2017年6月1日正式实施的《中华人民共和国网络安全法》首次在立法层面引入“关键信息基础设施”的概念;2021年9月1日正式施行的《关键信息基础设施安全保护条例》是落实《网络安全法》的要求和构建国家关键信息基础设施安全保护体系的顶层设计;2023年5月1日正式实施的《信息安全技术 关健信息基础设施安全保护要求》(gb/t 39204-2022)(以下简称《关保要求》)对关键信息基础设施提出了更细致的可操作性要求。
《关保要求》共11章节,给出了关键信息基础设施安全保护的三项基本原则、六个方面活动,提出了111条安全要求。
标准第5条“主要内容及活动”中明确指出,分析识别是开展安全防护、检测评估、检测预警、主动防御、事件处置等活动的基础。下面我们主要对分析识别活动内容进行分析和解读。
在开始分析前,先熟悉一下几个名称:
关键信息基础设施是指公共通信和信息、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或数据泄漏,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键业务链是组织的一个或多个相互关联的业务构成的关键业务流程。
一、 业务识别
a) 应识别本组织的关键业务和与其相关联的外部业务;
b) 应分析本组织关键业务对外部业务的依赖性;
c) 应分析本组织关键业务对外部业务的重要性;
d) 应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
解读:首先需要识别哪些是关键业务,确定支撑关键业务的信息系统或工业控制系统,根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。梳理关键业务可参考下图:
对候选关键信息基础设施清单中信息系统或工业控制系统,可参考以下标准:
认定关键基础设施后,分析识别本单位的关键业务和关键业务所依赖的外部业务,以及外部业务对关键业务的重要性和依赖性。当本单位关键业务为外部业务提供服务时,识别关键业务对外部业务的重要性。其实简单的理解就是梳理本单位关键业务相关的上游关联业务和下游关联业务的重要性和依赖性,最终确定所有涉及的关键业务链,从而确定支撑关键业务的关键信息设施分布和运营情况,形成关键业务画像。
二、 资产识别
a) 应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资产的资产清单;
b) 应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级;
c) 应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
解读:在识别关键业务和关键业务链的基础上,分析识别关键业务链所依赖的资产(包括网络、系统、数据、服务和其他类资产),建立相关的资产清单。可利用资产管理系统、网络空间测绘系统等技术工具,实现资产数据动态、持续统一管理;并对关键业务相关资产进行分类分级管理。另外还需建立分析识别业务流程,形成关键信息基础设施业务识别相关文档,建立资产识别制度,识别关键业务资产组成,形成资产清单。
三、 风险识别
应按照gb/t 20984等风险评估标准,对关键业务链开展安全风险分析,识别关键业务链各环节的威胁、脆弱性,确认已有安全控制措施,分析主要安全风险点,确定风险处置的优先级,形成安全风险报告。
解读:对关键业务链根据《gb/t 20984-2022 信息安全技术 信息安全风险评估方法》进行风险评估,分析识别关键业务链各环节的威胁、脆弱性和安全措施及安全风险点,确认风险处置优先级,形成安全风险报告。风险评估流程参考下图:
四、 重大变更
在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应重新开展识别工作,可能影响认定结果的,应及时将相关情况报告保护工作部门,并更新资产清单。
解读:当关键信息基础设施发生改建、扩建、所有人变更等较大变化,就需要重新开展识别,重新认定关键信息基础设施范围,重新安全风险评估,更新相关资产清单;以及及时报告保护工作部门。建立重大变更管理制度,明确重大变更范围、处理流程等。
本标准为保护工作部门、关键信息基础设施运营者、网络安全服务机构等开展安全保护工作提供指引和依据,是又一个里程碑。有助于进一步提升国家关键信息基础设施安全保障能力和水平。
随着大数据、云计算、人工智能等新一代信息技术与人类生产生活交汇融合的深入,各类通过网络收集、存储、传输、处理和产生的电子数据正在对经济发展、社会治理、人民生活乃至国家安全产生重大而深刻的影响。
2016年11月,《网络安全法》颁布,建立了我国网络数据安全相关制度;2019年5月,《数据安全管理办法》草案公开征求意见;2020年7月《数据安全法》草案公开征求意见,这不仅是从国家立法层面对数据安全高度重视的体现,同时数据安全也已经成为网络安全乃至国家安全法制体系中的核心内容之一。从网络安全到数据安全,是适应大数据时代下数据安全防护体系的构建与发展。那么网络安全和数据安全的定义是什么?他们之间又有什么区别和联系呢?
