新聞中心

NEWS

首頁 - 新聞中心 -

電子政務(wù)外網(wǎng)中關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)機(jī)制研究

發(fā)布時(shí)間: 2023-11-29 18:48
近年來,全球關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事件急劇增加,安全威脅日益嚴(yán)峻。我國(guó)作為面臨網(wǎng)絡(luò)威脅最嚴(yán)重的國(guó)家之一,關(guān)鍵信息基礎(chǔ)設(shè)施的安全對(duì)于國(guó)家發(fā)展大局,對(duì)維護(hù)國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定具有重要意義。黨的十八大以來,以習(xí)近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全和信息化工作,為貫徹落實(shí)習(xí)近平總書記關(guān)于“筑牢網(wǎng)絡(luò)安全防線,提高網(wǎng)絡(luò)安全保障能力,強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)”的重要指示精神,進(jìn)一步推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的建設(shè),《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)于 2021 年 9 月 1 日正式實(shí)施。作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī),《條例》完善了關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定方法、明確了運(yùn)營(yíng)者的責(zé)任義務(wù)、提出了保障和促進(jìn)措施,規(guī)定了法律責(zé)任。在《條例》實(shí)施的兩年中,關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度體系逐步完善,推動(dòng)各行業(yè)、各領(lǐng)域按照要求全面開展和落實(shí)安全保護(hù)工作。
在電子政務(wù)領(lǐng)域,《條例》為推動(dòng)政務(wù)信息化建設(shè)提供了有效的安全保障,為數(shù)字政府在線履職、服務(wù)于民提供了有力支撐。國(guó)家電子政務(wù)外網(wǎng)作為電子政務(wù)領(lǐng)域的重要信息基礎(chǔ)設(shè)施,在承載重要業(yè)務(wù)、各級(jí)政府間協(xié)同以及為人民群眾提供在線服務(wù)等方面發(fā)揮著重要作用,其網(wǎng)絡(luò)安全和數(shù)據(jù)安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的重中之重。為強(qiáng)化關(guān)基信息基礎(chǔ)設(shè)施的安全保護(hù),國(guó)家電子政務(wù)外網(wǎng)采取了多種措施,包括制定規(guī)章制度和標(biāo)準(zhǔn)規(guī)范、推廣技術(shù)應(yīng)用以及進(jìn)行攻防演練等。

一、國(guó)家電子政務(wù)外網(wǎng)中關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)技術(shù)機(jī)制

