- 以贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础
- 以保护关键信息基础设施、重要网络和数据安全为重点,切实加强保卫、保护和保障
- 全面加强网络安全防范管理、监测预警、应急处置、侦查打击等各项措施,及时监测、处置网络安全风险和威胁
- 依法惩治网络违法犯罪活动,切实提高网络安全保护能力
- 积极构建国家网络安全综合防控体系,切实维护国家网络空间主权、国家安全和社会公共利益
- 保护人民群众的合法权益,保障和促进经济社会信息化健康发展。
- 坚持分等级保护、突出重点。重点保障关键信息基础设施、第三级以上网络、重要数据安全。
- 坚持积极防御、综合防护。充分利用人工智能、大数据分析等技术,强化安全监测、态势感知、通报预警和应急处置等重点工作。
- 坚持依法保护,形成合力。公安机关依法履行保卫和监管职责,行业主管部门履行本行业主管、监管责任,落实网络运营者主体防护责任。
- 网络安全等级保护制度深入贯彻实施。网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进。网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施得到有效落实,网络安全保护良好生态基本建立。
- 关键信息基础设施安全保护制度建立实施。关键信息基础设施底数清晰,安全保护机构健全、职责明确、保障有力。在贯彻落实网络安全等级保护制度的基础上,关键岗位人员管理、供应链安全、数据安全、应急处置等重点安全保护措施得到有效落实,关键信息基础设施安全防护能力明显增强。
- 网络安全监测预警和应急处置能力显著提升。跨行业、跨部门、跨地区的立体化网络安全监测体系和网络安全保护平台基本建成,网络安全态势感知、通报预警和事件发现处置能力明显提高。网络安全预案科学齐备,应急处置机制完善,应急演练常态化开展,网络安全重大事件得到有效防范、遏制和处置。
- 网络安全综合防控体系基本形成。网络安全保护工作机制健全完善,党委统筹领导、各部门分工负责、社会力量多方参与的工作格局进一步完善。网络安全责任制得到有效落实,网络安全管理防范、监督指导和侦查打击等能力显著提升,“打防管控”一体化的网络安全综合防控体系基本形成。
- 新目标:构建国家网络安全综合防控体系
- 新理念:实战化、体系化、常态化
- 新举措:动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控
- 新高度:国家网络安全综合防御能力和水平上升一个新高度
按照国家网络安全等级保护制度要求,各单位、各部门在公安机关指导监督下,认真组织、深入开展网络安全等级保护工作,建立良好的网络安全保护生态,切实履行主体责任,全面提升网络安全保护能力。
- 全面梳理本单位各类网络,特别是云计算、物联网、新型互联网、大数据、智能制造等新技术应用的基本情况。
- 科学确定网络的安全保护等级。
- 对第二级以上网络依法向公安机关备案,并向行业主管部门报备。
- 对新建网络,应在规划设计阶段确定安全保护等级。
- 公安机关进行备案审核。
- 依据《网络安全等级保护测评要求》等有关标准,对网络进行检测评估,查找可能存在的网络安全问题和隐患。
- 第三级以上网络运营者应委托等级测评机构,每年开展一次网络安全等级测评。
- 新建第三级以上网络应在通过等级测评后投入运行。
- 公安机关加强对等级测评机构的监督管理。
- 落实“同步规划、同步建设、同步使用”三同步要求。
- 依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,按照“一个中心、三重防护”要求,应用可信计算等新技术开展安全建设和整改加固,提高内生安全、主动免疫、主动防御能力。
- 可将网络系统迁移上云,或将网络安全服务外包,利用云服务商和网络安全服务商提升保护能力和水平。
- 完善人员管理、教育培训、系统建设和运维等管理制度。
- 行业主管部门、网络运营者应依据《网络安全法》等法律法规和中央关于网络安全工作责任制要求,建立网络安全等级保护工作责任制,落实责任追究制度,做到“守土有责、守土尽责”。
- 网络运营者要定期组织专门力量开展网络安全自查和检测评估,行业主管部门要组织风险评估,及时发现网络安全隐患和薄弱环节并予以整改。
- 应加强网络关键人员的安全管理,第三级以上网络运营者应对为其提供设计、建设、运维、技术服务的机构和人员加强管理,评估风险,并采取相应的管控措施。
