?1、建立關鍵信息基礎設施安全保護工作的組織領導體系,落實網絡安全責任制。
保護工作部門要建立健全網絡安全工作的組織領導體系,強化“一盤棋”思想,認真落實網絡安全責任制和責任追究制度;要明確一名領導班子成員分管關鍵信息基礎設施安全保護工作,并明確具體負責的司局級單位。運營者要嚴格落實《黨委(黨組)網絡安全工作責任制實施辦法》,并明確一名領導班子成員為首席網絡安全官,分管關鍵信息基礎設施安全保護工作;設置專門安全管理機構,確定關鍵崗位。同時,要建立健全網絡安全管理和評價考核制度,加強網絡安全統籌規劃和貫徹實施。2、動態掌握關鍵信息基礎設施基本情況及安全保護狀況,做到底數清、情況明。保護工作部門和運營者應按照關鍵信息基礎設施識別認定指南,分析識別和認定國家關鍵信息基礎設施并報公安部;在此基礎上,組織開展摸底調查,梳理排查關鍵信息基礎設施建設、運行、管理情況及安全保護狀況,全面掌握網絡基礎設施、重要業務系統和重要數據等資源底數和網絡資產,建立檔案并動態更新。保護工作部門要定期組織對本行業已確認的關鍵信息基礎設施進行按照審查評估。當關鍵信息基礎設施發生較大變化時,運營者要及時報告保護工作部門;保護工作部門應在收到報告后3個月內完成重新認定,并將認定結果報公安部備案。 3、建立關鍵信息基礎設施核心崗位人員管理制度,加強專門機構和人員管理。運營者要加強關鍵信息基礎設施專門安全管理機構人力、財力、物力方面的投入和保障,建立專門工作機制,明確專門安全管理機構在關鍵信息基礎設施安全保護計劃、能力建設、應急演練、事件處置、教育培訓、安全管理、評價考核等方面的職責,確保專門安全管理機構有效運轉;加強關鍵信息基礎設施核心崗位人員管理,建立健全各項管理制度,強化專門安全機構的負責人及關鍵核心崗位人員管理,組織對其進行安全背景審查,審查時應征求公安機關、國家安全機關的意見,審查情況應報送保護工作部門;加強關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理,采購安全可信的網絡產品和服務,確保供應鏈安全,采購的產品和服務可能影響國家安全的,應按照國家有關規定通過安全審查。公安機關應加強對關鍵信息基礎設施安全服務機構的安全管理,為運營者開展安全保護工作提供支持。1、制定關鍵信息基礎設施安全保護規劃及安全建設方案,組織開展安全建設試點示范。保護工作部門應結合關鍵信息基礎設施安全需求,按照“實戰化、體系化、常態化”保護要求,組織制定并實施本行業關鍵信息基礎設施安全保護總體規劃和安全防護策略,加強網絡安全和業務發展的統籌協調,創造有利于業務發展的網絡安全環境,確保安全保護措施與關鍵信息基礎設施“同步規劃、同步實施、同步運行”。運營者應按照關鍵信息基礎設施安全保護規劃,組織制定安全建設方案,確保安全規劃任務目標有效落實。安全保護規劃和安全建設方案應通過國家關鍵信息基礎設施安全保護專家組的評估審議。公安部將選擇典型的關鍵信息基礎設施開展安全建設試點示范,推進實施安全可控應用示范工程,集中資源力量開展安全保護技術攻關和應用創新,總結提煉建設經驗做法,加強宣傳推廣。2、全面深入開展關鍵信息基礎設施安全建設,大力提升安全防護能力。運營者應按照《網絡安全法》和國家網絡安全等級保護制度要求,依據《網絡安全等級保護基本要求》《網絡安全等級保護安全設計技術要求》等國家標準,開展相應等級的網絡安全建設,健全完善網絡安全管理制度,加強技術防護,建設關鍵信息基礎設施綜合防御體系。在落實網絡安全等級保護制度的基礎上,按照《關鍵信息基礎設施安全保護要求》和行業特殊要求,強化整體防護、監測預警、應急處置、數據保護等重點保護措施,合理分區分域,收斂互聯網暴露面,加強網絡攻擊威脅管控,強化縱深防御,積極利用新技術開展安全保護,構建以密碼技術、可信計算、人工智能、大數據分析等為核心的網絡安全保護體系,不斷提升內生安全、主動免疫和主動防御能力。 3、認真組織開展演習演練、安全檢測和風險評估,及時發現深層次問題隱患和威脅。關鍵信息基礎設施安全建設完成后,保護工作部門、運營者應增強憂患意識,防范風險隱患,定期組織開展自查自糾,按照國家有關工作部署要求,針對關鍵信息基礎設施開展網絡攻防實戰演習和應急演練,組織技術檢測力量定期對關鍵信息基礎設施進行全面、深度滲透測試,開展專項風險評估,聚焦重點、抓綱帶目、綜合施策、攻防相長,及時發現關鍵信息基礎設施安全保護工作薄弱環節,從管理和技術層面挖掘關鍵信息基礎設施深層次安全風險隱患,防微杜漸,不斷提升關鍵信息基礎設施安全風險隱患的主動發現能力和攻防對抗能力。 4、針對問題和風險隱患認真組織開展安全整改加固,及時消除和化解威脅關鍵信息基礎設施安全的重大風險。針對主動發現和公安機關通報反饋的各類安全問題隱患及風險威脅,運營者應建立清單臺賬,逐一制定安全整改方案,及時開展整改加固。針對突出的安全隱患,運營者要立行立改,不能立即整改到位的,要采取有效的措施管控安全風險,完善安全保護措施,確保發現的問題隱患及時整改清零銷賬,及時消除和化解威脅關鍵信息基礎設施安全的重大風險,著力防范各類風險隱患聯動交匯、累積疊加,守住安全底線,不斷提升關鍵信息基礎設施安全保護能力。公安機關將建立重大安全風險隱患掛牌督辦制度,對運營者網絡安全工作不力、重大安全問題隱患久拖不改,或者存在較大網絡安全風險、發生重大網絡安全案事件的,會同行業主管部門對相關負責人進行約談,掛牌督辦。運營者應對核心業務系統所承載和處理的數據進行深入梳理排查,確認數據類型和資產情況,全面摸排數據資產并進行分級分類管理;對數據采集、存儲、處理、應用、提供、銷毀等環節,全面進行風險排查和隱患分析;加強新技術新應用安全保護和風險管控,配合公安機關打擊整治針對新技術、新業態的網絡違法犯罪,打造自主可控的安全防護體系。數據處理者應落實網絡安全等級保護制度,開展數據定級備案、安全建設整改、檢測評估等工作,及時消除風險隱患,確保數據全生命周期的安全。針對供應鏈安全、郵件系統安全、網站安全、數據安全、新技術新應用網絡安全等方面存在的突出問題,保護工作部門應適時組織開展專項整治行動,整改突出問題,及時排除重大安全風險隱患。 1、建設網絡安全監控指揮中心,落實常態化實時監測發現機制。保護工作部門和運營者要調動各方資源力量,建設網絡安全監控指揮中心,全面加強網絡安全監測,對本行業、本領域的關鍵信息基礎設施、重要網絡等開展7x24小時實時監測,形成立體化的安全監測預警體系,嚴密監測網絡運行狀態和網絡安全威脅等情況,一旦發現異常、網絡攻擊和安全威脅,立即采取有效措施,嚴密防范網絡安全重大事件發生。公安部將統籌保護工作部門和運營者的網絡安全監測預警資源,加強網絡新技術研究和應用,健全完善常態化網絡安全實時監測體系,構建國家層面的網絡安全實時監測、通報預警、偵查調查、安全防護等工作體系,形成協同聯動的國家關鍵信息基礎設施安全監測體系。 2、建設并應用關鍵信息基礎設施安全保護平臺,大力開展網絡安全監測預警和應急處置。要加強網絡新技術研究和應用,研究繪制網絡空間地理信息圖譜,實現掛圖作戰。