随着技术的迅速发展,互联网经历了从最早的拨号上网进行信息交换,到如今万物互联的时代,网络安全也从早期通过木马病毒攻击,造成个别企业用户受影响,进一步演变为影响关键信息基础设施安全、关系国民经济发展和国家安全的重要因素。
与此同时,《中华人民共和国网络安全法》、《国家网络空间安全战略》等一系列法律及纲领性文件的颁布,网络安全的重要性及地位不断提升。2019年12月1日网络安全等级保护相关国家标准正式实施,标志着我国网络安全等级保护制度进入了全新时代。进入2020年后,为进一步指导及推动标准落地,我国先后制定了《网络安全等级保护定级指南》(GB/T 22240-2020)(以下简称《定级指南》)及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安【2020】1960号)(以下简称《指导意见》),明确了贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导思想、基本原则、工作目标和具体措施。9月2日,在公安部网络安全保卫局的指导下,公安部第三研究所、公安部第一研究所在北京正式举办“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”。
网络安全等级保护和关键信息基础设施安全保护工作宣贯会现场
宣贯会上,中国工程院沈昌祥院士,公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全,中央网信办基础设施保护处处长王营康,自然资源部信息中心总工程师顾炳中,深信服CEO何朝曦,奇安信集团董事长齐向东,中国电科首席专家、中国网安副总工程师董贵山,人保财险责任险部副总经理邵运州,公安部信息安全等级保护评估中心主任助理李明,北京时代新威信息技术有限公司总经理王新杰分别发表了讲话。公安部网络安全保卫局重点宣贯《指导意见》,解读《定级指南》,并分享网络安全等级保护制度和关键信息基础设施安全保护制度落地经验,指导网络安全工作落地。
《指导意见》重点强调了以下两点:
一、深入贯彻实施国家网络安全等级保护制度。
(1)网络运营者应深化网络定级备案工作,全面梳理本单位网络及业务系统。
(2)定期开展网络安全等级测评,对已定级备案网络的安全性进行检测评估,查找潜在的网络安全问题及隐患。
(3)科学开展安全建设整改,按照“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求开展网络安全建设和整改加固。
(4)强化安全责任落实,按照“谁主管谁负责,谁运营谁负责”的原则,厘清网络安全等级保护边界,明确安全保护责任。
(5)加强供应链安全管理及网络关键人员的安全管理,对服务过程中可能存在的安全风险进行评估并采取相应措施。
(6)落实密码安全防护要求。第三级以上网络在规划、建设和运行阶段充分考虑符合要求的密码产品及服务,并在网络安全等级测评中同步开展商用密码应用安全性评估。
二、建立并实施关键信息基础设施安全保护制度。
(1)组织认定关键信息基础设施,重要行业和领域相关保护工作部门充分考虑新技术并对本行业关键信息基础设施订单实行动态调整机制。
(2)明确关键信息基础设施安全保护工作职能分工,运营者应指定专门安全管理机构负责关键信息基础设施保护安全保护工作并由主要负责人负总责。
(3)落实关键信息基础设施重点防护措施,加强安全保护及保障并定期进行安全检测评估。
(4)加强重要数据和个人信息保护,建立并落实重要数据和个人信息保护制度,采取技术、管理手段相结合的方式切实保护重要数据全生命周期安全。
(5)强化核心岗位人员和产品服务的安全管理,应对负责人和关键岗位人员进行背景审查。
实际上,网络安全等级保护制度和关键信息基础设施安全保护制度的落地不仅需要主管/监管部门的指导,也需要网络安全厂商的协同推动。据悉,本次宣贯会由公安部主导,深信服、奇安信、启明星辰等10家网络安全厂商承办。其中,作为网络安全等级保护和关键信息基础设施安全保护的推动者和践行者,深信服积极履行网络安全厂商责任,正如深信服CEO何朝曦在“网络安全等级保护和关键信息基础设施安全保护工作宣贯会”所讲的那样,在等级保护工作方面持续开展政策标准宣贯,创新攻关,提供符合相关要求的产品和服务,特别是围绕“三化六防”的新理念和新举措,帮助用户科学开展建设整改。 深信服在网络安全等级保护方面不断探索,继2019年独家承办了公安部网络安全等级保护2.0宣贯会,以及协助全国20个省级、200个以上的地市级网安部门开展网络安全等级保护制度2.0国家标准的宣贯会后,今年继续加强落实公安部要求,履行企业责任,推动各行各业加快等级保护建设。2020年深信服已经在全国面向重要行业网络安全岗位人员建设了25个远程培训教室,并完成了200场行业等保沙龙活动,深入不同行业推进等级保护建设落地。
在网络安全等级保护及关键信息基础设施安全保护上,深信服长期处于行业领先地位,并通过持续创新,不断加大在关保相关的资产测绘、可信计算、密码等产品的开发研究,以及人工智能、大数据分析、态势感知、主动防御、数据安全防护等关键技术的攻关。同时,深信服和监管部门、各行业保护工作部门、测评机构之间通力协作,积极协助落实等保和关保制度。
一直以来,深信服都强调对客户的,与承诺的一致性,围绕客户需求,持续推动和完善产品自身合规改进,并推出产品合规自检模块、等保流程管理平台、等保交付机制,协助用户开展网络安全等级保护安全建设整改工作。
而随着等级保护2.0的不断深入,各行各业在合规方面有了更高的要求,深信服紧贴客户需求,持续推动产品和方案改进:在产品层面围绕《网络安全等级保护基本要求》建立了产品的合规基线,确保产品“出厂即合规”;在方案层面结合各行业的差异化要求,定制开发了30多个细分行业的场景化等保方案,还针对性的提供了关保、商用密码应用合规等相关方案。
截止目前,深信服已经参与了上万家用户的等级保护建设,得到了政府、教育、企业、医疗等各行各业用户的认可。
过去十年,网络安全等级保护制度极大地推动了安全产业的发展,随着2019年网络安全等级保护系列标准发布,网络安全等级保护制度迎来了新的时代。网络安全等级保护和关键信息基础设施安全保护制度,将进一步扩大国内网络安全市场、使生态更加繁荣,也需要监管部门、测评机构和安全厂商共建完善的网络安全生态,共同保护国家、企业、用户的网络安全。