5月30日,以“持续验证 看见安全”为主题的2023网络安全运营技术峰会(SecOps 2023)成功举办。中国信息协会信息安全专业委员会主任叶红发表大会致辞。
以下为叶红主任在SecOps 2023致辞实录:
5月,2023网络安全运营技术峰会(SecOps 2023)如期而至。连续两年参加SecOps,我也一同见证了安全运营发展的如火如荼。今天,很高兴与在座的各位嘉宾一道,聚焦安全运营领域的趋势洞察与前沿实践,助力我国网络安全创新发展。
党中央、国务院高度重视关键信息基础设施安全保护工作。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。当前,关键信息基础设施面临的安全形势严峻,网络攻击威胁事件频发。2021年9月1日,《关键信息基础设施安全保护条例》正式实施,明确了关基的范围和保护工作原则目标、监督管理体制、运营者责任义务及相关法律责任,进一步健全了关键信息基础设施安全保护法律制度体系。
2023年5月1日,《关键信息基础设施安全保护要求》正式实施,这是《关基保护条例》发布后,首个正式发布的关键信息基础设施安全保护标准。该标准提供了更全面、具体的操作指引,以帮助关基管理者更好地开展安全保护工作,进而推动和指导关键信息基础设施的保护落地。
《关基保护条例》和《关基保护要求》从顶层提出了政策、制度、技术的保障和要求,也同时明确了关键信息基础设施运营者的责任和义务。强调“三同步”原则,安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用,即实现业务运营和安全运营的同步。
在此,我想提出以下三点与大家交流探讨。
(一)以关键业务为核心的整体防控。关键信息基础设施安全保护以保护关键业务为目标,对业务所涉及的一个或多个网络和信息系统进行体系化安全设计,构建整体安全防控体系,并持续开展安全运营。
(二)以业务风险管理为导向的动态防护。根据关键信息基础设施所面临的安全威胁态势进行持续监测和安全控制措施的动态调整,开展全天候全方位的持续化安全运营,以关键数字资产识别为基础,主动采取收敛暴露面和攻击面等措施,以攻击者视角开展攻防演习和应急响应工作,提升主动防御能力。
(三)以信息共享为基础的协同联防。积极构建相关方广泛参与的信息共享、协同联动的共同防护机制,提升关键信息基础设施应对大规模网络攻击能力。采用技术和管理手段对现有安全防护措施的有效性验证,持续进行安全防护能力评估,开展安全检测与风险隐患评估,分析潜在安全风险可能引发的安全事件。
《关键信息基础设施安全保护要求》对安全运营的新要求
针对关键信息基础设施面临的安全威胁,《关基保护要求》重点从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置六个方面,对安全运营工作提出了新要求。
分析识别:围绕关键信息基础设施承载的关键业务,开展关键数字资产识別、风险识别、暴露面识别、攻击面识别等活动,这也是安全运营的基础。
安全防护:根据已识别的关键业务、数字资产、安全风险、暴露面、攻击面,通过实施安全管理和技术保护措施,确保关键信息基础设施的运行安全。
检测评估:采用自动化和智能化的技术手段,对现有安全防御措施的有效性进行检验和持续验证,发现网络安全风险隐患,建立有效性评价机制,分析潜在安全风险可能引发的安全事件。
监测预警:对监测到的攻击面和威胁进行预警和分析研判,结合业务价值、环境因素、影响程度、时效性等多维数据进行优先级计算,作为安全运营和响应的依据。
主动防御:以攻击者视角,主动采取收敛暴露面和攻击面,常态化开展攻防演练,在威胁情报的基础之上融合扩展情报技术,采取主动的方式进行安全防御。
事件处置:结合监测预警和主动防御手段,根据优先级计算采取恰当的响应措施,将安全风险降到最低,落地安全运营管理闭环。
当前,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁上升,事故隐患易发多发,关键信息基础设施相关条例和标准的发布,能够为相关部门和运营者提供明确的指导,有助于加快提升关键信息基础设施安全保护能力。在关基标准方面,有一系列的标准将会出台,比如:《信息安全技术 关键信息基础设施安全测评要求》、《信息安全技术 关键信息基础设施边界确定方法》、《信息安全技术 关键信息基础设施网络安全应急体系框架》、《信息安全技术 关键信息基础设施安全防护能力评价方法》、《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》等相关标准都会陆续发布,将进一步完善关键信息基础设施的法律标准体系。
强化网络安全防范,助力网络安全运营技术发展需要我们在座的各位同仁齐心协力、攻坚克难。中国信息协会信息安全专业委员会愿意与各位领导、专家、学者围绕安全运营领域的趋势洞察与前沿实践开展深入交流合作,为推进我国网络安全技术和产业发展贡献应有的力量。