我的位置:

等级保护助力新基建

作者:「匡安网络」

发表于:Aug 27, 2020

浏览:


何为新基建?

 
 
新基建是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。
 

新基建包括信息基础设施、融合基础设施、创新基础设施等三个方面。三类基础设施的主要特点如下:

信息基础设施主要特征‘技术新’,主要依托5G、大数据、云计算、人工智能、工业互联网、物联网等新一代信息技术演化生成的基础设施即信息基础设施,比如以5G、物联网、工业互联网、卫星互联网为代表的通信网络基础设施,以人工智能、云计算、区块链等为代表的新技术基础设施,以数据中心、智能计算中心为代表的算力基础设施等;

融合基础设施重在“应用新”,将大数据、人工智能等技术深度应用于传统基础设施转型升级,进而形成融合基础设施,比如智能交通基础设施、智慧能源基础设施等;

创新基础设施强调“基础新”,创新基础设施主要是指支撑科学研究、技术开发、产品研制的具有公益属性的基础设施,比如重大科技基础设施、科教基础设施、产业技术创新设施等。

以信息、融合和创新为核心内涵的新型基础设施建设面向的是数字经济时代。“新基建”在驱动各行业数字化和智能化升级的同时也将带来前所未有的网络安全风险与挑战,网络安全基础不牢,新基建和数字化就无法正常运转,甚至会崩塌。

“信息网络”是新基建的基础,网络安全将作为新基建最重要的“基础型技术”之一,成为新基建持续发展,最关键的底层构架“基石”。在“新基建”发展的浪潮中,网络安全也被赋予了全新的内容。

网络安全等级保护作为国家网络安全的基本制度、策略和方法,已经在全国各行业大力推广。《中华人民共和国网络安全法》规定:国家实行网络安全等级保护制度,国家对关键信息基础设施在网络安全等级保护制度基础上实行重点保护,因此“新基建”应按照网络安全等级保护相关标准实施高等级保护。

网络运营者践行等级保护工作、落实等级保护制度对“新基建”有什么意义呢?本文从下列几方面内容进行阐述。

 
构建“新基建”网络安全防护体系
等级保护“一个中心,三重防护”的纵深防御体系,是指建立以计算环境安全为基础,以区域边界安全、通信网络安全为保障,以安全管理中心为核心的信息安全整体保障体系。网络安全等级保护将传统信息系统安全,扩展到云计算、物联网、移动互联网、大数据平台、工业互联网等新的技术领域,更加注重全方位主动防御、动态防御、整体防控和精准防护。等级保护安全管理体系涵盖“ 机构”、“ 制度” 和“ 人员”以及系统建设整改和运行维护过程中的重要活动实施控制和管理。
“新基建”作为关键信息基础设施中的核心部分,“通信网络基础设施”在等级保护中可确定为独立的“定级对象”,因此应按照等级保护相关标准加快推进“新基建”安全保障体系建设,集安全技术与安全管理于一体,打造具有“动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控”能力的网络安全综合防护体系。
 
保障“新基建”信息化和网络安全建设的“三同步”
网络安全等级保护三大核心标准“设计要求、基本要求、测评要求”同时发布、同步执行,将等级保护工作与“三同步(同步规划、同步建设、同步运行)”进行融合。在信息系统的“规划、建设、运营/使用”三阶段生命周期,形成等级保护与“三同步”的结合点,在信息系统总体规划阶段进行定级;在信息系统使用阶段进行等级保护的“备案、测评、整改、自查和监督检查”;在系统建设阶段,将等级保护基本要求、设计要求纳入系统的建设过程中,确保信息系统的建设满足等级保护相关要求。
对“新基建”开展等级保护工作,有助于统筹好“新基建”信息化和网络安全建设的“三同步”,使得新基建能够安全稳定运行,顺利推动数字化经济转型,避免因网络安全问题导致“新基建”被控制、被瘫痪的可能性。
 
提升“新基建”网络安全防御能力
新基建”的本质为“数字化基础设施建设”,新型基础设施以数据和网络为核心,网络化可能会带来网络安全问题,数字化可能会带来数据安全问题。对“新基建”落实等级保护制度,开展基线核查、安全加固、渗透测试以及漏洞扫描等等保测评过程中必备的“动作”,可有效规避“新基建”相关资产存在的中、高风险漏洞,筑牢整个网络的安全防护基线,提高基础设施的基础安全防御能力。
等级保护对重要的信息系统要求对分布在整个系统中的安全功能或安全组件的集中技术管理手段,即建立安全管理中心。安全管理中心旨在将多设备的管理能力集中在统一化平台,进行统一分析、展示风险,并通过全面的信息收集、举证以及全局联动机制,对安全风险进行快速处置,提升管理效率。在“新基建”建设过程中考虑建立安全管理中心、布局“安全运营中心”,可有效提升其安全风险、态势感知能力。
此外,等级保护提出了应急预案管理方面的相关要求,包括应急预案的制定、应急流程和应急演练等内容,在“新基建”实际运行过程中可通过渗透测试、入侵模拟以及常态化的攻防对抗演习等方式检验网络安全应急响应能力,对新基建安全防护和应急响应进行持续的实战检验,并及时完善和提升安全能力。
数据是“新基建”的基础,更是重要的生产资料,数据安全是新基建里最基础的问题。传统的数据安全防护绝大程度上依托于安全管理,等级保护通用要求对处理数据的业务系统的可用性、冗余性以及数据的保密性、完整性、备份和恢复都提出了相关的要求,同时在等级保护基本要求附录列出大数据扩展要求,但对保障“新基建”数据安全、构建数据安全防护体系显得捉襟见肘,“数据安全建设,亟需输出行业集体的智慧与力量”。


声明:以上内容由匡安网络整理编辑,部分图文来源于互联网及公众平台,如有侵犯版权请告知,我们将及时删除!