全力構建國家網路安全等級保護制度體系 堅決維護關鍵信息基礎設施安全

2017年5月19日,習近平總書記在接見全國公安系統英雄模範立功集體表彰大會上的講話中明確指出:發展是硬道理,安全也是硬道理

第一部分:網路安全等級保護制度體系設計的指導思想

一、以最強大對手的網路攻擊能力為標尺,舉國家之力,依法開展網路安全保衛、保護、保障,打合成仗整體仗,構建等級保護制度體系。

二、以網路安全等級保護為抓手,以信息通報為平台,以情報偵察為突破,以偵查打擊為支撐,構建「偵攻防管控」一體化的網路安全綜合防控體系。

三、以網路安全案(事)件為主線,強化實時監測、通報預警、快速處置、追蹤溯源、態勢感知、情報信息、偵查打擊、等級保護、指揮調度。

四、網路安全綜合防禦能力、水平和技術,要針對最強大對手去設計,去提升,去創新。防禦要專業化、集團化、集約化。攻防協同、打防協同、情報協同、能力協同。

五、全面提升網上行動能力:情報偵察能力、進攻能力、實時監測能力、技術檢測能力、通報預警能力、應急處置能力、追蹤溯源能力、綜合防禦能力、態勢感知能力、 固證打擊能力、技術反制能力、數據獲取能力。

第二部分:國家網路安全等級保護制度的體系架構

(一)網路安全等級保護制度進入2.0時代

一、《網路安全法》第二十一條明確要求:國家實行網路安全等級保護制度。

二、中央關於加強社會治安防控體系建設的意見要求「健全完善信息安全等級保護制度 」 。

三、習近平總書記等中央領導批示要求:健全完善以保護國家關鍵信息基礎設施安全為重點的網路安全等級保護制度。

(二)把等級保護制度打造成新時期國家網路安全的基本制度、基本國策

  • 構建新的法律、政策體系
  • 構建新的標準體系
  • 構建新的技術支撐體系
  • 構建新的人才隊伍體系
  • 構建新的教育訓練體系
  • 構建新的保障體系

構建新的法律政策體系

堅決貫徹落實《網路安全法》。

  • 制定出台《關鍵信息基礎設施保護條例》。
  • 制定出台《網路安全等級保護條例》 。
  • 修改完善網路安全等級保護定級、備案、等級測評、安全建設整改、安全檢查等政策規範。
  • 建立完善測評機構管理、信息安全企業管理規範。

構建新的標準體系

1、修改擬出台的國家標準

  • 《網路安全等級保護基本要求》
  • 《網路安全等級保護安全設計技術要求》
  • 《網路安全等級保護測評要求》 重點解決雲計算、物聯網、工控系統、移動互聯、大數據安全。

2、已出台的國家標準

  • 《信息安全等級保護實施指南》
  • 《信息安全等級保護測評過程指南》

3、已出台的公安行業標準

  • 《網路安全等級保護定級指南》(GA/T 1389—2017)
  • 《網路安全等級保護基本要求》第2部分:雲計算安全擴展要求(GA/T 1390.2—2017)
  • 《網路安全等級保護基本要求》第3部分:移動互聯安全擴展要求(GA/T 1390.3—2017)
  • 《網路安全等級保護基本要求》第5部分:工業控制系統安全擴展要求(GA/T 1390.5— 2017)

構建新的技術支撐體系

(一)技術支撐體系

  • 新一代網路技術
  • 雲計算技術
  • 大數據技術
  • 端計算技術
  • 量子通信、量子計算
  • 人工智慧技術
  • 區塊鏈技術
  • 虛擬現實技術

(二)網路安全技術體系

  • 可信計算技術
  • 自主可控的密碼技術
  • 態勢感知技術
  • 高速網路傳輸安全防護技術
  • 安全檢測技術
  • 主動防禦技術
  • 應急響應技術
  • 偵察打擊技術
  • 車聯網安全防護技術
  • 雲安全防護技術
  • 網路反制技術
  • 工業互聯網安全防護技術
  • 智能防護技術
  • 生物識別技術

構建新的人才隊伍體系

  • 公安機關網路安全人才
  • 重要行業部門網路安全人才
  • 等級測評機構網路安全人才
  • 運行維護機構網路安全人才
  • 系統集成商網路安全人才
  • 產品開發商網路安全人才

構建新的教育訓練體系

  • 建立網上、網下教育訓練環境
  • 師資隊伍建設
  • 教材建設
  • 題庫建設
  • 考試考核

構建新的保障體系

  • 專業實驗室建設
  • 公安機關指揮作戰平台,監督檢查工具
  • 重要行業部門業務支撐平台,自查工具
  • 技術檢測機構檢測平台和工具
  • 公安機關和重要行業部門的經費保障

(三)網路安全等級保護制度的核心內容

  1. 將風險評估、安全監測、通報預警、案事件 調查、數據防護、災難備份、應急處置、自 主可控、供應鏈安全、效果評價、綜治考核等重點措施全部納入等級保護制度並實施。
  2. 將網路基礎設施、重要信息系統、網站、大數據中心、雲計算平台、物聯網、工控系統 、公眾服務平台等全部納入等級保護監管。
  3. 將互聯網企業納入等級保護管理,保護互聯網企業健康發展。

(四)網路安全等級保護重點任務

  1. 科學確定保護對象的安全保護等級網路運營者根據《網路安全等級保護定級指 南》(GA/T1389-2017)初步確定網路系統安全保護等級。不是自主定級、專家評審、主管部門審核。
  2. 向公安機關備案。網路運營者將網路系統定級材料向公安機關備案,公安機關審核,對符合要求的發放備案證明。
  3. 開展等級測評。網路運營者選擇符合國家規定條件的測評機構,對三級以上系統每年開展等級測評。
  4. 安全建設整改。網路運營者根據系統安全保護等級,按照國家標準開展安全建設整改。
  5. 監督檢查。公安機關每年開展執法檢查。

第三部分:國家網路安全等級保護制度的貫徹實施

一 、按照國家等級保護制度要求依法實施關鍵信息基礎設施保護

(一)什麼是關鍵信息基礎設施。關係國家重大利益、人民群眾生命財產安全和社會生產生活秩序,一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網路設施、信息系統和數據資源。

(二)公安機關職責。保衛關鍵信息基礎設施安全,監督、檢查、指導關鍵信息基礎設施安全保護工作,防範打擊危害關鍵信息基礎設施安全的違法犯罪活動。

(三)關鍵信息基礎設施必須落實國家網路 安全等級保護制度網路安全法第三十一條規定:國家對公共通信和信息服務、能源、交通、水利、金融、 公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露, 可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網路安全等級保護制度的基礎上,實行重點保護。

(四)處理好網路安全等級保護制度與關鍵信息基礎設施保護的關係

  • 等級保護制度是普適性的制度,是關鍵信息基礎設施保護的基礎,關鍵信息基礎設施是等級保護制度的保護重點。
  • 等級保護制度和關鍵信息基礎設施保護是網路安全的兩個重要方面,不可分割。
  • 關鍵信息基礎設施的範圍必須在定級備案的第三級(含)以上的保護對象中確定。
  • 關鍵信息基礎設施必須按照等級保護制度要求,開展定級備案、等級測評、安全建設整改、安全檢查等強制性、規定性工作。
  • 關鍵信息基礎設施保護,要落實公安機關、 保密部門、密碼部門的保衛、保護、監管責任,落實網路運營者和行業主管部門的主體責任。
  • 公安機關在情報偵察、追蹤溯源、快速處置 、打擊犯罪、等級保護、通報預警、互聯網管理等方面,發揮職能作用,發揮主力軍作用。

二、加強對國家級重要信息系統的安全保障

  • 落實2014年10月13日公安部與國家發改委、財政部聯合下發的《關於加強國家級重要信息系統安全保障工作有關事項的通知》(公信安[2014]2182號)。
  • 對47個重點行業、276家單位、500個國家級重要信息系統,在工程項目、經費、等級保護、通報預警、打擊犯罪等方面,給予重點支持和保障。

三、加強對等級測評機構的管理

  • 組織全國等級測評機構參加技術檢測能力驗證 、比武競賽,提升專業能力。
  • 2012年-2016年,信息產業信息安全測評中心作為實施單位,公安部信息安全等級保護評估中心作為技術專家單位,承擔了及中關村信息安全測評聯盟信息系統安全等級保護測評能力驗證活動。
  • 加強對測評機構管理,清理違規機構。
  • 為貫徹《網路安全法》,提高網路安全檢查機構和人員的專業技術能力,完善網路安全人才培養機制,公安部網路安全保衛局、中關村信息安全測評聯盟指導 。
  • 信息產業信息安全測評中心計劃在全國開展「全國網路安全應用檢測專業技術人員」 (NSATP)培訓及認證,注重培養具備網路安全攻防技術能力的專業人員。