网络安全不仅包括网络信息的存储安全,还涉及信息的产生、传输和使用过程中的安全。ta是指网络系统的硬件、软件及其系统中的数据通过采取必要措施得到保护,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,保障网络数据的完整性、保密性、可用性的能力,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
随着信息时代向数据时代的转变,数据安全这个概念更接近安全保护的目标。ta是指在网络安全提供的有效边界防御基础上,以数据安全使用为目标,有效地实现对核心数据的安全管控,关注数据全生命周期的安全与合规,特别是敏感数据的安全与合规,利用技术手段识别网络上的文件、数据库、帐户信息等各类数据集的相对重要性、敏感性、合规性等,并采取适当的安全控制措施对其实施保护等过程。
网络安全侧重于计算的资源与环境,是有边界的,数据安全则侧重于数据的全生命周期内的安全与合规。网络空间是计算的资源与环境,数据是计算的对象,因此,我们可以理解为网络安全是手段,数据安全是目标,我们通过保护网络空间里数据的这种手段,来达成数据安全的目标。
在人工智能、大数据等新技术新应用赋能网络安全的同时,数据泄露事件频发也使得网络安全防护体系面临新的挑战,正是由于边界防护手段是以网络为中心的建设方式和理念,它无法为数据层面提供更多防护需要。
再者,数据治理正在逐渐成为政府 、企业进行智能化决策的重要手段,目前的边界防护已无法满足对数据、对数据生命周期的管控。随着治理的延伸,以网络为中心的安全防护短板越发明显。全面提升网络数据安全保护能力,是应对网络安全新形势的客观要求。
从网络安全到数据安全,我们面临的不仅是建立在内外部网络边界基础之上的传统安全模型已无法抵御日益复杂的新型风险,更是如何在数据泛滥之下,对数据进行整体安全防护。零信任安全作为一种全新的安全架构理念,进入我们的视野。
“零信任”的本质诉求是以身份为中心进行访问控制,在事前准入、事中控制、事后审计三个环节都进行严格管控,核心思想是“从来不信任,始终在验证”。在传统安全防御方式已无法有效抵御日益复杂的新型风险之时,零信任网络访问的“验证才信任”的优势日益显现。
2020年9月22日,作为网络空间安全及社会治理领域国家队的美亚柏科正式宣布启动新网络空间安全板块,从网络为中心到以数据为中心、从允许所有到拒绝所有、从边界防护到零信任,把数据安全作为主要业务方向,正由事后的“电子数据调查取证”延伸到“网络空间安全”事前事中事后全赛道,打造新一代网络空间安全防护体系。
为了构建安全的大数据环境,美亚柏科新网络空间安全引入“零信任”体系,以“零信任体系”理念为核心,结合大数据行业深耕多年的行业经验,构建了以数据为中心的动态防御产品体系,具备认证管理、权限管理、审批管理、审计管理、安全策略控制、环境感知六大能力,帮助用户抵御日益复杂的新型网络风险,避免未知安全威胁带来的数据泄露风险。
同时,作为主要服务于国内各级司法机关和行政执法部门的国内大数据企业,美亚柏科对大数据智能化业务所接触行业数据坚持不采集、不存储、不买卖的态度。
大数据时代,随着新业态新技术的发展,数据已然成为国家基础性战略资源,数据安全已经事关经济社会大局。美亚柏科敏锐把握行业发展趋势,超前谋划,瞄准大数据应用及数据安全等关键领域,持续钻研,深化从网络安全到数据安全的战略布局。
未来,美亚柏科也将继续发挥自身在大数据、网络空间安全等领域的技术优势,结合应用场景,推动零信任的落地实践,加强大数据安全管理和隐私保护,为促进数字经济健康发展贡献力量!
米乐体育app官网下载的版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至aztec9527@qq.com 举报,一经查实,本站将立刻删除。如若转载,请注明出处:https://www.cossn.com/342479.html