以上的网络和信息系统进行组织认定,判定其是否为关键信息基础设施。在确定为关键信息基础设施的情况下,网络安全运营者应加强安全防护措施,并进行安全检测评估。网络安全运营者需强化的具体措施有:
为加强重要数据安全和个人信息防护,关键信息基础设施网络安全运营者还应建立并落实重要数据和个人信息安全保护制度。采取密码保护、可信验证、审计隔离等措施,保障重要数据安全,并保护个人信息保护安全,避免未预期的数据丢失、泄露及越权访问等风险,避免重要数据和个人信息违规出境,加强数据和个人信息境外存储或出境的安全评估。
健全网络安全综合防控体系
网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实是贯彻落实“两个制度”的主要目标。建立健全网络安全综合防控体系是保障网络安全,建立“打防管控”一体化能力的有效途径。
指导意见明确:公安机关建立挂牌督办制度,针对工作不力、或存在较大风险、发生重大案事件的单位,会同行业主管部门对相关负责人进行约谈,挂牌督办。
目前国际形势复杂,为保障软硬件产品和服务供应链安全,避免出现“卡脖子”问题,呼吁软硬件厂商、网络安全厂商、重要行业网络安全防护部门联合建立实验室,推进交叉学科建设、开展尖端技术理论研究,合力进行技术攻关,提升网络安全实战能力。保障关键基础设施从底层开始,构建可信的生态链,实现“自主可控”,并应用可信计算技术进行攻关、适配、演示、验证,构建可信生态,打造稳定的网络安全生态。