《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 專家解讀:《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》施行一周年 行業(yè)發(fā)生了哪些變化,?

專家解讀:《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》施行一周年 行業(yè)發(fā)生了哪些變化?

2022-11-09
來源:安全419

  《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱“《條例》”)正式發(fā)布,,并確定于2021年9月1日起施行,。

  在《條例》全文正式發(fā)布的當(dāng)日,我們曾對其核心要點進行過分析和解讀,,在這里先快速回顧一下,。一是《條例》不僅明確了關(guān)鍵信息基礎(chǔ)設(shè)施(以下簡稱“關(guān)基”)的定義,還明確了認定的主體和認定方式,;二是關(guān)基的主管部門及其相應(yīng)的職責(zé)被明確,,其中包括工信部、網(wǎng)信辦,、公安部等部門都在其中,;三是明確了關(guān)基運營者的合規(guī)制度建設(shè)義務(wù)和主體責(zé)任,明確要建立健全網(wǎng)絡(luò)安全,、數(shù)據(jù)安全,、個人信息等相關(guān)保護制度,;四是針對具體的漏洞挖掘,、滲透測試等活動提出了特殊要求和規(guī)定。

  如今,,距離《條例》正式施行剛好滿一年,,那么在這一年中,,《條例》對于網(wǎng)絡(luò)安全行業(yè)的促進都有哪些體現(xiàn)?對于用戶側(cè)有著什么樣的影響,?在《條例》施行的前后,,在安全建設(shè)方面的關(guān)注點有了哪些變化呢?帶著這種種問題,,我們特別連線了兩家我國在相關(guān)領(lǐng)域安全建設(shè)中的佼佼者——威努特與天地和興兩家企業(yè),,看看他們對《條例》推出前后的一些變化是如何看待的。

  監(jiān)管力度持續(xù)加強

  關(guān)基保護建設(shè)成為“一把手工程”

  威努特認為,,《條例》提出一個總綱,,明確了界定保護范圍及原則目標,對于用戶而言更加清晰,;尤其是針對能源,、電信等關(guān)鍵信息基礎(chǔ)設(shè)施,明確確立為國家優(yōu)先保障重點,。其次,,《條例》設(shè)立了監(jiān)管機制及認定機制,同時明確了關(guān)基運營者的責(zé)任和義務(wù),,既壓實了關(guān)鍵信息基礎(chǔ)設(shè)施運營者的主體責(zé)任,,同時也規(guī)定了網(wǎng)信部門、公安機關(guān)等機構(gòu)的責(zé)任,,進一步明確網(wǎng)絡(luò)安全檢測的常態(tài)化,。這些方面的明確,有利于用戶更清晰地了解關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的建設(shè),、維護,、檢查等全面運行模式,也了解各方應(yīng)承擔(dān)的法律責(zé)任,。

  談及《條例》施行這一年來,,對我國網(wǎng)絡(luò)安全行業(yè)的促進這一話題時,威努特從政策,、意識以及監(jiān)管三個層面分享了他們的觀點,。

  //在政策層面,在政策層面,,《條例》的發(fā)布讓關(guān)鍵信息基礎(chǔ)設(shè)施安全保護做到了有法可依,,并且隨著“三法一條例”的陸續(xù)出臺實施,我國整體網(wǎng)絡(luò)安全領(lǐng)域法律法規(guī)的體系逐步地完善,,條例中,,涉及國家基礎(chǔ)信息、重要數(shù)據(jù),、個人信息,、違法信息的治理都給予了極高的關(guān)注,,不同行業(yè)主管單位也在積極構(gòu)建企業(yè)自身的安全體系;

  //在意識層面,,部分領(lǐng)域,、行業(yè)的網(wǎng)絡(luò)安全防護意識進一步的提升,主管單位負責(zé)人的網(wǎng)絡(luò)安全責(zé)任感也進一步得到了提升,,網(wǎng)絡(luò)安全人才的結(jié)構(gòu)也在進一步優(yōu)化,;

  //在監(jiān)管層面,關(guān)鍵信息基礎(chǔ)設(shè)施主管單位對于企業(yè)安全防護能力建設(shè)的監(jiān)督檢查,、對企業(yè)網(wǎng)絡(luò)存在的漏洞,、風(fēng)險進一步進行了多環(huán)節(jié),多角度的監(jiān)測,,監(jiān)管力度在持續(xù)加強,;