基于《條例》中的保障和促進(jìn)措施,結(jié)合《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》,國(guó)家電子政務(wù)外網(wǎng)遵循“以關(guān)鍵業(yè)務(wù)為核心的整體防護(hù),以風(fēng)險(xiǎn)管理為導(dǎo)向的動(dòng)態(tài)防護(hù),以信息共享為基礎(chǔ)的協(xié)同聯(lián)防”三項(xiàng)保護(hù)原則,開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和數(shù)據(jù)安全能力建設(shè)。在安全自查、監(jiān)測(cè)預(yù)警、應(yīng)急處置等方面落實(shí)保護(hù)工作,構(gòu)建全方位的數(shù)字政府安全保障體系。
(一)網(wǎng)絡(luò)安全能力建設(shè)
一是嚴(yán)格落實(shí)安全自查工作。每年開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)自查工作,全面摸清網(wǎng)絡(luò)安全保護(hù)狀況,檢測(cè)排查并督促整改網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患、漏洞和突出問題,防范發(fā)生網(wǎng)絡(luò)信息安全事故,確保網(wǎng)絡(luò)安全平穩(wěn)運(yùn)行。二是推進(jìn)監(jiān)測(cè)預(yù)警平臺(tái)建設(shè)。加強(qiáng)國(guó)家電子政務(wù)外網(wǎng)網(wǎng)絡(luò)信息安全通報(bào)預(yù)警力量建設(shè),推進(jìn)主管部門和安全廠商之間的網(wǎng)絡(luò)安全威脅情報(bào)共享協(xié)同,深度挖掘分析,及時(shí)收集、匯總、分析和共享各方網(wǎng)絡(luò)安全信息,建立具有政務(wù)外網(wǎng)特色的威脅情報(bào)信息庫。在政務(wù)外網(wǎng)網(wǎng)絡(luò)安全監(jiān)測(cè)工作的基礎(chǔ)上,推進(jìn)安全監(jiān)測(cè)預(yù)警平臺(tái)的建設(shè),逐步具備基礎(chǔ)網(wǎng)絡(luò)監(jiān)測(cè)、政務(wù)云監(jiān)測(cè)、政務(wù)應(yīng)用監(jiān)測(cè)以及政務(wù)數(shù)據(jù)監(jiān)測(cè)能力,并提供 7×24 小時(shí)的安全監(jiān)測(cè)服務(wù)。三是完善事件應(yīng)急處置機(jī)制。制定并完善針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的應(yīng)急處置預(yù)案,定期進(jìn)行預(yù)案的研討及更新修訂,不斷提高風(fēng)險(xiǎn)防范和應(yīng)急處置能力。結(jié)合自動(dòng)化安全事件處置平臺(tái),建立人機(jī)共治的機(jī)制,大大提升了處置效率。四是定期開展實(shí)戰(zhàn)化攻防演練。通過定期開展實(shí)戰(zhàn)化攻防演練,檢驗(yàn)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力,提升網(wǎng)絡(luò)安全應(yīng)急處置隊(duì)伍的應(yīng)對(duì)能力。在實(shí)踐中不斷完善安全應(yīng)急處置流程和工作機(jī)制,進(jìn)一步提高安全事件應(yīng)急處置的綜合能力水平,促進(jìn)形成常態(tài)化的網(wǎng)絡(luò)安全保障措施。五是持續(xù)強(qiáng)化央地協(xié)同聯(lián)動(dòng)能力。國(guó)家電子政務(wù)外網(wǎng)積極推進(jìn)《條例》的貫徹實(shí)施,協(xié)同各省市加快推進(jìn)覆蓋全網(wǎng)、整體聯(lián)動(dòng)、準(zhǔn)確高效、功能完備的國(guó)家電子政務(wù)外網(wǎng)安全體系建設(shè)。為各級(jí)政務(wù)外網(wǎng)安全管理部門搭建跨地域、跨層級(jí)、跨系統(tǒng)的安全事件協(xié)同處置通道,進(jìn)一步提升全網(wǎng)監(jiān)測(cè)發(fā)現(xiàn)、分析研判、預(yù)警通報(bào)、信息共享和協(xié)同處置能力,切實(shí)保障政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全、業(yè)務(wù)安全和數(shù)據(jù)安全。
