關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》,落實關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)措施,包括分析識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、技術(shù)對抗、事件處置六個環(huán)節(jié)的措施。
安 全 防 護(hù)
落實國家網(wǎng)絡(luò)安全等級保護(hù)制度
運(yùn)營者應(yīng)首先落實國家網(wǎng)絡(luò)安全等級保護(hù)制度,按照網(wǎng)絡(luò)安全等級保護(hù)有關(guān)政策和標(biāo)準(zhǔn),對網(wǎng)絡(luò)和信息系統(tǒng)開展定級、備案、相應(yīng)等級的安全建設(shè)整改和等級測評工作。落實等級保護(hù)制度,是關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的前提,是法律規(guī)定。
安全管理制度
確定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作目標(biāo),建立一系列安全管理制度。
一是建立包括風(fēng)險管理制度、網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)制度、教育培訓(xùn)制度、人員管理制度、業(yè)務(wù)連續(xù)性管理及容災(zāi)備份制度、“三同步”制度(安全措施同步規(guī)劃、同步建設(shè)、同步使用)、供應(yīng)鏈安全管理制度等的安全管理制度體系。制定包含管理體系、技術(shù)體系、運(yùn)營體系、保障體系等內(nèi)容的網(wǎng)絡(luò)安全保護(hù)規(guī)劃,加強(qiáng)機(jī)構(gòu)、編制、人員、經(jīng)費(fèi)、裝備、科研、工程等的資源保障。網(wǎng)絡(luò)安全保護(hù)規(guī)劃應(yīng)形成文檔并經(jīng)審批后發(fā)布至相關(guān)組織和人員。網(wǎng)絡(luò)安全保護(hù)規(guī)劃應(yīng)至少每年修訂一次,發(fā)生重大變化時應(yīng)及時進(jìn)行修訂。
二是基于關(guān)鍵業(yè)務(wù)鏈、供應(yīng)鏈等安全需求,建立完善安全策略,并根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施所面臨的安全風(fēng)險和威脅變化及時進(jìn)行相應(yīng)調(diào)整。安全互聯(lián)策略包括訪問控制策略、安全審計策略、身份管理策略、入侵防范策略、數(shù)據(jù)安全防護(hù)策略、自動化機(jī)制策略(配置、漏洞、補(bǔ)丁、病毒庫等)、供應(yīng)鏈安全管理策略、安全運(yùn)維策略等。
三是在確定安全規(guī)劃、安全策略的基礎(chǔ)上,細(xì)化制定一系列操作規(guī)范、流程和工單,保證規(guī)劃和策略落到實處。
安全管理機(jī)構(gòu)
成立網(wǎng)絡(luò)安全與信息化工作委員會或領(lǐng)導(dǎo)小組,由單位主要負(fù)責(zé)人擔(dān)任領(lǐng)導(dǎo)職務(wù)。設(shè)置專門的網(wǎng)絡(luò)安全管理機(jī)構(gòu),明確負(fù)責(zé)人及若干專門崗位,設(shè)置系統(tǒng)管理、網(wǎng)絡(luò)管理、安全管理等關(guān)鍵崗位。
關(guān)鍵崗位應(yīng)由專人負(fù)責(zé),并配備2人以上共同管理。建立網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)機(jī)制,落實責(zé)任制。將安全管理機(jī)構(gòu)主要人員納入單位信息化決策體系,確保網(wǎng)絡(luò)安全與信息化建設(shè)同步進(jìn)行。
安全管理人員
人是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作中最重要的要素。運(yùn)營者要高度重視人才選拔和崗位安排。
一是對安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查,審查過程中應(yīng)請公安機(jī)關(guān)和國家安全機(jī)關(guān)協(xié)助。對關(guān)鍵崗位的人員要進(jìn)行安全技能考核,符合要求的方能上崗。
二是安排安全管理機(jī)構(gòu)人員參加國家、行業(yè)或業(yè)界組織的網(wǎng)絡(luò)安全大賽、論壇、研討等相關(guān)活動,及時獲取網(wǎng)絡(luò)安全動態(tài)和知識,并傳達(dá)給相關(guān)部門及人員。
三是建立網(wǎng)絡(luò)安全教育培訓(xùn)制度,定期開展基于崗位的網(wǎng)絡(luò)安全教育培訓(xùn)和技能考核,設(shè)置科學(xué)的年度培訓(xùn)時長。教育培訓(xùn)內(nèi)容應(yīng)包括網(wǎng)絡(luò)安全相關(guān)法律、政策、制度、標(biāo)準(zhǔn)和規(guī)定,以及網(wǎng)絡(luò)安全保護(hù)技術(shù)、管理制度、網(wǎng)絡(luò)安全風(fēng)險意識等。
四是當(dāng)安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員的身份、安全背景等發(fā)生變化(例如取得非中國國籍)時,應(yīng)重新進(jìn)行背景審查。當(dāng)發(fā)生內(nèi)部崗位調(diào)動時,應(yīng)及時評估并調(diào)整調(diào)動人員的訪問權(quán)限。當(dāng)人員離崗時,應(yīng)及時終止離崗人員的所有訪問權(quán)限,收回與身份鑒別相關(guān)的軟硬件設(shè)備,進(jìn)行離職面談,并通知相關(guān)人員或角色,確保人員變動后不發(fā)生危害網(wǎng)絡(luò)安全的事件。
五是明確專門崗位人員的安全保密職責(zé)和義務(wù),包括安全職責(zé)、獎懲機(jī)制、離崗后的脫密期限等,并與專門崗位人員簽訂安全保密協(xié)議。
安全通信網(wǎng)絡(luò)
為了保障網(wǎng)絡(luò)通信安全,運(yùn)營者應(yīng)從以下方面采取安全措施:
一是互聯(lián)安全。建立具有不同安全保護(hù)等級的系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域及與其他運(yùn)營者之間的安全互聯(lián)策略。保持同一用戶的用戶身份、安全標(biāo)記、訪問控制策略等在具有不同安全保護(hù)等級的系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域中的一致性。對不同局域網(wǎng)之間的遠(yuǎn)程通信,應(yīng)采取身份驗證或鑒別等安全防護(hù)措施(例如,設(shè)置基于密碼技術(shù)的身份驗證或鑒別設(shè)施,對通信雙方進(jìn)行驗證)。
二是邊界防護(hù)。在具有不同安全保護(hù)等級的系統(tǒng)、不同業(yè)務(wù)系統(tǒng)、不同區(qū)域及與其他運(yùn)營者之間的互操作、數(shù)據(jù)交換和信息流向方面,設(shè)置嚴(yán)格的控制策略和機(jī)制,實施嚴(yán)格的控制措施。對未授權(quán)設(shè)備進(jìn)行動態(tài)檢測及管控,只允許通過運(yùn)營者自身授權(quán)和安全評估的軟硬件運(yùn)行,防止網(wǎng)絡(luò)入侵攻擊。
三是安全審計。在邊界設(shè)置網(wǎng)絡(luò)審計措施,監(jiān)測、記錄信息系統(tǒng)運(yùn)行狀態(tài)、日常操作、故障維護(hù)、遠(yuǎn)程運(yùn)維等,留存相關(guān)日志數(shù)據(jù)不少于12個月,以便對非法操作進(jìn)行溯源和固證。
安全計算環(huán)境
計算環(huán)境是信息系統(tǒng)的核心,包括主機(jī)、數(shù)據(jù)庫、服務(wù)器、重要數(shù)據(jù)等重要資產(chǎn)。為了保障計算環(huán)境安全,運(yùn)營者應(yīng)從以下方面采取安全措施。
一是鑒別與授權(quán)。確定重要業(yè)務(wù)操作或異常用戶操作行為,并形成清單;設(shè)置動態(tài)的身份鑒別措施,或者采用多因子身份鑒別等方式,實現(xiàn)對設(shè)備、用戶、服務(wù)(或者應(yīng)用)、數(shù)據(jù)的安全管控。對針對重要業(yè)務(wù)數(shù)據(jù)資源的操作,可采取基于安全標(biāo)記等的技術(shù)措施實施嚴(yán)格的訪問控制。
二是入侵防范。采用人工智能和大數(shù)據(jù)分析等技術(shù),建設(shè)防范新型網(wǎng)絡(luò)攻擊行為(例如高級持續(xù)性威脅攻擊)的管理和技術(shù)措施,及時識別并阻斷網(wǎng)絡(luò)入侵和病毒傳播,提高信息系統(tǒng)的主動防護(hù)能力。
