2024 年 03 月 29 日  星期五
您当前的位置 : 南海网 > 新闻中心 > 国内新闻 > 中国动态
字号:

关于建立我国关键信息基础设施安全防护能力评估体系的思考

来源:光明网 作者:孙彦 姚相振 时间:2018-04-12 22:47:04

  作者:中国电子技术标准化研究院孙彦 姚相振

  关键信息基础设施保护工作直接关系到国家安全、国计民生和公共利益,习近平总书记在“4·19讲话”中要求加快构建关键信息基础设施安全保障体系。《网络安全法》第五条明确规定国家应采取措施对关键基础设施进行保护,第三十四条规定了关键信息基础设施运营者的安全保护义务,第三十八条要求运营者每年至少进行一次检测评估。《关键信息基础设施安全保护条例(征求意见稿)》进一步明确了运营者的安全防护责任。

  关键信息基础设施保护体系的建立健全依赖于运营者网络安全防护能力的提升。对于运营者安全防护能力的评估则是促进能力提升的基础。美国、德国等西方国家在评估运营者安全防护能力方面有着丰富的经验。2014年,美国家标准技术研究所发布了《改善关键基础设施网络安全的框架》,指导组织或机构管理网络安全风险。同年,美能源部和国土安全部针对关键信息基础设施开发了网络安全能力成熟度模型(以下简称“C2M2模型”),指导运营者实现美国关键基础设施网络安全框架的落地执行。

  C2M2模型提供了网络安全防护能力评估的一种通用方法,适用于运营者对其信息系统、工控系统等资产的安全水平进行评估。模型从风险管理、配置管理、信息共享与交流、供应链和外部依赖管理等10个安全域进行评价。每个安全域由一系列安全实践组成。C2M2模型总结了安全实践的实施原则,提供了运营者安全能力的基线,模型的使用不具备强制性。不同行业的运营者可以从模型中自行选择所需的安全域和安全实践,评估其安全能力,识别差距和不足,强化关键信息基础设施的安全保护能力。C2M2模型提供了网络安全能力建设的统一参考,方便不同类型的机构交流经验。

  我国在关键信息基础设施安全保障体系建设方面起步较晚,急需建立关键信息基础设施安全防护能力评估体系:一是制定科学合理、扩展性强的关键信息基础设施网络安全能力评估标准。我国在关键信息基础设施安全防护能力的评估建设方面,应深入分析不同行业关键信息基础设施保护的实践经验,充分考虑不同领域可能存在迥异安全需求和扩展性要求,以适用于不同类型的关键信息基础设施安全能力的评估。

  二是应充分考虑我国国情,与已有网络安全能力评估框架标准的有效衔接。我国在关键信息基础设施保护领域正在制定包括《关键信息基础设施网络安全框架》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施检查评估指南》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》等在内的一系列标准,关键信息基础设施网络安全能力评估应与现行标准形成配套,充分考虑我国国情实际,突出威胁信息共享、监测预警、应急处置等横向协同的安全域内容,在国家网络安全标准的统一框架要求基础上不断完善。

 
责任编辑:邓丽
南海网24小时新闻报料热线966123
版权声明:
·凡注明来源为"南海网"的所有文字、图片、音视频、美术设计和程序等作品,版权均属南海网所有。未经本网书面授权,不得进行一切形式的下载、转载或建立镜像。
·凡注明为其它来源的信息,均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。
每日焦点
热度点击
海南南海网传媒股份有限公司 版权所有 1999-2020 电话:(86)0898-66810806  传真:0898-66810545 地址:海南省海口市金盘路30号新闻大厦9楼