作者中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院孫彥姚相振

 

　　關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作直接關(guān)系到國(guó)家安全、國(guó)計(jì)民生和公共利益，習(xí)近平總書記在“4·19講話”中要求加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系?！毒W(wǎng)絡(luò)安全法》第五條明確規(guī)定國(guó)家應(yīng)采取措施對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)，第三十四條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的安全保護(hù)義務(wù)，第三十八條要求運(yùn)營(yíng)者每年至少進(jìn)行一次檢測(cè)評(píng)估?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》進(jìn)一步明確了運(yùn)營(yíng)者的安全防護(hù)責(zé)任。

 

　　關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系的建立健全依賴于運(yùn)營(yíng)者網(wǎng)絡(luò)安全防護(hù)能力的提升。對(duì)于運(yùn)營(yíng)者安全防護(hù)能力的評(píng)估則是促進(jìn)能力提升的基礎(chǔ)。美國(guó)、德國(guó)等西方國(guó)家在評(píng)估運(yùn)營(yíng)者安全防護(hù)能力方面有著豐富的經(jīng)驗(yàn)。2014年，美國(guó)家標(biāo)準(zhǔn)技術(shù)研究所發(fā)布了《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》，指導(dǎo)組織或機(jī)構(gòu)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。同年，美能源部和國(guó)土安全部針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施開(kāi)發(fā)了網(wǎng)絡(luò)安全能力成熟度模型(以下簡(jiǎn)稱“C2M2模型”)，指導(dǎo)運(yùn)營(yíng)者實(shí)現(xiàn)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架的落地執(zhí)行。

 

　　C2M2模型提供了網(wǎng)絡(luò)安全防護(hù)能力評(píng)估的一種通用方法，適用于運(yùn)營(yíng)者對(duì)其信息系統(tǒng)、工控系統(tǒng)等資產(chǎn)的安全水平進(jìn)行評(píng)估。模型從風(fēng)險(xiǎn)管理、配置管理、信息共享與交流、供應(yīng)鏈和外部依賴管理等10個(gè)安全域進(jìn)行評(píng)價(jià)。每個(gè)安全域由一系列安全實(shí)踐組成。C2M2模型總結(jié)了安全實(shí)踐的實(shí)施原則，提供了運(yùn)營(yíng)者安全能力的基線，模型的使用不具備強(qiáng)制性。不同行業(yè)的運(yùn)營(yíng)者可以從模型中自行選擇所需的安全域和安全實(shí)踐，評(píng)估其安全能力，識(shí)別差距和不足，強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)能力。C2M2模型提供了網(wǎng)絡(luò)安全能力建設(shè)的統(tǒng)一參考，方便不同類型的機(jī)構(gòu)交流經(jīng)驗(yàn)。

 

　　我國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)方面起步較晚，急需建立關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)估體系：一是制定科學(xué)合理、擴(kuò)展性強(qiáng)的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力評(píng)估標(biāo)準(zhǔn)。我國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力的評(píng)估建設(shè)方面，應(yīng)深入分析不同行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐經(jīng)驗(yàn)，充分考慮不同領(lǐng)域可能存在迥異安全需求和擴(kuò)展性要求，以適用于不同類型的關(guān)鍵信息基礎(chǔ)設(shè)施安全能力的評(píng)估。

 

　　二是應(yīng)充分考慮我國(guó)國(guó)情，與已有網(wǎng)絡(luò)安全能力評(píng)估框架標(biāo)準(zhǔn)的有效銜接。我國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域正在制定包括《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》、《關(guān)鍵信息基礎(chǔ)設(shè)施檢查評(píng)估指南》、《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》等在內(nèi)的一系列標(biāo)準(zhǔn)，關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全能力評(píng)估應(yīng)與現(xiàn)行標(biāo)準(zhǔn)形成配套，充分考慮我國(guó)國(guó)情實(shí)際，突出威脅信息共享、監(jiān)測(cè)預(yù)警、應(yīng)急處置等橫向協(xié)同的安全域內(nèi)容，在國(guó)家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的統(tǒng)一框架要求基礎(chǔ)上不斷完善。返回光明網(wǎng)首頁(yè)