(二)數(shù)據(jù)安全能力建設(shè)
國(guó)家電子政務(wù)外網(wǎng)圍繞數(shù)據(jù)安全技術(shù)方面要求,針對(duì)正在建設(shè)和運(yùn)行的關(guān)鍵信息基礎(chǔ)設(shè)施,結(jié)合實(shí)際工作和經(jīng)驗(yàn)總結(jié),制定了多項(xiàng)規(guī)章制度和標(biāo)準(zhǔn)規(guī)范,形成了多項(xiàng)政務(wù)數(shù)據(jù)安全保護(hù)措施,用于指導(dǎo)各環(huán)節(jié)的政務(wù)數(shù)據(jù)安全保護(hù)工作。
1. 建立政務(wù)數(shù)據(jù)安全規(guī)章制度與標(biāo)準(zhǔn)規(guī)范
通過制定國(guó)家電子政務(wù)外網(wǎng)數(shù)據(jù)安全和數(shù)據(jù)運(yùn)維管理制度,提供政務(wù)數(shù)據(jù)分類分級(jí)的方法指導(dǎo)和安全保護(hù)技術(shù)要求,確保了關(guān)鍵信息基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行和數(shù)據(jù)的安全可靠性。標(biāo)準(zhǔn)規(guī)范提供了政務(wù)數(shù)據(jù)安全技術(shù)框架,規(guī)定了政務(wù)數(shù)據(jù)準(zhǔn)備、交換和使用階段的安全技術(shù)要求,以及相關(guān)信息基礎(chǔ)設(shè)施的安全技術(shù)要求,指導(dǎo)解決政務(wù)信息共享交換中可能出現(xiàn)的數(shù)據(jù)泄露、數(shù)據(jù)濫用等問題,增強(qiáng)政務(wù)信息共享交換的數(shù)據(jù)安全保障能力。
2. 制定落實(shí)政務(wù)數(shù)據(jù)安全保護(hù)措施
開展重要數(shù)據(jù)分類分級(jí)工作。針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施,根據(jù)政務(wù)領(lǐng)域數(shù)據(jù)分類分級(jí)、重要數(shù)據(jù)和核心數(shù)據(jù)識(shí)別認(rèn)定、數(shù)據(jù)分級(jí)防護(hù)等標(biāo)準(zhǔn)規(guī)范,制定形成數(shù)據(jù)分類分級(jí)規(guī)則,
開展數(shù)據(jù)分類分級(jí)管理工作。通過人工和技術(shù)工具的結(jié)合,識(shí)別數(shù)據(jù)資源并梳理形成數(shù)據(jù)資產(chǎn)目錄,明確業(yè)務(wù)數(shù)據(jù)類型和數(shù)據(jù)級(jí)別。開展重要數(shù)據(jù)安全保護(hù)。主要采取六個(gè)方面措施:一是針對(duì)重要數(shù)據(jù)字段及個(gè)人敏感信息,采用基于國(guó)密的密碼技術(shù),對(duì)數(shù)據(jù)交換通道和存儲(chǔ)進(jìn)行加密,確保數(shù)據(jù)傳輸和存儲(chǔ)的安全性。二是嚴(yán)格控制數(shù)據(jù)訪問,對(duì)數(shù)據(jù)服務(wù)器及應(yīng)用系統(tǒng)進(jìn)行點(diǎn)對(duì)點(diǎn)的精細(xì)化訪問控制,防止未經(jīng)授權(quán)的訪問。三是加強(qiáng)數(shù)據(jù)庫的操作審計(jì),以防止數(shù)據(jù)非法導(dǎo)入和導(dǎo)出。四是加強(qiáng)人員管理,采用數(shù)字證書進(jìn)行操作身份認(rèn)證,并按照最小授權(quán)原則開放權(quán)限。五是嚴(yán)格控制遠(yuǎn)程管理的開通權(quán)限和時(shí)限,通過限定訪問端口和記錄操作行為來降低遠(yuǎn)程管理風(fēng)險(xiǎn)。六是探索建立數(shù)據(jù)標(biāo)識(shí)和分類分級(jí)保護(hù)平臺(tái),利用密碼技術(shù)實(shí)現(xiàn)對(duì)共享交換數(shù)據(jù)標(biāo)識(shí)、管控和溯源,確保數(shù)據(jù)交換的真實(shí)性、保密性和完整性,實(shí)現(xiàn)數(shù)據(jù)流轉(zhuǎn)過程的“可視化”。