- 应加强网络运维管理,因业务需要确需通过互联网远程运维的,应进行评估论证,并采取相应的管控措施。
- 应采购、使用符合国家法律法规和有关标准要求的网络产品及服务,积极应用安全可信的网络产品及服务。
- 应贯彻落实《密码法》等有关法律法规规定和密码应用相关标准规范。
- 第三级以上网络应正确、有效采用密码技术进行保护,并使用符合相关要求的密码产品和服务。
- 第三级以上网络运营者应在网络规划、建设和运行阶段,按照密码应用安全性评估管理办法和相关标准,在网络安全等级测评中同步开展密码应用安全性评估。
- 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定关键信息基础设施认定规则,并报公安部备案。
- 保护工作部门根据认定规则负责组织认定关键信息基础设施,及时将认定结果通知运营者,并报公安部。
- 公安部指导监督关键信息基础设施安全保护工作、会同相关部门加强顶层设计和规划部署,健全完善关保制度体系。
- 保护工作部门负责本行业关保工作的组织领导,制定并实施关保总体规划和安全防护策略,落实指导监督责任。
- 关基运营者负责设置专门安全管理机构,组织开展关保工作,主要负责人对本单位关保工作负总责。
- 关基运营者应依据等级保护标准开展安全建设并进行等级测评,发现问题和风险隐患要及时整改
- 依据关键信息基础设施安全保护标准,加强安全保护和保障,并进行安全检测评估
- 要梳理网络资产,建立资产档案,强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施
- 利用新技术开展网络安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全技术保护体系。
- 有条件的运营者应组建自己的安全服务机构,承担关键信息基础设施安全保护任务
- 也可通过迁移上云或购买安全服务等方式,提高网络安全专业化、集约化保障能力。
- 收敛互联网暴露面,加强攻击点管控
- 梳理网络资产,开展重点防护和加固
- 在关键节点架设监测设备,发现未知威胁
- 布设第二代密罐、沙箱,诱捕网络攻击
- 网络架构合理分区分域,加强纵深防御
- 建立威胁情报共享机制,加强主动防御
- 开展实战演习,提升攻防对抗能力
- 运营者应建立并落实重要数据和个人信息安全保护制度,采取身份鉴别、访问控制、密码保护、安全审计、安全隔离、可信验证等关键技术措施,切实保护重要数据全生命周期安全。
- 研究新技术,架桥、加密、建模、应用,实现:数据不出门、可用不可见;不被我所有但为我所用。
- 个人信息和重要数据应当在境内存储,确需向境外提供的,应当遵守有关规定并进行安全评估。
- 要对专门安全管理机构的负责人和关键岗位人员进行安全审查,加强管理。
- 要对设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全。
- 当采购产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。
- 公安机关加强对关键信息基础设施安全服务机构的安全管理,为运营者开展安全保护工作提供支持。
按照国家“一带一路”重大战略举措要求,实施“一带一路”网络安全战略,网络安全等级保护制度先行。在公安部指导下,国有企业与网络安全企业让“一带一路”国家共享中国网络安全等级保护政策、标准和经验,同时,保护中国企业在国外的网络基础设施和数据安全,保护企业生产业务安全,保护国家海外利益。
以上内容整理于网络安全等级保护和关键信息基础设施安全保护工作宣贯会。
北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。 威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了全系列工控网络安全专用产品,拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、全国两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。 威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!
原文始发于微信公众号(威努特工控安全):郭启全:以落实“两个制度”为主线全面加强网络安全综合防控体系建设