三是設(shè)備配置和管理自動化。設(shè)置自動化工具、裝備,支持系統(tǒng)賬戶、配置、漏洞、補(bǔ)丁、病毒庫等的管理。在修復(fù)漏洞和打補(bǔ)丁時,應(yīng)先驗證、后實施。
安全建設(shè)管理
在新建或改建、擴(kuò)建關(guān)鍵信息基礎(chǔ)設(shè)施時,應(yīng)依法落實“三同步”要求,同步規(guī)劃、同步建設(shè)、同步使用安全保護(hù)措施,充分考慮網(wǎng)絡(luò)安全因素。在規(guī)劃、設(shè)計和建設(shè)階段,應(yīng)加強(qiáng)全過程網(wǎng)絡(luò)安全管理,與規(guī)劃、設(shè)計和建設(shè)單位簽署安全保密協(xié)議,落實相關(guān)單位的網(wǎng)絡(luò)安全責(zé)任,確保網(wǎng)絡(luò)和數(shù)據(jù)安全。為了保證安全措施的有效性,可采取滲透性攻擊測試、評審、源代碼檢測等方式進(jìn)行驗證??山ㄔO(shè)關(guān)鍵信息基礎(chǔ)設(shè)施仿真驗證環(huán)境,對關(guān)鍵業(yè)務(wù)和安全措施進(jìn)行驗證。
安全運(yùn)維管理
關(guān)鍵信息基礎(chǔ)設(shè)施投入運(yùn)行后,為了保障其安全,運(yùn)營者應(yīng)保證關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)維地點位于我國境內(nèi);確需在境外運(yùn)維的,應(yīng)按照我國相關(guān)規(guī)定執(zhí)行。
運(yùn)營者應(yīng)與維護(hù)人員簽訂安全保密協(xié)議,確保人員安全可控。在運(yùn)維過程中,運(yùn)維人員應(yīng)優(yōu)先使用已登記備案的運(yùn)維工具和裝備;確需使用由維護(hù)人員帶入關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)部的維護(hù)工具裝備的,應(yīng)在使用前通過惡意代碼等安全檢測,確保工具裝備安全可控。
供應(yīng)鏈安全
關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全是安全工作的重要方面,也是網(wǎng)絡(luò)安全防護(hù)的薄弱環(huán)節(jié),需要引起高度重視。為了保障供應(yīng)鏈安全,運(yùn)營者應(yīng)從以下方面采取安全措施。
一是制定供應(yīng)鏈安全管理策略。無論是采購產(chǎn)品還是服務(wù),都要對關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)開展全鏈條、全生命周期的供應(yīng)鏈安全風(fēng)險分析、識別;針對威脅風(fēng)險,制定安全建設(shè)策略、風(fēng)險管理策略、供應(yīng)商選擇和管理策略、產(chǎn)品開發(fā)采購策略、安全維護(hù)策略等,并采取相應(yīng)措施確保策略落實到位。
二是建立供應(yīng)鏈安全管理制度,落實供應(yīng)鏈安全管理部門和安全責(zé)任人,加強(qiáng)對供應(yīng)鏈安全管理資金、人員、權(quán)限等資源的保障。
三是加強(qiáng)產(chǎn)品在設(shè)計、研發(fā)、交付、使用、廢棄等階段,以及制造設(shè)備、工藝等方面的供應(yīng)鏈安全風(fēng)險排除,加強(qiáng)全鏈條安全管理,確保產(chǎn)品安全可控。
四是選擇有實力、有能力、保障有力的供應(yīng)商,防止由于政治、外交、貿(mào)易、經(jīng)濟(jì)等非技術(shù)因素導(dǎo)致產(chǎn)品和服務(wù)供應(yīng)中斷。同時,要在能提供相同產(chǎn)品的多個供應(yīng)商中選擇,以防范供應(yīng)商鎖定風(fēng)險。
五是采購、使用的網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品,應(yīng)通過國家規(guī)定的檢測認(rèn)證。需要獲得銷售許可的產(chǎn)品,應(yīng)獲得有關(guān)機(jī)構(gòu)頒發(fā)的銷售許可證。
六是采購、使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)符合法律、行政法規(guī)的規(guī)定和相關(guān)國家標(biāo)準(zhǔn)的要求,在功能、性能方面不能偷工減料、弄虛作假??赡苡绊憞野踩木W(wǎng)絡(luò)產(chǎn)品和服務(wù),應(yīng)通過國家網(wǎng)絡(luò)安全審查。當(dāng)發(fā)現(xiàn)使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)存在安全缺陷、漏洞等風(fēng)險時,應(yīng)及時采取措施消除風(fēng)險隱患;涉及重大風(fēng)險的,應(yīng)按規(guī)定向公安機(jī)關(guān)等有關(guān)部門報告。
