2020年9月2日,由公安部网络安全保卫局指导,公安部第三研究所、公安部第一研究所主办的“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”在京召开。本次大会旨在宣贯网络安全等级保护制度和关键信息基础设施安全保护制度,解读《网络安全等级保护定级指南》,研讨网络安全等级保护制度如何服务好国家“一带一路”战略,以及网络安全领域引入保险的对策与机制等,共吸引超过十万线上观众参与。
公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全就7月22日公安部发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020]1960号)进行了宣贯解读,以下为国舜股份为您梳理的郭启全副局长演讲内容摘要——
指导思想、基本原则和工作目标
(一)指导思想
- 以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础
- 以保护关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障
- 全面加强网络安全防范管理、监测预警、应急处置、侦查打击等各项措施,及时监测、处置网络安全风险和威胁
- 依法惩治网络违法犯罪活动,切实提高网络安全保护能力
- 积极构建国家网络安全综合防控体系,切实维护国家网络空间主权、国家安全和社会公共利益
- 保护人民群众的合法权益,保障和促进经济社会信息化健康发展。
(二)基本原则
- 坚持分等级保护、突出重点。重点保障关键信息基础设施、第三级以上网络、重要数据安全。
- 坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作。
- 坚持依法保护,形成合力。公安机关依法履行保卫和监管职责,行业主管部门履行本行业主管、监管责任,落实网络运营者主体防护责任。
(三)工作目标
1、网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实,网络安全保护良好生态基本建立。
2、关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰,安全保护机构健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上,关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有效落实,关键信息基础设施安全防护能力明显增强。
3、网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安全监测体系和网络安全保护平台基本建成,网络安全态势感知、通报预警和事件发现处置能力明显提高。网络安全预案科学齐备,应急处置机制完善,应急演练常态化开展,网络安全重大事件得到有效防范、遏制和处置。
4、网络安全综合防控体系基本形成。网络安全保护工作机制健全完善,党委统筹领导、各部门分工负责、社会力量多方参与的工作格局进一步完善。网络安全责任制得到有效落实,网络安全管理防范、监督指导和侦查打击等能力显著提升,“打防管控”一体化的网络安全综合防控体系基本形成。
(四)落实“四新”要求
- 新目标:构建国家网络安全综合防控体系
- 新理念:实战化、体系化、常态化
- 新举措:动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控
- 新高度:国家网络安全综合防御能力和水平上升一个新高度
深入贯彻实施国家网络安全等级保护制度
按照国家网络安全等级保护制度要求,各单位、各部门在公安机关指导监督下,认真组织、深入开展网络安全等级保护工作,建立良好的网络安全保护生态,切实履行主体责任,全面提升网络安全保护能力。
(一)深化网络定级备案工作
- 全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况。
- 科学确定网络的安全保护等级。
- 对第二级以上网络依法向公安机关备案,并向行业主管部门报备。
- 对新建网络,应在规划设计阶段确定安全保护等级。
- 公安机关进行备案审核。
(二)定期开展网络安全等级测评
- 依据《网络安全等级保护测评要求》等有关标准,对网络进行检测评估,查找可能存在的网络安全问题和隐患。
- 第三级以上网络运营者应委托等级测评机构,每年开展一次网络安全等级测评。
- 新建第三级以上网络应在通过等级测评后投入运行。
- 公安机关加强对等级测评机构的监督管理。
(三)科学开展安全建设整改
- 落实“同步规划、同步建设、同步使用”三同步要求。
- 依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,按照“一个中心、三重防护”要求,应用可信计算等新技术开展安全建设和整改加固,提高内生安全、主动免疫、主动防御能力。
- 可将网络系统迁移上云,或将网络安全服务外包,利用云服务商和网络安全服务商提升保护能力和水平。
- 完善人员管理、教育培训、系统建设和运维等管理制度。
(四)强化安全责任落实
- 行业主管部门、网络运营者应依据《网络安全法》等法律法规和中央关于网络安全工作责任制要求,建立网络安全等级保护工作责任制,落实责任追究制度,做到“守土有责、守土尽责”。
