导航

关于建立我国关键信息基础设施安全防护能力评估体系的思考

来源:光明网2018-04-12

  作者 中国电子技术标准化研究院 孙彦 姚相振

  关键信息基础设施保护工作直接关系到国家安全、国计民生和公共利益,习近平总书记在“4·19讲话”中要求加快构建关键信息基础设施安全保障体系。《网络安全法》第五条明确规定国家应采取措施对关键基础设施进行保护,第三十四条规定了关键信息基础设施运营者的安全保护义务,第三十八条要求运营者每年至少进行一次检测评估。《关键信息基础设施安全保护条例(征求意见稿)》进一步明确了运营者的安全防护责任。

  关键信息基础设施保护体系的建立健全依赖于运营者网络安全防护能力的提升。对于运营者安全防护能力的评估则是促进能力提升的基础。美国、德国等西方国家在评估运营者安全防护能力方面有着丰富的经验。2014年,美国家标准技术研究所发布了《改善关键基础设施网络安全的框架》,指导组织或机构管理网络安全风险。同年,美能源部和国土安全部针对关键信息基础设施开发了网络安全能力成熟度模型(以下简称“C2M2模型”),指导运营者实现美国关键基础设施网络安全框架的落地执行。

  C2M2模型提供了网络安全防护能力评估的一种通用方法,适用于运营者对其信息系统、工控系统等资产的安全水平进行评估。模型从风险管理、配置管理、信息共享与交流、供应链和外部依赖管理等10个安全域进行评价。每个安全域由一系列安全实践组成。C2M2模型总结了安全实践的实施原则,提供了运营者安全能力的基线,模型的使用不具备强制性。不同行业的运营者可以从模型中自行选择所需的安全域和安全实践,评估其安全能力,识别差距和不足,强化关键信息基础设施的安全保护能力。C2M2模型提供了网络安全能力建设的统一参考,方便不同类型的机构交流经验。

  我国在关键信息基础设施安全保障体系建设方面起步较晚,急需建立关键信息基础设施安全防护能力评估体系: 一是制定科学合理、扩展性强的关键信息基础设施网络安全能力评估标准。我国在关键信息基础设施安全防护能力的评估建设方面,应深入分析不同行业关键信息基础设施保护的实践经验,充分考虑不同领域可能存在迥异安全需求和扩展性要求,以适用于不同类型的关键信息基础设施安全能力的评估。

    二是应充分考虑我国国情,与已有网络安全能力评估框架标准的有效衔接。我国在关键信息基础设施保护领域正在制定包括《关键信息基础设施网络安全框架》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施检查评估指南》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》等在内的一系列标准,关键信息基础设施网络安全能力评估应与现行标准形成配套,充分考虑我国国情实际,突出威胁信息共享、监测预警、应急处置等横向协同的安全域内容,在国家网络安全标准的统一框架要求基础上不断完善。

相关新闻
精品栏目

在重庆遇见更好的自己

指尖上的精雕生活

智博会上“触碰”未来

景美人少的原生态避暑地

热门推荐

亚运会女排小组赛

贫困县里的音乐盛宴

街头诈骗现形记

体操房里的夏天

陈坤:行走的力量

吴奇隆变身"男月嫂"

返回顶部
重庆新闻原创视听问政生活

华龙网 www.cqnews.net 触屏版 | 电脑版

Copyright ©2000-2015 CQNEWS Corporation,
All Rights Reserved.
首页 | 新闻 原创 视听 | 问政 评论 图库 | 区县 娱乐 财经 | 旅游 亲子 直播 | 文艺 教育 科普 安监 | 房产 健康 汽车 | 取证 宅购 地图 | 麻哥辣妹 3c家居
  • 站内
站内
分享
新浪微博
腾讯微博
微信
QQ空间
QQ好友
手机阅读分享话题