四、加強對信息安全企業、服務商、集成商的管理

在公安部指導下,公安部第一研究所開展網路安全企業、服務商、集成商的等級保護安全建設整改的自願性能力驗證。

網路安全在線培訓平台功能架構圖

五、組織開展智慧城市網路安全建設和管理

各級公安機關,會同網信部門、發改部門 、通信管理部門,組織重要行業部門,落實《關於加強智慧城市網路安全建設和管理工作的指導意見》(中網辦發文[2015]9號)、組織開展智慧城市網路安全年度評價工作。信息安全企業、測評機構在智慧城市網路安全建設和管理中發揮重要作用。

六、加強對重點網站的安全管理和防護

落實公安部、中編辦、中央網信辦、工信部 聯合出台的《黨政機關、事業單位和國有企 業互聯網網站安全專項整治行動方案》(公信 安[2015]2562號) ,加強對重點網站的安全 管理。加快部署公安部第一研究所研發的「網防 G01」 。建立了33家服務站,覆蓋各省區市。

七、對黨委政府網路安全保障工作開展綜治考核

中央綜治辦將「網路安全保障工作」納入 對地方黨委政府綜治考核,明確黨委政府 的網路安全保障責任。 公安部按照中央綜治辦要求,下發考核要點,在網路安全等級保護、網路安全通報預警、打擊網路違法犯罪、互聯網安全管理等方面,對地方黨委政府開展年度考核 。

八、公安機關開展網路安全執法大檢查

1、按照《2017年公安機關網路安全執法檢查工作方案》(公傳發[2017]156號)要求,對第三級(含)以上信息系統、重點網站及所屬單位,開展執法檢查,梳理排查國家關鍵信息基礎設施。

2、採取現場檢查、技術檢測和遠程滲透相結合的方式,開展執法大檢查,下發執法檢查反饋意見書、整改通知書、安全隱患告知書,督促其開展整改,消除問題和隱患。

3、制定檢查指引

  • 公安機關網路安全執法檢查工作指引
  • 政府信息系統及網站安全執法檢查工作指引
  • 雲計算平台、大數據服務、工業控制系統安全執法檢查工作指引
  • 視頻監控系統安全執法檢查工作指引
  • 移動APP系統安全執法檢查工作指引
  • 郵件系統安全執法檢查工作指引
  • IDC、CDN、DNS安全執法檢查工作指引

九、全力維護國家重大活動網路安全

建立公安機關牽頭,工信、安全、軍委聯參、 武警、交通、鐵路、民航、能源、新聞廣電、電信運營商、CNCERT等單位參加的網路安保組 ,構建扁平化、一體化的合成作戰機制。成立由院士挂帥的國家級專家組,遴選了40多支國家級技術支持單位。在網路安保組領導下,開展檢查、技術檢測、滲透測試,實時監測,應急演練,應急處置。

十、加強網路安全信息通報預警工作

按照中央關於加強社會治安防控體系建設的意見的要求,「完善國家網路安全監測預警 和通報處置工作機制」 。按照國家網路安全政策要求,「健全國家網路安全信息通報機制」 。建立覆蓋部省市三級、200個重要行業、橫縱通暢的立體化全國網路安全預警通報體系。

十一、組織開展網路攻防實戰演習

公安部會同民航局、國家電網,組織開展了 「護網-2016」網路安全攻防演習。

  • 演習歷時三個月,攻防雙方對抗14天,圍繞電力和民航兩大演習目標,在真實的網路系統中互有攻守、深度博弈,在安全可控的總前提下,檢驗並提升了電力、民航等重要行業部門網路安全防護和應急處置能力。
  • 2017年6月13日,公安部下發通知:《公安機 關網路安全攻防演習工作規範(試行)》(公 信安[2017]1592號),各地按照規範執行。

本文章整理自djbh.net/webdev/file/we

推薦閱讀:

TAG:網路安全 | 應急管理 |