【网安创见】独家“揭秘”《关键信息基础设施安全保护条例》第三期 | 这些重要行业,都有网安身影
编者按
近日,网络安全领域发生的头等大事,便是国务院总理李克强于日前签署国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),并自9月1日起施行。
关键信息基础设施是经济社会运行的神经中枢,直接关系到国家安全、国计民生和公共利益,是维护国家网络安全的重中之重,也是保障经济社会健康发展、维护公共利益和公民合法权益的基石。制定出台《条例》,建立专项保护制度,有利于进一步健全关键信息基础设施安全保护法律制度体系。
中国网安特推出《条例》相关专题,看网络安全国家队如何响应党中央、国务院关于关键信息基础设施安全保护工作。
《条例》的第二条明确对关键信息基础设施做出定义,工业控制系统是属于生产业务类的关键信息基础设施,应用于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,其一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
工业控制安全作为中国网安重点打造的网络安全新动能之一,经过前期逾10年的探索发展,以及相应专业技术沉淀与人才基础,拥有信息安全技术方面的雄厚实力和业界口碑,结合在工业控制系统漏洞挖掘、工控协议的全向解析和精准管控技术、工业数据采集和安全分析技术、密码理论及应用等方面的技术积累,面向工业安全市场、围绕用户、把握需求、打造产品,依据工业控制信息安全市场前端提出的中心需求,以产品研发、技术研究高效服务于用户。
01 中国网安工业信息安全监管新模式
《条例》首先规定了重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(简称保护工作部门),并在第四章重点对保护工作部门以及国家网信部门、国务院电信主管部门、国务院公安部门等相关部门应履行的责任义务做出了详尽说明。中国网安针对经信部门、公安部门、网信部门等政府机关履行在工业安全特别是关键信息基础设施的工业信息安全保护的监管职责,通过打造“建设一个平台、研发一套工具、打造一支队伍、制订一套制度”的体系化建设,能够为政府主管部门提供工控安全态势感知、在线监测、安全检查、培训演练、应急响应和安全咨询等六大类37项安全服务,全面地实现了“区域监管服务化,安全运维平台化”的安全监管新模式。
★效果与价值
全国首创以工控安全服务的模式为地方政府执行监管职能进行全面支撑,全面提升城市工业信息安全科学治理水平。通过打造监管平台,输出精准服务,快速建立起区域工控安全监测网络,摸清城市工业企业安全现状、遏制联网工控安全风险、扎实做好城市重点工业企业现场服务、强化关键信息基础设施安全监管服务,使得城市关键信息基础设施工控系统信息安全监管能力得到显著提升。
02 中国网安工业信息安全防护方案
《条例》细化了关键信息基础设施运营者的责任义务。对运营者的总体要求是依照本条例和有关法律、行政法规规定以及国家标准的强制性要求。《条例》第三章又进一步对运营者责任义务进行细化,主要从规划建设、制度机制、机构设置、经费保障、人力配备、检测评估、产品采购等方面做出相关要求。中国网安工控安全能够为关键信息基础设施运营者提供全方位工控安全解决方案,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护核心数据的完整性、保密性和可用性。我们深耕多个重点行业,为各类工业企业提供工控安全解决方案,形成了一批工控安全示范项目和成功案例。例如在能源(电力、石油石化)、交通(铁路、民航)、工业制造(装备、电子制造)、市政(城市轨道交通)等行业形成了如下的典型案例:
工业制造(装备)
通过强化一个中心,三重防护的安全等级保护建设的核心思路,通过部署工业防火墙、工业装备安全网关等工控安全产品,对边界进行隔离,满足装备生产制造网不同区域之间的边界防护要求;部署工业网络安全智能监测审计系统等安全监测产品对生产控制层和生产设备层间的交互业务进行实时监控,对非法数据及时预警,对非法的资产接入进行监控报警,深度结合实际业务应用,解决生产系统存在的高风险项,降低安全运营风险,保障业务可靠性和安全性,以满足等保2.0、《工业控制系统信息安全防护指南》和行业规范等合规性要求。
★效果与价值
掌握装备制造行业工控信息安全特定需求,打造行业专用安全防护产品,制定具有装备制造行业特色的工控信息安全解决方案,建设成为行业工控信息安全标杆企业,起到试点示范效应,形成装备制造行业整体解决方案,面向整个装备制造行业进行推广。
能源(电力)
通过部署工业防火墙、工业网络安全智能监测系统、工控漏洞扫描系统、集中管理平台等工控安全产品,结合实际生产业务解决电力监控系统高风险项,为系统提供全方位的安全保障,实现系统的整体安全防护,降低安全运营风险;满足国家、行业法律法规等合规方面要求。
★效果与价值
通过应用工业网络安全态势感知技术、结合人工智能算法,威胁预测模型等,加强电厂生产各层级的网络安全数据关联,收集分析网络安全隐患和攻击行为,构建网络安全预警和通报机制,健全集团内部各单位之间的联动和协同能力。将企业网络安全能力建设融入到网络安全能力提升的过程中,将安全状态梳理,安全检测评估、安全风险评估、远程渗透、攻防测试验证等活动建立成日常安全运维工作的标准化流程。结合企业安全加固建设、风险评估服务、护网行动等典型应用,加大企业网络安全人才队伍建设和培养,探索员工加外部安全团队共同建立企业网络安全人才专家库的模式,逐步提升企业的网络安全硬实力和软实力。
能源(石油石化)
分析企业工业网络系统,于工厂办公网与生产控制网间部署工业防火墙,通过“白”名单机制,确保正确有效的数据与业务,阻断病毒或攻击对工业现场设备的威胁途径,保证控制网的安全。各层级之间部属监控引擎,通过监控中心集中监控控制网络的流量,对数据报文进行深度解析,识别异常事件并发送实时告警并提供审计报表。根据行业工业控制系统安全需求,采用商用密码等关键技术集中解决身份认证、数据传输、数据存储方面的安全需求,研制工控安全防护产品,突破工业控制系统的商用密码轻量化应用技术,围绕工控安全需求和法律法规政策要求,根据纵深防护的原则,构建商用密码基础保障,解决企业工控网络安全隐患的同时,构建可复制的行业应用推广模式。通过示范带动上中下游产业链发展,带动科研单位、安全企业以及用户单位整条产业链的经济发展,提升石油石化行业工业控制系统安全防护能力,为行业科学发展和强国建设奠定坚实基础。
《条例》第五章明确对运营者、网信部门、公安机关以及保护工作部门等相关主体需承担的法律责任做出说明,并按情形规定了相应的处罚措施。
中国网安作为网络安全国家队,将助力运营者、网信部门、公安机关以及保护工作部门坚实做好关键信息基础设施安全保护工作。
《条例》的颁布为我国网络安全产业发展提供了新的动力,国家对关键信息基础设施保护高度重视,是整个网络安全产业面临的挑战和机会,中国网安将紧紧围绕国家的战略需求,将挑战转换为发展的动力,继续提供体系化的工业网络安全产品及解决方案。