保護工作部門、運營者要按照公安部的要求,建設本行業、本單位的網絡安全保護平臺,通過布設探針、數據推送等多種方式,匯聚各類網絡安全數據資源,建設平臺智慧大腦,依托平臺和大數據開展實時監測、通報預警、應急處置、安全防護、指揮調度等工作。同時,各保護工作部門和運營者的安全保護平臺應與公安機關相關工作平臺對接聯動,配合公安機關布設探針,利用人工智能技術和大數據分析技術,依托平臺和大數據構建聯合預警、協同防御體系,形成縱橫聯通、協同作戰的立體化關鍵信息基礎設施安全保護大平臺。 3、健全完善網絡與信息安全信息通報機制,大力開展信息通報預警。保護工作部門要進一步建立健全本行業、本領域關鍵信息基礎設施安全通報預警機制,加強通報預警力量建設,及時收集、匯總、分析各方網絡安全信息,加強威脅情報工作,掌握關鍵信息基礎設施運行狀況和安全態勢。保護工作部門應及時將有關安全漏洞、威脅及事件等信息匯總報送國家網絡與信息安全信息通報中心,及時通報預警網絡安全威脅隱患。運營者要深入開展網絡安全監測預警和信息通報工作,及時接收、處置來自國家、行業和地方的網絡安全預警通報信息;發生重大和特別重大網絡安全事件或者發現重大網絡安全威脅時,應按規定及時向保護工作部門和備案公安機關報告,快速處置突發事件并及時通報預警。 4、制定網絡安全事件應急預案并定期開展應急演練,提高應急處置能力。保護工作部門和運營者要立足于主動預防,提升網絡安全預知、預警和預置能力,加強網絡安全事件應急指揮能力、應急力量建設和應急資源儲備。保護工作部門要統籌規劃網絡安全應急處置體系建設,針對關鍵信息基礎設施可能遭受網絡攻擊、數據泄露等突出情況,按照國家網絡安全事件應急預案要求,建立健全本行業、本領域網絡安全事件應急預案,完善應急處置機制,定期組織應急演練;指導運營者做好網絡安全事件應對處置,并給予技術支持和協助。運營者應按照應急預案積極開展應急演練,熟練掌握處置規程,不斷提升應對處置突發網絡安全事件的能力和水平。 5、及時處置網絡安全突發事件,配合公安機關開展事件調查和溯源固證。保護工作部門、運營者應與公安機關建立網絡安全案事件報告制度和應急處置機制。關鍵信息基礎設施一旦發生重大網絡安全事件,運營者應第一時間向保護工作部門和公安機關報告,并立即組織分析研判,啟動指揮調度機制,開展應急處置工作,同時按照有關操作規程保護現場、留存相關記錄線索,并配合公安機關開展事件調查處置和偵查打擊等工作。保護工作部門應加強對應急處置工作的指導,優化事件處置方案,并根據運營者的需要提供技術支持和協助,必要時協調國家網信部門、公安機關和工業和信息化部門等提供技術支持。保護工作部門和運營者應保護事件現場,配合公安機關開展事件偵查調查和立案打擊工作。 1、加強網絡安全威脅情報工作,提高主動發現威脅風險的能力。保護工作部門、運營者應加強網絡安全威脅情報體系建設,組織開展關鍵信息基礎設施威脅情報搜集工作。保護工作部門應指導運營者建立情報分析研判機制,調動技術支持單位資源力量,培養威脅情報專業人才,圍繞本行業、本領域關鍵信息基礎設施安全保護工作,主動獲取和分析挖掘威脅情報、行動性線索,及時發現對關鍵信息基礎設施和重要網絡進行攻擊竊密和破壞的動向,提升威脅情報搜集和分析研判能力。保護工作部門、運營者與公安機關要建立威脅情報共享機制,充分發揮各方優勢,拓寬情報來源,及時整合分析各方情報線索,提高主動發現和處置威脅風險的能力:
- 加強情報搜集,構建一體化的網絡安全威脅情報共享機制,及時發現苗頭動向、及時預警防范、及時追蹤溯源、及時開展反制;
