网络安全行业点亮“航标灯”——《关键信息基础设施安全保护条例》解读

本文主要是介绍网络安全行业点亮“航标灯”——《关键信息基础设施安全保护条例》解读,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

编者按

能源、交通、水利、金融、公共服务等重要行业和领域作为经济社会运行的神经中枢,长期面临着各类安全威胁。近年来,世界各国纷纷出台网络安全战略并不断完善网络安全立法,加强关键信息基础设施保护。

在我国,作为首部专门针对关键信息技术设施安全保护工作的行政法规,《关键信息基础设施安全保护条例》施行在即。

本期产业安全TALK 分享一篇来自《中国电子报》的解读,作者通过深度剖析《条例》亮点与意义,进一步探讨了其对网络安全行业发展的影响。

 

记者:宋婧

来源:中国电子报

当前,关键基础设施正在成为网络攻击的主要目标。一桩桩大规模网络攻击事件触目惊心,中国、德国、俄罗斯、以色列、智利、伊朗等多个国家的关键基础设施均遭受过不同类型、不同程度的网络攻击,在全球范围内拉响了红色警报

近来,国内相关政策法规密集出台。其中,作为我国首部专门针对关键信息技术设施安全保护工作的行政法规,《关键信息基础设施安全保护条例》(以下简称《条例》)即将于91日正式施行,为网络安全行业的健康、有序发展点亮了一盏航标灯

关键词:范围、授权、责任


实际上,通过网络安全法,关键信息基础设施的概念首次在我国法律层面得以明确。《条例》则是针对关键信息基础设施的范围界定、授权认定、责任机制等关键性问题进行了更为详细的规定。


 

赛迪智库网络安全研究所所长刘权在接受《中国电子报》记者采访时说:《条例》采用了范围列举+授权认定的方法,对关键信息基础设施的内涵和外延做出规定。


 

在范围列举方面,《条例》第二条将关键信息基础设施定位于重要网络设施和信息系统,并以列举方式明确了其行业属性和影响属性两大界定标准:一是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等八个重要行业和领域;二是一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益


 

尤其值得关注的是,鉴于新兴互联网平台用户规模普遍在亿级以上,掌握着海量的高价值数据,如遇网络攻击,其危害程度不亚于传统行业,因此多位专家认为这些平台也可能被纳入关键信息基础设施的范围。


 

在授权认定方面,《条例》第二章对授权认定做出了规定,主要明确了两个要点:一是认定主体,即关键信息基础设施安全保护工作的部门,主要包括了《条例》第二条所述八个重要行业和领域的主管或监管部门;二是认定依据,《条例》第九条还明确了制定认定规则时应依据的重要程度”“危害程度关联影响三个主要考量因素。


 

安全责任机制的明确也是《条例》的亮点之一。《条例》的颁布传递出关键基础设施领域中安全的重要战略地位,关键基础设施的安全防护不仅仅是相关运营者的责任,更关乎国计民生和社会利益。腾讯安全战略发展中心行业安全专家组负责人陈颢明在接受《中国电子报》记者采访时表示,主要是责任包括关键基础设施运营者要落实的主体责任,以及未做好安全防护要负的法律责任。


 

刘权补充说,《条例》对于责任机制的规定主要有三点:一是突出主体责任,运营者在整个保护工作中,因其肩负重要职责而具有的不可替代作用。二是健全责任范围,形成对关键信息基础设施保护工作的全方位责任保障;三是明确责任方式,主要涵盖行政责任、民事责任和刑事责任三大类别。 

《条例》旨在解决哪些问题?

随着我国国民经济和社会信息化的全面推进,传统的社会活动不断向网络空间延伸扩展,经济与国家安全高度依赖于关键信息基础设施。完善关键信息基础设施保护法律体系,全面提升关键信息基础设施安全保护意识、保障能力和水平,已经成为网络安全博弈的制胜关键。陈颢明表示。


 

然而现阶段,我国关键信息基础设施的安全防护仍存在不少问题。华云数据控股集团高级副总裁郭晓在接受《中国电子报》记者采访时坦言:我国整体安全投入与全球市场还存在差距。国家统计局和IDC数据显示,我国网络安全产业占GDP0.41%,和美国相差3.6倍,网络安全产业规模和美国相差5.5倍。


 

