从网络安全法草案看关键信息基础设施安全

长期以来,社会各界十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,十二届全国人大常委会把制定网络安全方面的立法列入立法工作计划中。

十二届全国人大常委会第十五次会议初次审议《中华人民共和国网络安全法(草案)》。草案共7章68条。关于保障网络产品和服务安全,草案规定网络产品和服务提供者不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等;关于保障网络数据安全,草案要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或者篡改;关于保障网络信息安全,草案明确了网络运营者处置违法信息的义务,赋予有关主管部门处置违法信息、阻断违法信息传播的权力。

在经过近一年的向社会公开征求意见后,十二届全国人大常委会第二十一次会议将再次审议《中华人民共和国网络安全法(草案)》。二审拟增加多项促进网络安全的支持措施,在维护网络安全的同时,促进发展。

6月27日十二届全国人大常委会第二十一次会议召开会议,会议听取了全国人大法律委员会副主任委员张海阳作的关于网络安全法草案修改情况的汇报。草案二审稿进一步强化国家的责任和公民、组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权、安全和发展利益。

针对拟加强对关键信息基础设施及其数据的安全保护,二审稿规定,国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家关键基础设施关系到国计民生的方方面面,基础设施是指为社会生产和居民生活提供公共服务的物质工程设施,是用于保证国家或地区社会经济活动正常进行的公共服务系统。它是社会赖以生存发展的一般物质条件。基础设施不仅包括公路、铁路、机场、通讯、水电煤气等公共设施,即俗称的基础建设,而且包括教育、科技、医疗卫生、体育、文化等社会事业即社会性基础设施。

在互联网高度发展的今天,信息系统成为基础设施系统运行的重要支撑。一旦关键基础设施的信息系统受到破坏,将产生严重危害。因此,信息基础设施的建设、运行、维护,都需要充分考虑安全方面的因素。

美国政府在国家信息安全战略层面已经展开相关的顶层设计,以风险管理为核心,在基于生命周期和流程的框架方法指导下,将安全防护体系框架分为识别、保护、检测、响应和恢复五个层面。

安全体系的建设不是静态的,而是动态螺旋上升,需要根据威胁态势的发展来实时调整、实施相关的安全策略。

美国由于大量的重要基础设施(如交通,电力,供水,通信)是私营企业,企业讲究收益,政府无法强制,因此,美国发布了提升关键基础设施网络空间安全框架《Framework for Improving Critical Infrastructure Cybersecurity》,将政府的优秀经验,提供给企业。同时,DHS通过CMaaS的延伸,开发了免费的云扫描服务给企业使用,称为国家网络安全评估和技术服务National Cybersecurity Assessment and Technical Services (NCATS) 项目,协助企业提升自身的安全水平。政府通过示范效应,产业提倡,免费服务,奖惩激励等手段,尤其是通过红蓝对抗方式模拟演练,协助企业查找自身弱点,有针对性的建设。

该框架强调用业务驱动引导网络安全活动,将网络安全风险作为组织风险管理流程的一部分。框架包括三个部分:框架核心(Framework Core)、框架对齐结果(Framework Profile)及框架执行层级(Framework Implementation Tiers)。框架引用了国际认可的网络安全标准,对海外组织也适用,国际合作亦可以此为指导增强关键基础设施的网络安全。

编者注:

习近平主席明确提出“没有网络安全就没有国家安全”。网络安全成为国家安全的核心范畴。从上述研究美国的安全建设可以看出,美国网络空间感知防护项目建设是高层挂帅,有体系,有规划的进行,同时采用绩效考核等手段来进行网络空间安全治理工作。

目前已经进入深入和优化期,与之相比,我国还存在较大差距,需要迎头赶上。另一方面,我国也存在后发优势,在建设我国的网络空间态势感知预警防护体系时,可以采用新的技术,新方法,避免美国在建设中的误区。

“大数据时代,海量且多样化的数据、海量的设备、千兆字节的传输速度、数据包有效载荷加密(如IPv6)、虚拟化服务和云计算的应用,伴随的网络攻击加剧和攻击战术的衍变,海量的威胁态势可能淹没我们现有的风险管理能力。”

面对海量的安全日志,传统数据库下进行态势感知,数据挖掘变得极端困难。国内各个厂家近年来投资进行了安全大数据方面的研究,形成各种新产品,采用多种最新的技术,如MQ、Hadoop分布式数据库、搜索型数据库、内存数据库等最新的技术,这使得海量数据的挖掘,高速处理成为可能。

本文转自d1net(转载)

时间: 2024-09-10 21:40:20

从网络安全法草案看关键信息基础设施安全的相关文章

纵览各国关键信息基础设施配套网络安全法规建设

<网络安全法>建立了关键信息基础设施安全保护制度,其中第三章近三分之一的内容用来规范网络运行安全,法令从国家.行业.运营者三个层面,分别规定了国家职能部门.行业主管部门及运营企业等各相关方在关键信息基础设施安全保护方面的责任与义务.明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查.重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全. 同时,<网络安全法>第三十一条明确表示, 鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系. 此

