网络安全产业相关政策正酝酿推出。记者21日从2019北京网络安全大会(BCS2019)上获悉:由中央网信办和公安部共同制定的《关键信息基础设施保护条例》已上报国务院,有望年内正式出台。
目前网络安全产业发展态势良好。赛迪智库报告显示,上半年国内共有超过16起网络安全企业投融资或并购事件,涉及金额累积超过27.5亿元。业内预计2019年我国网络安全市场规模将达到680亿元,较上年增加25%;两年内我国网络安全将形成千亿级市场。
关键信息基础设施包含哪些内容
总结下关键信息基础设施包含:关系到国家重大利益、人民群众生命财产安全和社会生产生活秩序,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的基础网络、重要信息系统和数据资源。
具体的系统涉及到:电公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等行业和领域中重要的信息系统或基础网络。
如何做好关键信息基础设施网络安全保护工作
根据《网络安全法》及《关键信息基础设施安全保护条例(征求意见稿)》总结了以下几点,供大家参考。
注:关键信息基础设施以下简称“关基”。《关键信息基础设施安全保护条例(征求意见稿)》以下简称“条例”。
一、网络安全法第6、31条明确要求:关基在网络安全等级保护制度的基础上,实行重点保护。
具体要求:“关基”需要及时开展网络安全等级保护工作且系统等级不低于三级,这是基础。
二、网络安全法第38条,条例28条明确有相关要求:建立健全“关基”安全检测评估制度,关基上线运行前或者发生重大变化时需要进行安全检测评估。同时每年对“关基”至少进行一次检测评估,对发现的问题及时进行整改。
三、网络安全法第34条,条例24、25、27条有相关要求:完善内部安全管理制度和操作规程,设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核。
四、网络安全法21条,条例23条有相关要求:采取技术措施,防范计算机病毒和网络攻击、网络侵入等危害网络安全行为。
通俗讲就是网络版杀毒软件、防毒墙、IPS、WAF、防火墙、堡垒机、数据库防火墙等防护类设备要有一定的技术措施保障其安全。
五、网络安全法21条,条例23条有相关要求:采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月。
这里建议大家没有日志审计设备的用户抓紧配好,最好要留存不少于6个月的日志量,如果资金充足的单位也可以通过集中管理中心或者SOC平台等相关产品实现这个要求。
六、网络安全法34条,条例23、24条有相关要求:采取数据分类、重要数据备份和加密认证等措施,对重要系统和数据库进行容灾备份;有条件的可以做异地应用容灾备份,总之要确保单位核心数据及应用的安全。
七、网络安全法34条,条例24、25条有相关要求:制定网络安全事件应急预案并定期进行演练。
八、网络安全法条例24条明确要求:在发现或被告知相关漏洞等风险后及时进行安全整改,不能坐视不管。
如何构建关键信息基础设施体系
《信息安全与通信保密》杂志社记者获悉,工信部将加强基础性、通用性、前瞻性技术创新,积极利用人工智能、大数据等技术赋能网络安全。充分发挥企业主体作用,构建多领域、多层次网络安全技术创新体系。优化产业政策环境,加快出台促进网络安全产业发展的指导意见,扎实推进国家网络安全产业园区建设。面向5G、工业互联网、车联网等融合领域安全需求,加快完善网络安全产品和服务支撑体系,建设网络安全防护体系。
附相关领导在2019北京网络安全大会上的讲话(摘要):
李爱东-中央网信办网络安全协调局副局长
要树立正确的网络安全观,坚持防范风险和促进健康发展并重,主动应对风险挑战。
一是大力推动网络产业发展:要加强政策引导,逐步坚强网络安全技术创新、投融资服务、产业链协作和政策法规等支撑体系;要发挥市场作用,突出企业在网络安全技术创新中的主体地位,培育具有国际竞争力的龙头企业,支持我国网络安全企业做大做强,夯实网络安全根基。
二是积极防范新技术新应用带来的风险挑战:要坚持前瞻布局,未雨绸缪,认真研究新技术新应用新业态潜在的安全风险,做好战略预判,实时完善法律法规,制定相应安全标准,研发安全防护技术,有效防范化解安全风险,将主动权掌握在自己手中。
三是加强关键信息基础设施保护:加强制度建设,加快出台相关条例,着眼防范有组织,高强度的网络攻击,切实提升安全保障能力,保障关键信息基础设施安全、稳定、连续运行。
郭启全-公安部网络安全保卫局巡视员、副局长兼总工程师
网络安全是战斗,是斗争。近年来,公安部门以实战化、体系化、常态化为目标,构建了网络安全综合防御体系,并在动态防御、主动防御、整体防控、精准防护方面积累了一定经验。公安部开展的“净网行动”大力打击了网络违法犯罪。
维护网络安全,不能仅靠防。公安部将按照中央要求,会同中央网信办等部门,共同研究应对措施,抓好落实,加快推进关键基础设施保护工作。“空喊口号是没有用的,中央关于网络安全的顶层设计已经完成,各级部门和企业应下大力气,将其落到实处”。
企业如何打造解决方案
物联网时代,除了要关注信息安全,更要思考如何保障关键信息基础设施和众多物联网设备的运行安全,要通过信息化系统和安全系统的聚合、业务数据和安全数据的聚合、IT人才和安全人才的聚合,打造适合关键信息基础设施的安全解决方案。
来源: Cismag 信息安全与通信保密杂志社