二、國(guó)家電子政務(wù)外網(wǎng)中關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理機(jī)制

《條例》明確了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和安全管理機(jī)構(gòu)的責(zé)任與義務(wù),國(guó)家電子政務(wù)外網(wǎng)按照相關(guān)要求,制定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理辦法,明確責(zé)任主體、組織結(jié)構(gòu)和責(zé)任分工,堅(jiān)持“誰運(yùn)營(yíng)、誰負(fù)責(zé)”原則,履行好關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的主體責(zé)任,確保安全保護(hù)工作有序開展,切實(shí)提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保障水平。此外,國(guó)家電子政務(wù)外網(wǎng)在現(xiàn)有分工的基礎(chǔ)上,設(shè)立專門的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理機(jī)構(gòu),負(fù)責(zé)統(tǒng)籌安全管理工作,建立統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的管理機(jī)制,并履行如下職責(zé)。
一是建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全管理制度。國(guó)家電子政務(wù)外網(wǎng)推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)管理工作方案的制定,確保安全保護(hù)措施與關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)劃、建設(shè)和使用同步進(jìn)行。同時(shí),實(shí)行一把手負(fù)責(zé)制,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的主要負(fù)責(zé)人將負(fù)總責(zé),領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)、安全能力建設(shè)和重大網(wǎng)絡(luò)安全事件處置工作,并組織研究解決重大網(wǎng)絡(luò)安全問題。此外,管理制度還明確了管理責(zé)任部門、認(rèn)定規(guī)則、安全規(guī)劃、安全標(biāo)準(zhǔn)、評(píng)價(jià)考核等一系列合規(guī)要求。
二是組織制定政務(wù)數(shù)據(jù)分類分級(jí)指南,完善政務(wù)數(shù)據(jù)分類分級(jí)安全工作規(guī)則和管理制度。規(guī)范政務(wù)數(shù)據(jù)安全使用原則,明確政務(wù)數(shù)據(jù)安全負(fù)責(zé)人和具體工作要求,落實(shí)相關(guān)責(zé)任。建立數(shù)據(jù)資產(chǎn)目錄、摸清家底,明確各項(xiàng)資產(chǎn)的安全管理負(fù)責(zé)人,圍繞政務(wù)數(shù)據(jù)全生命周期實(shí)施數(shù)據(jù)分類分級(jí)管理,根據(jù)業(yè)務(wù)應(yīng)用屬性對(duì)政務(wù)數(shù)據(jù)進(jìn)行分類分級(jí)保護(hù),組織專業(yè)團(tuán)隊(duì)開展數(shù)據(jù)安全監(jiān)測(cè),著重關(guān)注重要數(shù)據(jù)的界定、識(shí)別,盯緊重要數(shù)據(jù)安全防護(hù),嚴(yán)防重要數(shù)據(jù)泄露。
三是持續(xù)推進(jìn)商用密碼在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中的應(yīng)用。制定商用密碼應(yīng)用方案,推進(jìn)國(guó)產(chǎn)商用密碼在政務(wù)網(wǎng)絡(luò)、政務(wù)云、各業(yè)務(wù)系統(tǒng)、數(shù)據(jù)共享體系方面的規(guī)?;渴鸷吞娲?,落實(shí)對(duì)正在運(yùn)行的關(guān)鍵信息基礎(chǔ)設(shè)施每年至少一次的商用密碼應(yīng)用安全性評(píng)估,提升政務(wù)外網(wǎng)商用密碼一體化支撐能力。
四是統(tǒng)籌關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)安全測(cè)評(píng)與評(píng)估工作。運(yùn)營(yíng)者和測(cè)評(píng)機(jī)構(gòu)需要對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和政務(wù)數(shù)據(jù)開展系統(tǒng)性安全監(jiān)測(cè)、風(fēng)險(xiǎn)評(píng)估工作,重要數(shù)據(jù)每年評(píng)估一次,對(duì)發(fā)現(xiàn)的安全問題及漏洞及時(shí)整改,并按照政務(wù)外網(wǎng)保護(hù)工作部門要求報(bào)送情況,合力提升關(guān)鍵信息基礎(chǔ)設(shè)施綜合安全防護(hù)水平。
五是構(gòu)建供應(yīng)鏈安全管理制度,保障關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和數(shù)據(jù)安全。遵循供應(yīng)鏈安全相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范,建立供應(yīng)鏈管理和審核制度,從產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動(dòng)安全性、可能帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等多個(gè)角度,加強(qiáng)對(duì)供應(yīng)商審查和安全評(píng)估。嚴(yán)格落實(shí)測(cè)評(píng)認(rèn)證,定期開展系統(tǒng)滲透測(cè)試和漏洞掃描,及時(shí)整改發(fā)現(xiàn)的安全問題,降低供應(yīng)鏈安全風(fēng)險(xiǎn)。
六是加快推動(dòng)信息領(lǐng)域新技術(shù)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)上的應(yīng)用。充分利用以 5G、大數(shù)據(jù)、人工智能等為代表的新技術(shù)、新手段,加強(qiáng)管理和技術(shù)創(chuàng)新,依托信息化手段構(gòu)建具備聯(lián)合預(yù)警、協(xié)同防御體系的立體化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)平臺(tái),強(qiáng)化數(shù)據(jù)信息分析處理,加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施全流程管控,提升網(wǎng)絡(luò)安全綜合保護(hù)能力和效能。
七是搭建演習(xí)平臺(tái),定期開展攻防演練。建立監(jiān)測(cè)預(yù)警、信息通報(bào)和應(yīng)急處置機(jī)制,制定應(yīng)急管理制度和安全事件應(yīng)急預(yù)案。為各級(jí)政務(wù)外網(wǎng)安全管理部門搭建演練環(huán)境,定期開展應(yīng)急演練,查找關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中的短板和不足,針對(duì)發(fā)現(xiàn)的問題,制定切實(shí)可行的整改措施,提升各級(jí)政務(wù)外網(wǎng)安全事件處置能力。
八是定期組織開展安全意識(shí)教育和安全操作培訓(xùn),提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保障能力。培訓(xùn)內(nèi)容包括但不限于國(guó)家網(wǎng)絡(luò)與信息安全相關(guān)法律法規(guī)、網(wǎng)絡(luò)與信息安全意識(shí)、政務(wù)數(shù)據(jù)安全管理規(guī)定、安全知識(shí)與技術(shù)技能等,培訓(xùn)形成記錄并對(duì)培訓(xùn)效果進(jìn)行評(píng)價(jià)。