关于建立我国关键信息基础设施安全防护能力评估体系的思考

2018-04-12 22:25:58 来源: 0 条评论

  作者 中国电子技术标准化研究院 孙彦 姚相振

  关键信息基础设施保护工作直接关系到国家安全、国计民生和公共利益,习近平总书记在“4·19讲话”中要求加快构建关键信息基础设施安全保障体系。《网络安全法》第五条明确规定国家应采取措施对关键基础设施进行保护,第三十四条规定了关键信息基础设施运营者的安全保护义务,第三十八条要求运营者每年至少进行一次检测评估。《关键信息基础设施安全保护条例(征求意见稿)》进一步明确了运营者的安全防护责任。

  关键信息基础设施保护体系的建立健全依赖于运营者网络安全防护能力的提升。对于运营者安全防护能力的评估则是促进能力提升的基础。美国、德国等西方国家在评估运营者安全防护能力方面有着丰富的经验。2014年,美国家标准技术研究所发布了《改善关键基础设施网络安全的框架》,指导组织或机构管理网络安全风险。同年,美能源部和国土安全部针对关键信息基础设施开发了网络安全能力成熟度模型(以下简称“C2M2模型”),指导运营者实现美国关键基础设施网络安全框架的落地执行。

  C2M2模型提供了网络安全防护能力评估的一种通用方法,适用于运营者对其信息系统、工控系统等资产的安全水平进行评估。模型从风险管理、配置管理、信息共享与交流、供应链和外部依赖管理等10个安全域进行评价。每个安全域由一系列安全实践组成。C2M2模型总结了安全实践的实施原则,提供了运营者安全能力的基线,模型的使用不具备强制性。不同行业的运营者可以从模型中自行选择所需的安全域和安全实践,评估其安全能力,识别差距和不足,强化关键信息基础设施的安全保护能力。C2M2模型提供了网络安全能力建设的统一参考,方便不同类型的机构交流经验。

  我国在关键信息基础设施安全保障体系建设方面起步较晚,急需建立关键信息基础设施安全防护能力评估体系: 一是制定科学合理、扩展性强的关键信息基础设施网络安全能力评估标准。我国在关键信息基础设施安全防护能力的评估建设方面,应深入分析不同行业关键信息基础设施保护的实践经验,充分考虑不同领域可能存在迥异安全需求和扩展性要求,以适用于不同类型的关键信息基础设施安全能力的评估。

    二是应充分考虑我国国情,与已有网络安全能力评估框架标准的有效衔接。我国在关键信息基础设施保护领域正在制定包括《关键信息基础设施网络安全框架》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施检查评估指南》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全控制措施》等在内的一系列标准,关键信息基础设施网络安全能力评估应与现行标准形成配套,充分考虑我国国情实际,突出威胁信息共享、监测预警、应急处置等横向协同的安全域内容,在国家网络安全标准的统一框架要求基础上不断完善。

[责任编辑: 苏桢淇 ]
发言请遵守新闻跟帖服务协议
精彩视频
版权声明:
联系方式:重庆华龙网集团股份有限公司 咨询电话:60367951
①重庆日报报业集团授权华龙网,在互联网上使用、发布、交流集团14报1刊的新闻信息。未经本网授权,不得转载、摘编或利用其它方式使用重庆日报报业集团任何作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:华龙网”或“来源:华龙网-重庆XX”。违反上述声明者,本网将追究其相关法律责任。
② 凡本网注明“来源:华龙网”的作品,系由本网自行采编,版权属华龙网。未经本网授权,不得转载、摘编或利用其它方式使用。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:华龙网”。违反上述声明者,本网将追究其相关法律责任。
③ 华龙网及其客户端标明非华龙网的确定来源或未标注华龙网LOGO、名称、水印的文字、图片、音频、视频等稿件均为非原创作品。如转载涉及版权等问题,请及时与华龙网联系,联系邮箱:cqnewszbs@163.com。
附:重庆日报报业集团14报1刊:重庆日报 重庆晚报 重庆晨报 重庆商报 时代信报 新女报 健康人报 重庆法制报 三峡都市报 巴渝都市报 武陵都市报 渝州服务导报 人居周报 都市热报 今日重庆
关闭