- 依托大數據分析技術,實現安全數據、環境數據、情報數據的關聯分析,精準發現設備、系統、數據間的內在線索,挖掘大數據背后隱藏的眾多網絡安全事件,定位攻擊源,溯源事件過程和攻擊路徑;
- 將網絡安全與業務深度融合,化繁為簡,由內向外,聯動通報處置事件。
2、加強網絡安全實戰演習演練,檢驗并有力促進網絡安全綜合防御能力和對抗能力。
保護工作部門和運營者要針對本行業、本領域關鍵信息基礎設施:
- 開展網絡攻防演練及比武競賽,及時發現整改網絡安全深層次問題隱患,檢驗網絡安全防護有效性和應急處置能力;
- 以攻促防,增強保護彈性和網絡攻防技術對抗及謀略斗爭能力;
- 平戰結合,立足應對大規模網絡攻擊威脅,強化合成作戰。
演練時,要以本行業運營者為防守方,將關鍵信息基礎設施設為攻擊目標,組建安全可靠、技術過硬的攻擊隊伍、應急處置隊伍、技術支持隊,模擬多種形式的攻擊手法進行攻防演練。同時,保護工作部門和運營者要密切配合公安機關組織開展的攻防演習,不斷提煉總結實戰經驗,促進實現網絡攻防演習常態化,不斷提升關鍵信息基礎設施綜合防御能力和對抗能力。一是創新完善網絡攻防演習的內容和方式,構建形成多層次、體系化、常態化的演習機制,適時開展對抗演習,并在行業內部組織紅藍隊伍,定期開展網絡攻防對抗,提高技術對抗、智慧較量、謀略對抗能力;二是專注攻擊技術研究,持續進步,在加強防護的基礎上,深入收集并研究攻擊者常用的工具方法,做到對內發現漏洞、補齊短板,對外展示能力、形成震懾;三是堅持練戰結合,積極探索將攻防演習的手段方法應用于關鍵信息基礎設施日常監測、通報預警,優化完善網絡安全防護方法,堅持底線思維,提升安全防護能力,防范化解重大網絡安全風險。 3、充分調動社會力量,共同建立關鍵信息基礎設施綜合防御體系。保護工作部門、運營者要統籌資源和力量,充分發揮行業技術支持力量、網絡安全科研機構、網絡安全企業等的積極性、主動性和創新性,重點參與網絡安全核心技術攻關、網絡安全試點示范、總體規劃、安全建設方案制定等工作。公安部將充分調動社會力量,加強關鍵信息基礎設施安全協同協作、互動互補、共治共享和群防群治,建立健全公安機關牽頭、重要行業部門配合、社會力量參與的關鍵信息基礎設施安全保護工作新局面,形成各方主體各司其職、各負其責、齊抓共管的關鍵信息基礎設施聯防聯控體系。一是縮減、集中互聯網出入口:各重要行業部門分支機構在設計互聯網出入口時應向上或就近歸集管理,減少互聯網出入口數量,在互聯網出入口部署安全防護設備;對采用VPN方式歸集的,應落實流量控制、身份鑒別等安全措施。二是壓縮網站數量,加強域名管理:梳理互聯網網站,排查歷史域名,及時清除廢棄域名,確保在線應用系統全部可管、可控。三是加強終端控制:部署終端統一管控措施,及時修補漏洞;強化用戶管理,集中管控用戶操作行為日志,加強特權用戶設備及賬號的自動發現、申領和保管。四是清理老舊資產:建立動態資產臺賬,掌握資產分布與歸屬情況;關停老舊和廢棄系統,下線過期資產,清理無用賬戶。五是加強App管理:根據移動業務需求,厘清現有移動端App狀況,按照最小化原則,歸集建設與壓縮;加強App和應用后端的安全檢測與防護,嚴格控制信息外泄。一是對核心系統進行精準防護:對云平臺、堡壘機、域控服務器等核心系統在主機層部署防護手段,實現主機內核加固、文件保護、登錄防護、服務器漏洞修復、系統資源監控等安全防護功能。二是對網絡實施精細化管控:將混雜的流量分成管理、業務、應用等維度進行管理;通過設備指紋、人機識別保障業務正常開展,精準攔截各種攻擊。