不过,业界人士普遍认为,《条例》的出台将给国内网络安全产业带来较大增量空间。中信证券称,《条例》正式施行后有望带动省级、国家级关键信息基础设施安全投入增加。假设国家级、省级关键信息基础设施有望达到2万个,平均每个关键信息基础设施每年的安全投入为100万元,则《条例》带来的增量市场每年预计有200亿元。


 

陈颢明指出:结合近期的政策,政企安全投入比重的提升将推动网安行业开启高速增长期,预计未来安全投入与全球市场的差距将持续缩小。尤其是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等这些《条例》要求保护的重点行业,未来将是网络安全能力建设和投入的重点。


 

除了安全投入不足,我国关键信息基础设施安全保护还面临自主可控能力不足、缺乏完善有效的脆弱性评估机制和安全恢复计划、安全风险监测和预警机制较弱等挑战。刘权谈道。


 

今年5月国家互联网应急中心(CNCERT)发布的《2020年我国互联网网络安全态势综述》数据显示,勒索病毒、APT攻击、系统漏洞、数据安全等安全问题已逐渐成为企业、政府机构、金融机构等对网络安全性要求较高用户群体最为关心的核心问题之一。而关键信息基础设施网络安全事故多发,也从侧面凸显出产业生态的不完善。


 

《条例》的正式施行有望补足网络安全产业链的薄弱环节。刘权分析称,《条例》明确规定关键信息基础设施运营者应当落实网络安全责任,开展安全监测和风险评估,规范网络产品和服务采购活动。从这些要求看,网络安全行业中提供风险评估、等保测评以及合规性咨询等第三方服务企业将明显受益。尤其是是近年来兴起的网络安全托管服务,会获得更大的市场增长空间。陈颢明强调。


 

《条例》对信创产业和网安行业也表达了明确支持,指出应当优先采购安全可信的网络产品和服务。因此,跨越多行业,多领域的云服务提供商作为主要对象,其中具有信创和自主知识产权特色的企业,和具有跨界整合优质网络安全方案能力的企业会更加受益。郭晓表示。


 

另外,网络安全人才问题也将获得更多的关注。陈颢明认为,关键信息基础设施运营单位普遍存在网络安全人员编制少、人才流失严重、现有人员经验不足等诸多问题,《条例》的实施会带来更大的人才需求压力。一方面,在现有人才无法满足要求的情况下,关键信息基础设施运营单位亟须引入外部网络安全人才和服务,补齐和加强网络安全力量;另一方面,也要加强内部网络安全人才培训。

究竟应该怎么做?

传统的安全建设往往注重先进和高效的技术防御平台建设,却忽视了平台的持续运营能力和对事件的应急处置能力。大多数单位真正缺乏的是用好安全产品应对突发事件的能力,这无论是对关键信息基础设施运营单位的安全团队还是对提供产品和服务的安全企业,都是一个需要投入精力去解决的问题。在陈颢明看来,关键信息基础设施安全保护体系的建设,将更加强调安全运营、应急处置等实力的构建,要求业内企业和单位更加注重安全能力的持续、有效运作


 

一方面,关键基础设施运营者在其中扮演着不可替代的重要角色。刘权建议:运营者需重点做好以下三个方面工作。一是落实主体责任,通过建立安全保护制度、设立专门管理机构、加强网络安全意识教育等多种形式,切实保障相关资金落实,建立网络安全保障体系;二是高度重视安全保护工作,合规做好系统建设相关工作;三是定期开展网络安全检测和风险评估,发生重大安全事件应及时向相关部门报告。


 

另一方面,企业与安全从业者也是重要参与者,需提供更符合实际场景需求的安全解决方案。陈颢明谈到:关键信息基础设施的保护体系不应再是类似等保的基线式防护,而必须是有重点、有目标的针对性管控体系。安全行业从业者必须深入到不同关键信息基础设施行业的业务场景中,基于不同的行业风险考虑系统的应对措施。


 

郭晓指出,从网络安全角度出发,包括内外网安全、虚拟化安全、云原生安全都是关键信息基础设施安全保护的范围;业务数据多副本机制、本地保护策略、异地备份和恢复机制都应成为企业上云的必备前提。同时,服务商也应积极对照《条例》及网络安全法等法律法规,担起安全合规义务和责任,主动拥抱网络安全监管,规避合规风险,并依托创新技术,不断完善网络安全防御体系,为政府和企业用户构筑起一道云上的安全屏障。


 