立法保护关键信息基础设施意义重大

随着网络和信息技术的迅猛发展,网络安全问题日益突出,严重威胁国家安全.社会稳定,以及公民.法人和其他组织的合法权益.2015年,我国将"互联网+"行动计划作为一项国家战略,而网络本身的脆弱性及由此可能带来的网络安全问题则成为了制约"互联网+"计划大力推行的瓶颈.因此,从国家层面增强网络安全保护具有迫切需要.然而,长期以来我国网络安全保障法律体系存在立法碎片化.缺乏统一立法理念和顶层设计等问题.2016年11月7日出台的<网络安全法>是我国第一部基本法意义

《网络安全法》为个人信息加“锁”用WiFi万能钥匙连网更安全

6月1日的<中华人民共和国网络安全法>(以下简称<网络安全法>)正式实施,是网络安全历史上的里程碑事件.这部国网络领域的基础性法律,明确加强了对个人信息的保护,打击网络诈骗. 针对个人信息泄露问题,<网络安全法>明确规定:网络产品.服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意:网络运营者不得泄露.篡改.毁损其收集的个人信息:任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息. 此外,网络安全法对网络诈骗.在关键信

网络安全法草案:公民个人信息应在境内存储

全国人大常委会二次审议的网络安全法草案,拟加强对关键信息基础设施及其数据的安全保护:进一步强化国家维护网络安全的措施:增加多项促进网络安全的支持措施,协同推进网络安全与发展:进一步强化网络运营者的社会责任,明确网络运营者留存网络日志的期限以及配合有关部门监督检查的义务:拟通过约谈.记入信用档案.从业禁止等惩戒措施进一步加大对危害网络安全行为的惩戒力度. 公民个人信息应在境内存储 全国人大法律委员会表示,一些常委会委员和地方.部门建议对关键信息基础设施的范围不作列举,可由国务院制定配套规定予以明确

上海动员部署2017年关键信息基础设施网络安全检查--劳动报

市委昨天下午召开专题会议,总结2016年关键信息基础设施网络安全检查工作,动员部署2017年检查工作.市委副书记.市委网络安全和信息化领导小组副组长尹弘出席会议并讲话. 尹弘指出,2016年本市关键信息基础设施网络安全检查初步摸清了底数,掌握了关键信息基础设施安全风险和防护状况,取得预期效果.按照相关法律和中央网信办要求,本市今年将开展新一轮专项检查,进一步巩固成果,为推动落实安全责任制和防范体系建设.确保相关基础设施持续稳定运行,提供有力支撑. 尹弘强调,要深入贯彻落实习近平总书记关于网络安全

贵州将全面启动关键信息基础设施网络安全检查工作

10月9日,贵州省关键信息基础设施网络安全检查工作动员部署暨专项培训会议在贵阳举行.贵州省委常委.宣传部部长张广智出席会议并作动员部署重要讲话,中央网信办网络安全协调局应急和检查通报处副处长刘博就关键信息基础设施识别认定做专业培训. 随后,贵州将全面启动关键信息基础设施网络安全检查工作,所有工作将在2016年12月底以前完成.检查旨在加快构建关键信息基础设施安全保障体系,摸清全省关键信息基础设施底数,掌握关键信息基础设施风险和防护状况,汇聚网络安全工作专业力量,以查"促建.促管.促改.促防&qu

网络安全法草案二审 “互联网+”立法加速

备受关注的网络安全法草案在十二届全国人大常委会第二十一次会议上迎来第二次审议. <人民日报>报道称,草案二审稿进一步强化国家的责任和公民.组织的义务,加强关键信息基础设施保护,协同推进网络安全与发展,切实维护国家网络主权.安全和发展利益. 中国互联网协会互联网法治工作委员会委员丁道勤介绍,草案建立了关键信息基础设施安全保护的三大制度:关键信息基础设施运行安全保护制度.重要数据境内留存,以及网络产品和服务的安全审查制度. 相比于一审稿,草案在安全保护的主体.范围.措施等方面均进行了"扩

关键信息基础设施保护必须以等级保护制度为基础

近年来,有关网络安全的话题从未停歇.随着"棱镜门"事件的曝光,国家间的信息安全对抗日益公开化,网际空间的安全威胁正呈国际化.复杂化.组织化趋势发展. 如今,以云计算.大数据.物联网.工业互联网为代表的新技术得以迅速应用,更多的传统能源.电力.交通基础设施联入网络,成为关键信息基础设施有机组成部分. "关键信息基础设施"一词看似抽象,却是网络安全的重中之重.在最近的一年里,中国互联网络信息中心(CNNIC)安全管理部副主任张新跃一直在做网络安全基础设施的标准制定工作.

织就网络安全的“法网”——网络安全法六大看点解析

7日,十二届全国人大常委会第二十四次会议表决通过了<中华人民共和国网络安全法>. 作为我国网络安全领域的基础性法律,网络安全法从首次审议到最终通过,一直备受各界关注.这部法有哪些亮点?记者一一梳理. 看点一:不得出售个人信息 根据中国互联网协会发布的<2016中国网民权益保护调查报告>,84%的网民曾亲身感受到由于个人信息泄露带来的不良影响.从2015年下半年到今年上半年的一年间,我国网民因垃圾信息.诈骗信息.个人信息泄露等遭受的经济损失高达915亿元.近年来,警方查获曝光的大量案