三是強化郵件服務器安全管控:加強郵件系統安全認證;梳理與郵件系統相關聯的系統,嚴格控制訪問策略,禁止敏感文件通過郵箱發送和存儲,定期清理郵件信息。四是及時發現漏洞并修復:實時跟進漏洞預警,加強各類漏洞的檢測發現、巡查修補;建立白名單訪問機制,攔截超出白名單的訪問行為,防范零日漏洞。一是網絡分區:根據業務和安全需要、現有網絡或物理地域狀況等,將網絡劃分為不同的安全區域。二是域間隔離:根據系統功能和訪問控制關系,對網絡進行分區分域管理;每個區域設置獨立的隔離控制手段和訪問控制策略。三是縱向防護;在安全防護縱深上采用認證、加密、訪問控制等技術措施,實現數據的遠距離安全傳輸及縱向邊界的安全防護,防止被層層突破、直搗核心。1、加強網絡安全專門機構建設和人才培養,大力提升網絡安全隊伍實戰能力。運營者要根據關鍵信息基礎設施安全保護需求,在人才選拔、任用、培訓方面形成有效機制,堅持培養和引進并舉,加強專門機構建設和人才培養,根據實際需求,突出實戰實訓,建立健全教學練戰一體化的網絡安全教育訓練體系。保護工作部門、運營者要組織行業專業力量,積極參加國家層面的“網鼎杯”等網絡安全比武競賽,并組織開展行業內部網絡安全比武競賽,以賽代練、以賽促防,不斷發現、選撥、培養行業網絡安全專業人才,壯大人才隊伍,大力提升網絡安全隊伍實戰能力。一是設置專門網絡安全管理機構,配備專職人員,加強人才培育和教育訓練,加大科技攻關和信息化手段建設;二是通過組織實戰演習、舉辦網絡安全大賽,建立特殊攻防人才的發現、選拔、使用機制;三是各重點單位與公安機關密切配合,通過培訓和實戰訓練,大力提升關鍵安全崗位人員實戰化能力;四是要深入開展網絡安全知識技能宣傳普及,提高普通人員的網絡安全意識和防護技能。2、加強管理和技術創新,充分利用新技術、新手段提升網絡安全綜合保護能力。保護工作部門、運營者要加強信息技術創新融合發展,依托大數據、人工智能、區塊鏈、可信計算等新技術新應用,大力開展關鍵信息基礎設施安全保護工作,在安全產品、工具研發、滲透測試、追蹤溯源、情報搜集等方面實現技術突破,通過機器學習、網絡空間地理測繪等新技術新應用,綜合匯聚分析各方網絡安全數據資源,形成關鍵信息基礎設施基礎數據資源池。同時,依托信息化手段建設應用管理平臺,強化數據信息分析處理,加強關鍵信息基礎設施全流程管控,堵塞管理盲點漏洞,提升網絡安全綜合保護能力和效能。 3、加強網絡安全經費保障和信息化手段建設,大力提升網絡安全技術保護能力。保護工作部門、運營者要加強關鍵信息基礎設施安全保護工作經費保障,通過現有經費渠道,保障關鍵信息基礎設施開展等級測評、風險評估、密碼應用安全性檢測、演練競賽、安全建設整改、安全保護平臺建設、運行維護、監督檢查、教育培訓等的經費投入。運營者應保障網絡安全經費足額投入,作出網絡安全和信息化有關決策時應有網絡安全管理機構人員參與。保護工作部門、運營者要加強信息化手段建設,開展網絡安全技術產業和項目,支持網絡安全技術研究開發和創新應用,推動網絡安全產業健康發展。 4、加快實施安全可信工程,有效防范和化解供應鏈帶來的網絡安全風險。保護工作部門、運營者要加快推進關鍵信息基礎設施領域安全可信工程的實施,梳理排查關鍵信息基礎設施供應鏈安全風險,加強風險管控,從芯片、操作系統、數據庫等基礎軟硬件以及防火墻、入侵檢測設備等網絡安全專用產品方面逐步進行安全可信升級替代,制定替代方案,從源頭上解決關鍵信息基礎設施安全隱患,有效防范和化解供應鏈帶來的網絡安全風險。
