返回
关键信息基础设施安全保护应把握几个要点.pdf

关键信息基础设施安全保护应把握几个要点.pdf

ID:23291272

大小:260.29 KB

页数:4页

时间:2018-11-06

关键信息基础设施安全保护应把握几个要点.pdf_第1页
关键信息基础设施安全保护应把握几个要点.pdf_第2页
关键信息基础设施安全保护应把握几个要点.pdf_第3页
关键信息基础设施安全保护应把握几个要点.pdf_第4页
资源描述:

《关键信息基础设施安全保护应把握几个要点.pdf》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、关键信息基础设施安全保护应把握几个要点(来源:《中国信息安全》2017年第8期,作者:闫晓丽)关键信息基础设施是国家的重要资产,《网络安全法》明确规定要对其实行重点保护。为落实法律要求,2017年7月10日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,划定了关键信息基础设施的保护范围,明确了各相关部门的安全保护职责,规定了安全保护的基本制度。对关键信息基础设施进行安全保护是各国通行的做法,美欧很早就建立了相关制度,采取了一系列措施,形成了一定的做法和经验。当前,我国正加快构建关键信息基础设施安全保护体系,应把握好几个要点。一、界定关键信息基础设施概念这是

2、对关键信息基础设施进行安全保护的前提。国际上有关键基础设施和关键信息基础设施两个概念。关键基础设施是指对国家至关重要的系统和资产,一旦遭受破坏或毁灭,将对国家安全、经济命脉、公民的健康安全等造成严重损害,如2001年美国《爱国者法》和2004年欧盟《保护关键基础设施打击恐怖主义》的规定。关键信息基础设施是指对关键基础设施自身至关重要或者其运行必不可少的信息通信系统,这些系统处理、接收、存储电子信息,如2011年美国国土安全部《安全网络未来蓝图:国土安全企业网络安全战略》和2005年《欧盟关键基础设施保护项目绿皮书》的规定。近年来,随着信息技术的普及和广泛应用,关键基础设施保护重点从物

3、理保护转向网络安全保护,关键基础设施和关键信息基础设施之间的界限日益模糊。我国《关键信息基础设施安全保护条例(征求意见稿)》采用关键信息基础设施的概念,是符合这一趋势的。二、明确关键信息基础设施具体范畴1这是关键信息基础设施安全保护的关键步骤,要实施保护必须明确哪些设施是“关键的”、“应当予以重点保护的”。从美欧的经验看,识别认定关键信息基础设施通常按照“关键领域—关键业务—支撑关键业务所需资源”的方法进行。确定关键领域的工作由政府主导,多通过法律政策明确规定,如美国经过不断调整和完善,2013年第21号总统令《提高关键基础设施的安全性和恢复力》确定了包括化工、商业设施、通信、关键制

4、造等在内的16类关键领域;2005年《欧盟关键基础设施保护项目绿皮书》中确定了能源、信息通信技术、水、食品、健康、金融等11类关键领域。关键业务和支撑关键业务所需资源的识别认定,需要依据一定的标准和程序进行,美国、欧盟都建立了基于后果的识别认定标准。美国在识别认定方面主要考虑死亡情况、经济损失、大规模撤离和国家安全影响四个方面,欧盟主要考虑影响范围、影响程度(从公众影响、经济影响、环境影响、政治影响、设施之间的相互依存关系等方面评估)、影响时间、服务的可替代性等因素。我国《关键信息基础设施安全保护条例(征求意见稿)》明确划定了关键信息基础设施范围,但是对于这些范围中包含哪些关键设施,

5、还需要进一步明确。参考美欧的做法,可以发展基于安全事件影响或后果的识别认定标准,逐步建立行业的、国家的关键信息基础设施清单。三、制定关键信息基础设施安全保护标准规范从美国、欧盟等经验看,标准规范是加强关键信息基础设施安全保护的一项重要举措。例如,美国2013年发布了关键基础设施网络安全框架,从识别、保护、检测、响应、恢复五个维度和资产管理、人员评估、安全意识培训、连续监测、响应恢复等方面加强网络安全风险管理;今年5月又发布了《联邦机构实施网络安全框架指南》草案,从整合安全风险、调整采购流程、管理安全计划等八个方面指导联邦政府机构实施网络安全框架。2我国《网络安全法》和《关键信息基础设

6、施安全保护条例(征求意见稿)》都明确规定要求运营者按照国家标准的强制性要求履行相关安全保护义务,但目前我国尚未建立关键信息基础设施安全保护标准规范体系。应当结合国际国内现有网络安全管理标准,制定相关标准规范,进一步明确和细化所有者和运营者的安全保护义务,促进其加强网络安全风险管理。四、提高态势感知、应急响应和恢复能力关键信息基础设施是网络防御的核心,建立有韧性的网络防御体系是各国的战略目标。如美国2003年《网络空间安全国家战略》曾提出,要确保信息系统在受到攻击的情况下还可以运行,并能很快恢复所有运行;第21号总统令《提高关键基础设施的安全性和恢复力》要求国土安全部具备对关键基础设施

7、实时的态势感知能力。不仅如此,美国还在以下四个方面采取了相关举措。一是开发和部署先进性的技术,如2011年美国《联邦网络空间安全研发战略规划》,提出重点发展具有“改变游戏规则”潜力的革命性技术,并确定了四个研发主题。二是部署态势感知系统,如美国在联邦机构部署爱因斯坦2和爱因斯坦3,并在各网络运行中心启用并支持共享的态势感知和协作。三是加强公私合作和安全威胁信息共享,如美国将共享网络安全威胁信息和共同处理危机事件作为关键信息基础设施合作的主要内容。四是规划和

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。