天地和兴解读《关键信息基础设施安全保护条例》
发布时间:
2021-08-20
来源:
作者:
天地和兴
访问量:
639
《关键信息基础设施安全保护条例》旨在保障关键信息基础设施安全及维护网络安全,2021年4月27日国务院第133次常务会议通过,2021年7月30日公布,共六章五十一条。2021年8月,国务院总理李克强签署国务院令,公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行。
关键条款解读
第一条 为了保障关键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安全法》,制定本条例。
解读:《条例》的起源是《中华人民共和国网络安全法》,在《中华人民共和国网络安全法》里也提出了国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
解读:《条例》定义了运营者在网络安全等级保护的基础上保护关键信息基础设施,按照“一个中心,三重防护”的防护思想,从边界防护、安全审计、主机防护、入侵检测、未知威胁、运维管理、安全自查、集中管理多个模块的互补搭配,结合管理及服务,构建纵深防御、技管并重、周期提升、螺旋上升的动态防御体系。《条例》还定义了运营者在保护关键信息基础设施时的责任。
第十一条 关键信息基础设施发生较大变化,可能影响其认定结果的,运营者应当及时将相关情况报告保护工作部门。保护工作部门自收到报告之日起3个月内完成重新认定,将认定结果通知运营者,并通报国务院公安部门。
解读:在关键信息基础设施发生较大变化后,影响到关键信息基础设施认定的,需要保护工作部门重新认证,并通知运营者和上报备案。
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
解读:关键信息基础设施的安全保护措施应该按照同步规划、同步建设、同步使用的“三同步”原则进行规划设计,按照“安全分区、网络专用、边界防护、纵深防御”建立技术体系,以及通过完善安全管理与运维体系进行安全防护。
第十四条 运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时,公安机关、国家安全机关应当予以协助。
解读:运营者设置专门安全管理机构,对相关关键保护人员进行安全背景审查,确保相关关键人员背景简单,没有危害相关运营者的利益,对个人、国家和社会不会造成威胁。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
解读:应该对关键信息基础设施每年至少一次的安全检测和风险评估,通过安全检测和风险评估及时发现问题。安全检测和安全风险评估是加强安全保障体系建设和管理的关键环节。通过开展安全风险评估工作,可以发现信息安全存在的主要问题和矛盾,找到解决诸多关键问题的办法。只有在正确地、全面地理解风险后,才能在控制风险、减少风险、转移风险之间做出正确的判断,决定调动多少资源、以什么代价、采取什么样的应对措施去化解、控制风险,及时整改所发现的问题。然后按照保护工作部门的要求报送相应的问题及整改情况。
第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。
解读:关键信息基础设施的安全防护应该具有监测及发现网络安全威胁的能力,使用威胁检测、入侵检测以及流量和行为审计等安全产品实时监测网络和系统内的异常行为、异常流量等安全威胁,并根据威胁的危害程度,按照相关规定向保护工作部门、公安机关报告。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
解读:对关键信息基础设施保护时,运营者采购的网络产品和服务应遵循国产自主可靠为原则,并通过国家安全审查。自主可控是保障网络安全、信息安全的前提,只有自主可控才能比较容易对产品和服务不断的改进和修补漏洞,并且也可以在产品和服务上应用人工智能、大数据、可信验证等新的技术,实现产品和服务的自主创新。
第二十五条 保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助。
解读:关键信息基础设施的保护工作部门应建立应急预案,定期组织应急演练,通过应急演练及相关的安全培训,提高从业人员的安全意识、安全事件的判断、安全事件的处置能力等安全技术水平,然后保护工作部门指导运营者做好网络安全事件应对处置。
第三十一条 未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
解读:未经允许,任何组织和个人,不得对关键信息基础设施进行漏洞探测,渗透测试;如需要做的,应事先向国务院电信主管部门申请报告。
第五章 法律责任
解读:第五章整个章节主要是对关键信息基础设施运营者和相关国家主管部门(网信、公安、保护工作部门)的相关就个工作人员,以及违反本规定的人员或组织的违规违法后的处罚。本章的法律责任更好地约束了关键信息基础设施安全保护条例中的相关人员、机构和组织,为关键信息基础设施安全保护条例的实施提供了强有力的保障。
作为新一代工业网络安全赋能方,天地和兴始终秉承“投身国家网信事业发展,护卫关键信息基础设施”的企业使命,直面“新基建”网络安全挑战,准确把握新一代工业网络安全的数字基础设施特征,坚持同步规划、同步建设、同步运行,坚持体系对抗和能力导向,构筑全域工业网络安全矩阵,持续打磨工业网络安全行业领航者的企业定位。
构建关键信息基础设施工业网络安全防护的技术体系
通过设计一套稳定、先进、高效、可靠的新一代工业网络安全解决方案,建设一套针对关键信息基础设施的统一安全感知与分析平台,集中展现工业现场的整体安全态势,提升整体安全监管水平和防御能力,针对系统的特点、专业性、稳定性进行设计,结合天地和兴多年工业控制系统与安全研究和经验总结,以国家等级保护的“一个中心、三重防护”为整体防护思想,构建关键信息基础设施工业网络安全防护的技术体系,并完善安全管理体系,以及提供安全无忧服务为支撑,形成技术+管理+服务的综合安全防护解决方案。
按照等级保护2.0与关键信息基础设施保护条例的基本要求,从安全管理中心、安全通信网络、安全区域边界、安全计算环境以及工业环境安全五个方面,来建设一套整体的安全防护体系。
环境智能安全管理系统主要解决“全程监管、实时预警”的行业难题,力求为行业智慧赋能。在现有安全生产保障体系下,应用权威身份认证、机器视觉分析、深度学习等前沿技术,实现对人员身份、人员行为、生产设备、非法入侵等全方位、全要素、全流程的智能监管。助力工业企业生产的安全、提质、增效。
环境智能安全管理系统主要由环境智能监控预警模块、厂区权威实人身份认证模块、重要区域生物识别模块组成,该系统以优化算法和识别算法为核心,厂区权威实人身份认证为保障,通过环境智能监控预警、重要区域生物识别技术全面保护厂区安全,然后通过标准的数据接口把相应的环境监控预警信息上传到网络安全感知与分析平台,实现实时分析与处置。
上一条:
相关资讯