总体来看,关键信息基础设施安全保护体系的建设更强调总体规划、技术可信、持续运营和有效性监管,要求整个行业的从业者共同协作,建立更完善的产业生态体系。陈颢明认为:这包括但不限于——规划层面,完善基于行业属性的安全标准与最佳实践;建设层面,促进安全可信技术的发展、安全产品和运营能力的规范化评价体系;运营层面,建立更顺畅的信息共享和技术协同机制,充分发挥运营者内部自查、行业监管和国家监管的多层保障和促进作用。

 

这篇关于网络安全行业点亮“航标灯”——《关键信息基础设施安全保护条例》解读的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


原文地址:https://blog.csdn.net/qcloud_security/article/details/119998335
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.chinasem.cn/article/658192

相关文章

Win32下C++实现快速获取硬盘分区信息

《Win32下C++实现快速获取硬盘分区信息》这篇文章主要为大家详细介绍了Win32下C++如何实现快速获取硬盘分区信息,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 实现代码CDiskDriveUtils.h#pragma once #include <wtypesbase

Linux系统之authconfig命令的使用解读

《Linux系统之authconfig命令的使用解读》authconfig是一个用于配置Linux系统身份验证和账户管理设置的命令行工具,主要用于RedHat系列的Linux发行版,它提供了一系列选项... 目录linux authconfig命令的使用基本语法常用选项示例总结Linux authconfi

web网络安全之跨站脚本攻击(XSS)详解

《web网络安全之跨站脚本攻击(XSS)详解》:本文主要介绍web网络安全之跨站脚本攻击(XSS)的相关资料,跨站脚本攻击XSS是一种常见的Web安全漏洞,攻击者通过注入恶意脚本诱使用户执行,可能... 目录前言XSS 的类型1. 存储型 XSS(Stored XSS)示例:危害:2. 反射型 XSS(Re

解读docker运行时-itd参数是什么意思

《解读docker运行时-itd参数是什么意思》在Docker中,-itd参数组合用于在后台运行一个交互式容器,同时保持标准输入和分配伪终端,这种方式适合需要在后台运行容器并保持交互能力的场景... 目录docker运行时-itd参数是什么意思1. -i(或 --interactive)2. -t(或 --

解读为什么@Autowired在属性上被警告,在setter方法上不被警告问题

《解读为什么@Autowired在属性上被警告,在setter方法上不被警告问题》在Spring开发中,@Autowired注解常用于实现依赖注入,它可以应用于类的属性、构造器或setter方法上,然... 目录1. 为什么 @Autowired 在属性上被警告?1.1 隐式依赖注入1.2 IDE 的警告:

Rust中的注释使用解读

《Rust中的注释使用解读》本文介绍了Rust中的行注释、块注释和文档注释的使用方法,通过示例展示了如何在实际代码中应用这些注释,以提高代码的可读性和可维护性... 目录Rust 中的注释使用指南1. 行注释示例:行注释2. 块注释示例:块注释3. 文档注释示例:文档注释4. 综合示例总结Rust 中的注释

解读Pandas和Polars的区别及说明

《解读Pandas和Polars的区别及说明》Pandas和Polars是Python中用于数据处理的两个库,Pandas适用于中小规模数据的快速原型开发和复杂数据操作,而Polars则专注于高效数据... 目录Pandas vs Polars 对比表使用场景对比Pandas 的使用场景Polars 的使用

Rust中的Drop特性之解读自动化资源清理的魔法

《Rust中的Drop特性之解读自动化资源清理的魔法》Rust通过Drop特性实现了自动清理机制,确保资源在对象超出作用域时自动释放,避免了手动管理资源时可能出现的内存泄漏或双重释放问题,智能指针如B... 目录自动清理机制:Rust 的析构函数提前释放资源:std::mem::drop android的妙

golang字符串匹配算法解读

《golang字符串匹配算法解读》文章介绍了字符串匹配算法的原理,特别是Knuth-Morris-Pratt(KMP)算法,该算法通过构建模式串的前缀表来减少匹配时的不必要的字符比较,从而提高效率,在... 目录简介KMP实现代码总结简介字符串匹配算法主要用于在一个较长的文本串中查找一个较短的字符串(称为

Python如何实现PDF隐私信息检测

《Python如何实现PDF隐私信息检测》随着越来越多的个人信息以电子形式存储和传输,确保这些信息的安全至关重要,本文将介绍如何使用Python检测PDF文件中的隐私信息,需要的可以参考下... 目录项目背景技术栈代码解析功能说明运行结php果在当今,数据隐私保护变得尤为重要。随着越来越多的个人信息以电子形