  針對同樣的話題,天地和興的專家則從需求側(cè)和供給側(cè)兩個角度進行了分析,。

  首先是需求側(cè)方面,,由于《條例》明確了關(guān)基運營者如因防護不到位將受到嚴厲懲罰,可以說徹底扭轉(zhuǎn)了不少關(guān)基運營者在相關(guān)安全建設(shè)方面抱有70分萬歲的心態(tài),,而是要轉(zhuǎn)而以實戰(zhàn)的心態(tài)去開展網(wǎng)絡(luò)安全建設(shè)和運營,,同時,《條例》的施行,,更是讓關(guān)基相關(guān)安全建設(shè)上升為“一把手”工程,,促進了關(guān)基運營者在重視程度以及資源投入方面相比此前都有了大幅的提升。

  同此前相比,,用戶在預(yù)算以及組織層面不再聚焦于少數(shù)幾個系統(tǒng)的等保測評相關(guān)工作,,而是更側(cè)重于主動防御、聯(lián)防聯(lián)控的網(wǎng)絡(luò)安全體系,,而且在這一過程中,,更重要的是在于關(guān)基運營者在網(wǎng)絡(luò)安全建設(shè)方面的思路發(fā)生了轉(zhuǎn)變,從以往的重建設(shè)輕運營轉(zhuǎn)變?yōu)榻ㄔO(shè)與運營同等重要,,需要從規(guī)劃設(shè)計,、建設(shè)實施、運營優(yōu)化來整體考慮,,真正落實了《網(wǎng)絡(luò)安全法》和《條例》的三同步要求,。

  具體到產(chǎn)品、解決方案的需求層面,,也伴隨著發(fā)生了不小的變化,,早就被認定為難以滿足需求的“三大件”時代徹底遠去,SIEM和SOC已經(jīng)成為了標配,零信任,、SASE等新興技術(shù)也在該領(lǐng)域快速發(fā)展,同時包括5G安全,、AI安全,、虛擬化安全等多個場景的安全建設(shè)也都被納入到關(guān)基運營者需重點考慮的范圍。

  其次是供給側(cè)方面,,《條例》的落地使得原來以政策合規(guī)為主的網(wǎng)絡(luò)安全產(chǎn)品服務(wù)市場,,逐步轉(zhuǎn)向在滿足等保合規(guī)的基礎(chǔ)上能夠具備應(yīng)對網(wǎng)絡(luò)安全實戰(zhàn)攻擊的安全技術(shù)產(chǎn)品,既考驗著供給側(cè)的產(chǎn)品技術(shù)能力,,也考驗著其綜合服務(wù)能力,。

  關(guān)基行業(yè)領(lǐng)域相關(guān)執(zhí)行標準仍有欠缺

  風(fēng)險評估及應(yīng)急演練應(yīng)當(dāng)常態(tài)化

  通過上述內(nèi)容我們可以看出,《條例》推出后,,對于整體行業(yè)以及關(guān)基運營者在相關(guān)防護體系的建設(shè)思路上,、實際行動上都有了很大的促進,比如行業(yè)客戶對于網(wǎng)絡(luò)安全建設(shè)越來越關(guān)注,,相關(guān)的主管部門越來越重視相關(guān)資金投入,,尤其是安全防護能力建設(shè)方面,從安全設(shè)備部署查漏補缺到整體安全解決方案設(shè)計,。但同時,,我們也看到在具體落實層面仍存在有待加強之處。

  天地和興認為,,由于受到企業(yè)自身數(shù)字化轉(zhuǎn)型進度,、安全建設(shè)能力的不平衡影響,再加上《條例》的基本要求仍然不夠細化,,且沒有明確針對不同行業(yè)的執(zhí)行標準,,導(dǎo)致《條例》在執(zhí)行、落地過程中,,企業(yè)對于如何執(zhí)行以及執(zhí)行的重點方面缺乏一致的認知,,比如哪些企業(yè)是屬于關(guān)基保護的范疇?保護到什么程度,?這些在執(zhí)行層面的細節(jié)部分如果不夠明確,,那么企業(yè)在執(zhí)行過程中就會存在一定的偏差,而推進的進度以及保護的力度方面也會出現(xiàn)不一致的情況,。

  關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)領(lǐng)域尚欠缺執(zhí)行標準這一點,,威努特也表示認同,并同時針對用戶側(cè)方面體現(xiàn)出的不足提出了相關(guān)的改善建議,,具體有如下3點:

  ● 1. 網(wǎng)絡(luò)安全風(fēng)險評估是開展網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ),,尤其是涉及行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施,要有優(yōu)先開展安全風(fēng)險評估,并將風(fēng)險評估作為一個常態(tài)化的動作,,每年至少一次風(fēng)險評估,。

  ● 2. 常態(tài)化進行行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件應(yīng)急演練,保證一旦出現(xiàn)網(wǎng)絡(luò)安全事件,,能夠有條不紊的開展應(yīng)急響應(yīng)工作,。

  ● 3.  行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)重視對企業(yè)自身資產(chǎn)的梳理,識別企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的類別并形成關(guān)鍵信息基礎(chǔ)設(shè)施資產(chǎn)列表,,通過常態(tài)化的風(fēng)險評估,,實時掌握企業(yè)自身資產(chǎn)的風(fēng)險情況。

  關(guān)基運營者不應(yīng)止步于“合規(guī)”

  要從實戰(zhàn)角度出發(fā)做好安全建設(shè)

  作為網(wǎng)絡(luò)安全市場的重要推動力,,“合規(guī)”是一個不能繞開的話題,,每當(dāng)新的法律法規(guī)等相關(guān)政策的出臺,都會引起業(yè)內(nèi)的廣泛討論,,那么在《條例》施行后,,從合規(guī)的角度看,關(guān)基運營者最應(yīng)該關(guān)注哪些方面呢,?

  面對這個話題,,天地和興指出,關(guān)基運營者應(yīng)能夠確保關(guān)基保護閉環(huán),,從識別和梳理自身的重要業(yè)務(wù)和資產(chǎn)開始,,梳理可能存在的攻擊路徑,以實戰(zhàn)的角度去部署產(chǎn)品技術(shù),、落實管理制度和安全策略,,并加強監(jiān)測預(yù)警和檢測評估工作,能夠及時的發(fā)現(xiàn)存在的隱患和可能的攻擊,,同時能夠針對已經(jīng)發(fā)生的攻擊或安全事件能夠及時響應(yīng)和處置,。

  威努特則進一步指出,對于關(guān)基運營者而言,,不應(yīng)僅僅止步于“合規(guī)”,,合規(guī)僅僅是基礎(chǔ)能力基線,更應(yīng)該關(guān)注在合規(guī)的基礎(chǔ)上,,進一步強化企業(yè)網(wǎng)絡(luò)安全的風(fēng)險預(yù)測和研判能力,、網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)和安全運營能力。尤其是態(tài)勢感知的建設(shè),,是非常關(guān)鍵的,。最終關(guān)鍵信息基礎(chǔ)設(shè)施保護以防范安全威脅、有效降低安全風(fēng)險,、保障業(yè)務(wù)的安全持續(xù),、穩(wěn)定運行,實現(xiàn)閉環(huán)管理動態(tài)化、能力迭代自動化,、安全能力流程化,、安全運營一體化。

  Gartner此前曾表示,,許多國家的政府已經(jīng)意識到,,幾十年來,國家的關(guān)鍵信息基礎(chǔ)設(shè)施一直是一個未公開的戰(zhàn)場,,因此大家都紛紛采取行動,,要求對支撐這些資產(chǎn)的基礎(chǔ)系統(tǒng)實施更多的安全控制措施,。在具體行動上,,關(guān)鍵信息基礎(chǔ)設(shè)施的安全已經(jīng)成為世界各國政府首要關(guān)切的重點,美國,、英國,、歐盟、加拿大和澳大利亞等國家都成立了“關(guān)鍵信息基礎(chǔ)設(shè)施部門”,,涵蓋通信,、運輸、能源,、水利,、醫(yī)療保健和公共設(shè)施等領(lǐng)域。在這一形勢之下,,《條例》的施行對于我國整體網(wǎng)絡(luò)安全乃至國家安全都有著重要的意義和價值,,通過上述內(nèi)容我們可以看出,這一年來,,它已經(jīng)在多個行業(yè),、領(lǐng)域產(chǎn)生了積極的影響,我們也相信隨著后續(xù)相關(guān)政策的不斷細化,、完善,,將進一步在保障關(guān)鍵信息基礎(chǔ)設(shè)施安全方面發(fā)揮更大作用,為筑牢國家網(wǎng)絡(luò)安全屏障提供有力支撐,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。