七是在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時,應(yīng)與供應(yīng)商簽訂安全保密等有關(guān)協(xié)議,協(xié)議內(nèi)容應(yīng)包括安全職責(zé)、保密內(nèi)容、獎懲機(jī)制、有效期等;或者,要求供應(yīng)商簽署承諾書,明確供應(yīng)商的安全責(zé)任和義務(wù),由供應(yīng)商承諾不非法獲取用戶數(shù)據(jù)、控制和操縱用戶系統(tǒng)及設(shè)備,不利用用戶對產(chǎn)品的依賴性謀取不正當(dāng)利益,不強(qiáng)迫用戶進(jìn)行產(chǎn)品更新?lián)Q代。
數(shù)據(jù)安全防護(hù)
在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中,保護(hù)核心數(shù)據(jù)、重要數(shù)據(jù)安全是重中之重。運(yùn)營者應(yīng)落實《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》中有關(guān)數(shù)據(jù)安全的要求,并從以下方面采取安全措施:
一是在開展數(shù)據(jù)分類分級的基礎(chǔ)上,針對數(shù)據(jù)的不同類型和級別,制定有針對性的數(shù)據(jù)安全保護(hù)策略,明確一系列數(shù)據(jù)安全保護(hù)措施。
二是制定數(shù)據(jù)安全保護(hù)規(guī)劃,明確保護(hù)目標(biāo)、任務(wù)、具體措施,實施一系列數(shù)據(jù)安全防護(hù)手段;建立并落實數(shù)據(jù)安全管理責(zé)任制和評價考核制度,開展數(shù)據(jù)安全風(fēng)險評估。
三是制定數(shù)據(jù)安全事件應(yīng)急預(yù)案并定期開展演練,加強(qiáng)力量、資源、裝備、經(jīng)費(fèi)等方面的保障,做好隨時處置重大數(shù)據(jù)安全事件的準(zhǔn)備;當(dāng)發(fā)生重大安全事件時,能及時有效處置并恢復(fù),將損失降到最低。
四是將在我國境內(nèi)運(yùn)營過程中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)存儲在境內(nèi);因業(yè)務(wù)需要,確需向境外提供數(shù)據(jù)的,應(yīng)按照國家相關(guān)規(guī)定和標(biāo)準(zhǔn)進(jìn)行安全評估,或者通過有關(guān)部門組織的安全審查;法律、行政法規(guī)另有規(guī)定的,應(yīng)依照其規(guī)定執(zhí)行。
五是加強(qiáng)數(shù)據(jù)全生命安全管理,嚴(yán)格管控核心數(shù)據(jù)、重要數(shù)據(jù)在存儲、使用、加工、傳輸、提供、公開等環(huán)節(jié)的安全風(fēng)險??梢圆扇〖用堋⒚撁?、去標(biāo)識化等手段,保護(hù)核心數(shù)據(jù)、重要數(shù)據(jù)、敏感數(shù)據(jù)安全。
六是建立重要數(shù)據(jù)容災(zāi)備份機(jī)制。應(yīng)加強(qiáng)業(yè)務(wù)連續(xù)性管理,建立信息系統(tǒng)、數(shù)據(jù)庫等容災(zāi)備份機(jī)制,對重要系統(tǒng)和數(shù)據(jù)庫采取異地備份措施。對業(yè)務(wù)數(shù)據(jù)安全性要求高的可采取數(shù)據(jù)異地實時備份,對業(yè)務(wù)連續(xù)性要求高的可采取重要系統(tǒng)異地備份,從而保障業(yè)務(wù)的異地實時切換,確保關(guān)鍵信息基礎(chǔ)設(shè)施一旦被攻擊破壞可及時恢復(fù)和補(bǔ)救。
七是當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施廢棄時,應(yīng)按照相應(yīng)的數(shù)據(jù)安全管理策略對其中存儲的數(shù)據(jù)進(jìn)行妥善處理,確保不危害核心數(shù)據(jù)、重要數(shù)據(jù)安全。
您訪問的鏈接即將離開“汕尾市金融工作局”網(wǎng)站,是否繼續(xù)?