- 网络运营者要定期组织专门力量开展网络安全自查和检测评估,行业主管部门要组织风险评估,及时发现网络安全隐患和薄弱环节并予以整改。
(五)加强供应链安全管理
- 应加强网络关键人员的安全管理,第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估风险,并采取相应的管控措施。
- 应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。
- 应采购、使用符合国家法律法规和有关标准要求的网络产品及服务,积极应用安全可信的网络产品及服务。
(六)落实密码安全防护要求
- 应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。
- 第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。
- 第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
建立并实施关键信息基础设施安全保护制度
公安机关指导监督关键信息基础设施安全保护工作。各单位、各部门应加强关键信息基础设施安全的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系建设,建立并实施关键信息基础设施安全保护制度,在落实网络安全等级保护制度基础上,强化保护措施,切实维护关键信息基础设施安全。
(一)组织认定关键信息基础设施
- 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定关键信息基础设施认定规则,并报公安部备案。
- 保护工作部门根据认定规则负责组织认定关键信息基础设施,及时将认定结果通知运营者,并报公安部。
(二)明确关键信息基础设施安全保护工作职能分工
- 公安部指导监督关键信息基础设施安全保护工作、会同相关部门加强顶层设计和规划部署,健全完善关保制度体系。
- 保护工作部门负责本行业关保工作的组织领导,制定并实施关保总体规划和安全防护策略,落实指导监督责任。
- 关基运营者负责设置专门安全管理机构,组织开展关保工作,主要负责人对本单位关保工作负总责。
(三)落实关键信息基础设施重点防护措施和实战措施
- 关基运营者应依据等级保护标准开展安全建设并进行等级测评,发现问题和风险隐患要及时整改
- 依据关键信息基础设施安全保护标准,加强安全保护和保障,并进行安全检测评估
- 要梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施
- 利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全技术保护体系。
- 有条件的运营者应组建自己的安全服务机构,承担关键信息基础设施安全保护任务
- 也可通过迁移上云或购买安全服务等方式,提高网络安全专业化、集约化保障能力。
落实实战措施:
- 收敛互联网暴露面,加强攻击点管控
- 梳理网络资产,开展重点防护和加固
- 在关键节点架设监测设备,发现未知威胁
- 布设第二代密罐、沙箱,诱捕网络攻击
- 网络架构合理分区分域,加强纵深防御
- 建立威胁情报共享机制,加强主动防御
- 开展实战演习,提升攻防对抗能力
(四)加强重要数据和个人信息保护
- 运营者应建立并落实重要数据和个人信息安全保护制度,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。
- 研究新技术,架桥、加密、建模、应用,实现:数据不出门、可用不可见;不被我所有但为我所用。
- 个人信息和重要数据应当在境内存储,确需向境外提供的,应当遵守有关规定并进行安全评估。
(五)强化核心岗位人员和产品服务的安全管理
- 要对专门安全管理机构的负责人和关键岗位人员进行安全审查,加强管理。
- 要对设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全。
- 当采购产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。
- 公安机关加强对关键信息基础设施安全服务机构的安全管理,为运营者开展安全保护工作提供支持。
加强网络安全保护工作协作配合
行业主管部门、网络运营者与公安机关要密切协同,大力开展安全监测、通报预警、应急处置、威胁情报等工作,落实常态化措施,提升应对、处置网络安全突发事件和重大风险防控能力。
(一)加强网络安全立体化监测体系建设
- 全面加强网络安全监测,发现攻击和威胁,立即报告公安机关和有关部门,并采取有效措施处置。
- 要加强网络新技术研究和应用,研究绘制网络空间地理信息图谱(网络地图),实现挂图作战。
- 要建设网络安全保护业务平台,建设平台智慧大脑,依托平台和大数据开展保护工作,并与公安机关平台对接。
- 重点行业、网络运营者和公安机关要建设网络安全监控指挥中心,落实7×24小时值班值守制度。
(二)加强网络安全信息共享和通报预警
- 依托国家网络与信息安全信息通报机制,加强信息通报预警力量、机制,加强威胁情报工作,组织开展威胁分析和态势研判,及时通报预警和处置。
