随着技术的迅速发展,互联网经历了从最早的拨号上网进行信息交换,到如今万物互联的时代,网络安全也从早期通过木马病毒攻击,造成个别企业用户受影响,进一步演变为影响关键信息基础设施安全、关系国民经济发展和国家安全的重要因素。
网络安全等级保护和关键信息基础设施安全保护工作宣贯会现场
宣贯会上,中国工程院沈昌祥院士,公安部网络安全保卫局一级巡视员、副局长兼总工程师郭启全,中央网信办基础设施保护处处长王营康,自然资源部信息中心总工程师顾炳中,深信服CEO何朝曦,奇安信集团董事长齐向东,中国电科首席专家、中国网安副总工程师董贵山,人保财险责任险部副总经理邵运州,公安部信息安全等级保护评估中心主任助理李明,北京时代新威信息技术有限公司总经理王新杰分别发表了讲话。公安部网络安全保卫局重点宣贯《指导意见》,解读《定级指南》,并分享网络安全等级保护制度和关键信息基础设施安全保护制度落地经验,指导网络安全工作落地。
《指导意见》重点强调了以下两点:
一、 深入贯彻实施国家网络安全等级保护制度。
(1)网络运营者应深化网络定级备案工作,全面梳理本单位网络及业务系统。
(2)定期开展网络安全等级测评,对已定级备案网络的安全性进行检测评估,查找潜在的网络安全问题及隐患。
(3)科学开展安全建设整改,按照“一个中心(安全管理中心)、三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求开展网络安全建设和整改加固。
(4)强化安全责任落实,按照“谁主管谁负责,谁运营谁负责”的原则,厘清网络安全等级保护边界,明确安全保护责任。
(5)加强供应链安全管理及网络关键人员的安全管理,对服务过程中可能存在的安全风险进行评估并采取相应措施。
(6)落实密码安全防护要求。第三级以上网络在规划、建设和运行阶段充分考虑符合要求的密码产品及服务,并在网络安全等级测评中同步开展商用密码应用安全性评估。
二、建立并实施关键信息基础设施安全保护制度。
(1)组织认定关键信息基础设施,重要行业和领域相关保护工作部门充分考虑新技术并对本行业关键信息基础设施订单实行动态调整机制。
(2)明确关键信息基础设施安全保护工作职能分工,运营者应指定专门安全管理机构负责关键信息基础设施保护安全保护工作并由主要负责人负总责。
(3)落实关键信息基础设施重点防护措施,加强安全保护及保障并定期进行安全检测评估。
(4)加强重要数据和个人信息保护,建立并落实重要数据和个人信息保护制度,采取技术、管理手段相结合的方式切实保护重要数据全生命周期安全。
(5)强化核心岗位人员和产品服务的安全管理,应对负责人和关键岗位人员进行背景审查。
在网络安全等级保护及关键信息基础设施安全保护上,深信服长期处于行业领先地位,并通过持续创新,不断加大在关保相关的资产测绘、可信计算、密码等产品的开发研究,以及人工智能、大数据分析、态势感知、主动防御、数据安全防护等关键技术的攻关。同时,深信服和监管部门、各行业保护工作部门、测评机构之间通力协作,积极协助落实等保和关保制度。
一直以来,深信服都强调对客户的,与承诺的一致性,围绕客户需求,持续推动和完善产品自身合规改进,并推出产品合规自检模块、等保流程管理平台、等保交付机制,协助用户开展网络安全等级保护安全建设整改工作。
而随着等级保护2.0的不断深入,各行各业在合规方面有了更高的要求,深信服紧贴客户需求,持续推动产品和方案改进:在产品层面围绕《网络安全等级保护基本要求》建立了产品的合规基线,确保产品“出厂即合规”;在方案层面结合各行业的差异化要求,定制开发了30多个细分行业的场景化等保方案,还针对性的提供了关保、商用密码应用合规等相关方案。
截止目前,深信服已经参与了上万家用户的等级保护建设,得到了政府、教育、企业、医疗等各行各业用户的认可。