三、未來持續(xù)加強(qiáng)國(guó)家電子政務(wù)外網(wǎng)中關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)機(jī)制的思路

面臨全球復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全局勢(shì),關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)需要不斷完善機(jī)制,以應(yīng)對(duì)新問題和新挑戰(zhàn)。國(guó)家電子政務(wù)外網(wǎng)將進(jìn)一步推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作,筑牢網(wǎng)絡(luò)安全防線。
一是健全完善規(guī)章制度與標(biāo)準(zhǔn)規(guī)范體系,優(yōu)化關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)機(jī)制,不斷適應(yīng)數(shù)字化發(fā)展的新需求。圍繞政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施共性安全需求和基線安全要求,完善規(guī)章制度提升政務(wù)外網(wǎng)網(wǎng)絡(luò)安全和數(shù)據(jù)安全保障能力,健全標(biāo)準(zhǔn)規(guī)范體系為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作實(shí)踐提供技術(shù)支撐和方法指引。
二是持續(xù)提升各級(jí)政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施協(xié)同處置能力。堅(jiān)持底線思維和極限思維,以實(shí)戰(zhàn)化演練為契機(jī),模擬關(guān)鍵信息基礎(chǔ)設(shè)施遭到大規(guī)模、高烈度的攻擊,檢驗(yàn)各級(jí)政務(wù)外網(wǎng)信息共享的能力和協(xié)同處置的效率。
三是加強(qiáng)網(wǎng)絡(luò)安全人才隊(duì)伍培養(yǎng)。網(wǎng)絡(luò)安全防護(hù)能力和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力的提升需要專業(yè)人才隊(duì)伍的支撐。應(yīng)加快啟動(dòng)網(wǎng)絡(luò)安全人才培訓(xùn),改善專業(yè)技術(shù)人才隊(duì)伍缺乏的局面,提升網(wǎng)絡(luò)安全專業(yè)化能力,為數(shù)字政府建設(shè)提供堅(jiān)實(shí)的安全保障。

四、結(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施作為重要的戰(zhàn)略資源,在建設(shè)數(shù)字中國(guó)的過程中發(fā)揮著基礎(chǔ)性、全局性的支撐作用,國(guó)家電子政務(wù)外網(wǎng)將全面深入踐行關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù),積極推進(jìn)安全保護(hù)機(jī)制的研究與落地,保護(hù)網(wǎng)絡(luò)系統(tǒng)和信息資源安全,為數(shù)字中國(guó)建設(shè)保駕護(hù)航。

 

售后在線客服

售前咨詢
010-59790009轉(zhuǎn)8055

售后服務(wù)
400-109-9696