- 开展安全监测预警和信息通报工作,及时接收、处置来自各方的预警通报信息,按规定向行业主管部门、公安机关报送监测预警信息和网络安全事件。
- 公安机关要加强通报预警机制建设和力量建设。
(三)加强网络安全应急处置机制建设
- 制定应急预案,加强应急力量建设和应急资源储备,与公安机关密切配合,建立事件报告制度和应急处置机制。
- 定期开展应急演练,有效处置网络安全事件,并针对突出问题和漏洞隐患,及时整改加固,完善保护措施。
- 行业主管部门、网络运营者应配合公安机关每年组织开展的监督检查和实战化工作,提升保护和对抗能力。
(四)加强网络安全事件处置和案件侦办
- 关键信息基础设施、第三级以上网络发生重大网络安全威胁和事件时,行业主管部门、网络运营者和公安机关应联合开展处置。
- 电信业务经营者、网络服务提供者应提供支持及协助。
- 网络运营者应配合公安机关打击网络违法犯罪活动;发现违法犯罪线索、重大网络安全威胁和事件时,应及时报告公安机关和有关部门并提供必要协助。
(五)加强网络安全问题隐患整改督办
- 公安机关建立挂牌督办制度,针对工作不力、或存在较大风险、发生重大案事件的单位,会同行业主管部门对相关负责人进行约谈,挂牌督办。
- 加大监督检查和行政执法力度,依法依规进行行政处罚。
- 网络运营者应按照有关要求采取措施,及时进行整改,消除重大风险隐患。
- 发生重大网络安全案事件的,行业主管部门应组织全行业开展整改整顿。
加强网络安全工作各项保障
行业主管部门、网络运营者与公安机关要密切协同,大力开展安全监测、通报预警、应急处置、威胁情报等工作,落实常态化措施,提升应对、处置网络安全突发事件和重大风险防控能力。
(一)加强组织领导
- 要高度重视等级保护和关基保护工作,加强统筹领导和规划设计,认真研究解决机构设置、人员配备、经费投入、安全保护措施建设等重大问题。
- 行业主管部门和网络运营者要明确本单位主要负责人是网络安全的第一责任人,并确定一名领导班子成员分管网络安全工作,成立网络安全专门机构,明确任务分工,一级抓一级,层层抓落实。
(二)加强经费政策保障
- 通过现有经费渠道,保障开展等级测评、风险评估、密码应用检测、演练竞赛、安全建设整改、安全保护平台建设、密码保障系统建设、运维、教育培训等经费投入。
- 关基运营者应保障足额的网络安全投入,做出网络安全和信息化有关决策时应有网络安全管理机构人员参与。
- 有关部门要扶持重点网络安全技术产业和项目,支持技术研究开发和创新应用,推动网络安全产业健康发展。
(三)加强考核评价
- 各单位、各部门要进一步健全完善网络安全考核评价制度,明确考核指标,组织开展考核。
- 公安机关将网络安全工作纳入社会治安综合治理考核评价体系,每年组织对各地区网络安全工作进行考核评价,每年评选网络安全等级保护、关键信息基础设施安全保护工作先进单位,并将结果报告党委政府,通报网信部门。
(四)加强理论研究和技术攻关
- 按照“理论支撑技术、技术支撑实战、实战支撑能力”的理念,将地理学、网络安全学、计算机图形学、人工智能理论等有机结合,研究交叉学科网络空间地理学。
- 支撑网络空间智能认知技术、测绘技术、画像与定位技术、可视化表达技术、图谱构建技术等尖端技术研究。
- 尖端技术支撑情报侦察、侦查打击、安全监管、安全防护、应急指挥、事件处置等实战,大力提升实战能力。
- 建立“国家网络安全等级保护制度2.0与可信计算3.0攻关示范基地”,面向通用网络和云计算、物联网、移动互联、工控系统、大数据等新技术应用,组织产、学、研、用各领域代表性单位开展等级保护2.0和可信计算3.0联合技术攻关、适配测试、演示验证和示范应用。
- 构建安全可信的生态链,打造技术攻关、适配测试、典型示范和成果展示等平台,开展基础软硬件与网络安全产品的可信适配性测试和验证;开展联合攻关和验证;搭建典型应用系统,开展检测验证。
- 联合建立“网络空间地理学”实验室,开展理论、技术研究,支撑实战(业务),提升整体能力。
- 充分调动网络安全企业、科研机构、专家等社会力量积极参与网络安全核心技术攻关,加强网络安全协同协作、互动互补、共治共享和群防群治。
- 公安机关要会同有关部门加强等级保护和关基保护标准制定工作,出台标准应用指南,加强标准宣贯和应用实施。
(五)加强人才培养
- 要加强等级保护和关基保护业务交流,通过组织开展比武竞赛等形式,发现选拔高精尖技术人才,建设人才库
- 高等院校和研究机构、网络安全企业要大力培养实战化人才
- 建立健全人才发现、培养、选拔和使用机制,为做好网络安全工作提供人才保障。
实施“一带一路”网络安全战略
按照国家“一带一路”重大战略举措要求,实施“一带一路”网络安全战略,网络安全等级保护制度先行。在公安部指导下,国有企业与网络安全企业让“一带一路”国家共享中国网络安全等级保护政策、标准和经验,同时,保护中国企业在国外的网络基础设施和数据安全,保护企业生产业务安全,保护国家海外利益。
网络安全领域引入保险机制
借鉴发达国家成熟经验,在网络安全领域引入保险机制,是解决我国网络安全风险问题、提高网络安全风险治理能力的新途径。公安部会同有关部门推进。
重点工作:加强顶层设计,出台政策,支持网络安全保险业发展;研究网络安全保险法律、政策、标准规范,确保新机制落地;共同培育市场,试点先行,支持保险公司构建“保险+风险管控+服务”模式。
内容来源:湖南金盾评估中心
来源:梳理自网络安全等级保护和关键信息基础设施安全保护工作宣贯会宣讲内容