关于建立我国关键信息基础设施安全防护能力评估体系的思考

时间:2018-04-13 13:16来源:大西北网 作者:光明网 点击: 载入中...
  作者中国电子技术标准化研究院孙彦姚相振
 
  关键信息基础设施保护工作直接关系到国家安全、国计民生和公共利益,习近平总书记在“4·19讲话”中要求加快构建关键信息基础设施安全保障体系。《网络安全法》第五条明确规定国家应采取措施对关键基础设施进行保护,第三十四条规定了关键信息基础设施运营者的安全保护义务,第三十八条要求运营者每年至少进行一次检测评估。《关键信息基础设施安全保护条例(征求意见稿)》进一步明确了运营者的安全防护责任。
 
  关键信息基础设施保护体系的建立健全依赖于运营者网络安全防护能力的提升。对于运营者安全防护能力的评估则是促进能力提升的基础。美国、德国等西方国家在评估运营者安全防护能力方面有着丰富的经验。2014年,美国家标准技术研究所发布了《改善关键基础设施网络安全的框架》,指导组织或机构管理网络安全风险。同年,美能源部和国土安全部针对关键信息基础设施开发了网络安全能力成熟度模型(以下简称“C2M2模型”),指导运营者实现美国关键基础设施网络安全框架的落地执行。
 
  C2M2模型提供了网络安全防护能力评估的一种通用方法,适用于运营者对其信息系统、工控系统等资产的安全水平进行评估。模型从风险管理、配置管理、信息共享与交流、供应链和外部依赖管理等10个安全域进行评价。每个安全域由一系列安全实践组成。C2M2模型总结了安全实践的实施原则,提供了运营者安全能力的基线,模型的使用不具备强制性。不同行业的运营者可以从模型中自行选择所需的安全域和安全实践,评估其安全能力,识别差距和不足,强化关键信息基础设施的安全保护能力。C2M2模型提供了网络安全能力建设的统一参考,方便不同类型的机构交流经验。
 
  我国在关键信息基础设施安全保障体系建设方面起步较晚,急需建立关键信息基础设施安全防护能力评估体系:一是制定科学合理、扩展性强的关键信息基础设施网络安全能力评估标准。我国在关键信息基础设施安全防护能力的评估建设方面,应深入分析不同行业关键信息基础设施保护的实践经验,充分考虑不同领域可能存在迥异安全需求和扩展性要求,以适用于不同类型的关键信息基础设施安全能力的评估。
 
  二是应充分考虑我国国情,与已有网络安全能力评估框架标准的有效衔接。我国在关键信息基础设施保护领域正在制定包括《关键信息基础设施网络安全框架》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施检查评估指南》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》等在内的一系列标准,关键信息基础设施网络安全能力评估应与现行标准形成配套,充分考虑我国国情实际,突出威胁信息共享、监测预警、应急处置等横向协同的安全域内容,在国家网络安全标准的统一框架要求基础上不断完善。返回光明网首页
(责任编辑:苏玉梅)
>相关新闻
  • 中共中央办公厅、国务院办公厅印发《关于建立以国家公园为主
  • 中华人民共和国和阿拉伯联合酋长国关于建立全面战略伙伴关系
  • 国务院印发《关于建立残疾儿童康复救助制度的意见》
  • 中华人民共和国和多米尼加共和国关于建立外交关系的联合公报
  • 信息基础设施安全是“正确的网络安全观”的保障
  • 贯彻落实总体国家安全观 健全完善关键信息基础设施安全保护法
  • 顶一下
    (0)
    0%
    踩一下
    (0)
    0%
    ------分隔线----------------------------
    推荐内容
    网站简介  |  保护隐私权  |  免责条款  |  广告服务  |  About Big northwest network  |  联系我们  |  版权声明
    陇ICP备08000781号  Powered by 大西北网络 版权所有  建议使用IE8.0以上版本浏览器浏览
    Copyright © 2010-2014 Dxbei Corporation. All Rights Reserved