【栏目导航】

Navigation

【期刊信息】

Message

刊名:水利信息化
主办:水利部南京水利水文自动化研究所
主管:中华人民共和国水利部
ISSN:1674-9405
CN:32-1819/TV
影响因子:0.502513
被引频次:5641
期刊分类:水利建筑

现在的位置:主页 > 综合新闻 >

落实“三化六防”措施 保护水利关键信息基础设

来源:水利信息化 【在线投稿】 栏目:综合新闻 时间:2021-11-16

作者:网站采编

关键词:

【摘要】来源:人民网 原创稿 编者按:没有网络安全就没有国家安全,没有信息化就没有现代化。党中央、国务院高度重视关键信息基础设施安全保护工作,为进一步健全关键信息基础设施安

来源:人民网 原创稿

编者按:没有网络安全就没有国家安全,没有信息化就没有现代化。党中央、国务院高度重视关键信息基础设施安全保护工作,为进一步健全关键信息基础设施安全保护制度体系,制定出台了《关键信息基础设施安全保护条例》(以下简称《条例》)。对此,人民网“良法善治大家谈”栏目采访九位专家学者推出“关键信息基础设施安全保护”系列解读,从多领域、多角度全面阐释关键信息基础设施安全保护的重要性和必要性。

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。《条例》是我国首部专门针对关键信息基础设施安全保护工作的行政法规,在关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等方面进行了界定和规范,为加强关键信息基础设施安全保护工作提供了重要法治保障。

水利作为关键信息基础设施重点行业领域之一,水利部门应如何贯彻落实《条例》要求?在网络安全等级保护制度的基础上又应该怎样扎实做好相关工作?对此,水利部网络安全与信息化领导小组办公室主任,水利部信息中心党委书记、主任蔡阳接受了人民网记者的相关采访。

人民网记者:水利关键信息基础设施是如何认定的?

蔡阳:根据《条例》第八条规定,水利部是负责水利行业关键信息基础设施安全保护工作的部门,负责结合水利行业实际,制定水利行业关键信息基础设施认定规则。

水利关键信息基础设施的认定首先要明确水利关键业务。根据水利业务特点,防洪、供水、生态等水利公共产品和公共服务供给,关乎国家安全、经济社会稳定和广大人民群众生命财产安全,相关业务规模大、覆盖地域广、在水利行业领域不可替代、对其他行业领域有连锁性及关联性重大安全风险,这些业务可确定为水利关键业务。主要包括:水灾害防御、水资源管理、水工程管理、水生态与河湖管理等方面。

明确关键业务后,需要分析这些业务对信息化的依赖程度。其中,对信息化依赖程度高的水利关键业务,其网络设施、信息系统才可纳入为关键信息基础设施认定范围。然后,各级水利部门初步认定关键信息基础设施后,经逐级审核,报水利部认定。最后,认定结果通知水利关键信息基础设施运营者,并通报国务院公安部门。

人民网记者:在构建水利关键信息基础设施安全保护体系方面,您认为水利行业应如何贯彻落实《条例》要求?

蔡阳:一直以来,水利行业高度重视网络安全,特别是水利关键信息基础设施安全,网络安全防护体系基本建成,但与《条例》的相关要求相比还有差距。水利关键信息基础设施运营者应深入贯彻“三化六防”措施,以水利网络安全顶层设计为指引,以水利关键信息基础设施为安全保护对象,坚持“体系化,实战化,常态化”理念,构建水利关键信息基础设施安全综合防御体系,不断提升水利关键信息基础设施“动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”能力。

人民网记者:正如您刚才所提到的“三化六防”要求,能否简要谈谈水利行业的落实情况?

蔡阳:我认为第一方面是加强体系化建设——构建水利关键信息基础设施安全综合防御体系。以水利网络安全总体策略为指引,通过组织管理、安全技术、监督检查三个体系建设,不断提升网络安全纵深防御能力、监测预警能力、应急响应能力。

一是组织管理体系。水利部依托现有网络安全管理体系,建立水利行业关键信息基础设施安全保护和监督管理组织体系。各级水行政主管部门是所辖水利关键信息基础设施安全保护工作的主管部门,下属网信部门具体负责监督管理工作,下属相应业务部门负责指导协调;各水利关键信息基础设施运营者承担安全保护的主体责任,根据情况可设业务主管单位、建设单位、运行管理单位,分别承担监督协调、网络安全建设、网络安全运行责任。

二是安全技术体系。遵循网络安全总体策略,构建涵盖基础防护、监测分析和响应恢复的网络安全技术体系。在基础防护方面,建设完善统一身份认证服务、统一密码服务、统一备份服务、统一应用安全检测平台、统一数据共享交换平台等统一基础安全服务,构成纵深防御底盘,安全资源共享共用,提升整体安全支撑能力;根据网络安全等级保护相关要求,在基础安全服务的支撑下,构建“安全物理环境”“安全通信网络”“安全区域边界”“安全计算环境”多层次防护。在监测分析方面,结合自身安全数据,构建安全情报中心;建设安全数据采集系统,对各类安全设备日志、主机日志、应用日志、重要边界网络流量、内外部威胁情报等网络安全相关数据进行统一收集;采用大数据技术,构建网络安全大数据平台,汇集、整理、存储、处理各类安全数据,形成安全数据仓库;在各类安全数据的基础上,构建网络安全威胁感知系统,基于行为分析、特征分析、关联分析、威胁情报、机器学习等技术实现对网络安全威胁的全方位感知。在响应恢复方面,建设网络安全风险全过程闭环管理系统,将安全风险根据影响程度分为不同类别:安全事件、安全告警、安全威胁,根据事先确定的流程,对安全事件、安全告警、安全威胁处置进行全过程闭环管理;建设统一设备管控系统,把应急响应与网络安全设备联动管理,实现阻断、隔离、策略下发等多种动作编排,将威胁防护措施转化成安全策略控制任务,提高全网协防效率,缩短威胁处置时间,提升应急能力。


文章来源:《水利信息化》 网址: http://www.slxxhzz.cn/zonghexinwen/2021/1116/1676.html


上一篇:关于第三人民医院信息化项目资金使用的公示
下一篇:没有了

Copyright © 2018 《水利信息化》杂志社 版权所有
投稿电话: 投稿邮箱: