等保2.0关键信息基础设施安全,如何实现监管闭环?
《网络安全法》明确了国家职能部门(如公安、网安等)在关键信息基础设施安全保护方面中的责任与义务,也直接将等级保护从基本制度上升到了法律法规层面,从“应该做”变为“必须做”。而随着2.0系列标准的正式发布,将进一步推动关键信息基础设施的安全防护建设进程。
全新的等保标准条例主要从应用领域(将云计算、大数据、物联网、移动互联纳入监管)、监管对象(从体制内拓展到了全社会)、定级备案流程、监管和合规测评、合规建设等方面进行了细化和完善。
为了更好地落实等保2.0条例相关要求,网络安全监管部门需在组织管理、机制建设、监管手段、监督检查、技术检测、队伍建设、教育培训等方面开展工作,尤其需要加强对“云、大、物、移”等关键信息基础设施的监督检查力度,构建针对关键信息基础设施的监管业务闭环。
等保2.0将落实到系统建设全生命周期的每个环节,从系统定级、系统备案、建设/整改、等级测评、再到监督与检查,这就需要监管部门对关键信息基础设施进行等级保护开展全流程化管理,以等保管理为抓手,构建标准化、便捷化、智能化、可视化的关键信息基础设施安全监管体系。 因此,关键信息基础设施安全合规建设,如何实现监管的闭环?需要做好这几点: 1、针对关键信息基础设施等级保护进行建库管理,对系统定级、备案、测评、安全建设整改、监督检查等工作情况进行跟踪管理。从监管视角出发,对重要信息系统总体分布和定级备案等情况进行统计分析,并将网络安全等级保护检查制度与通报预警机制相结合,关联平台的安全隐患告警数据,了解掌握辖区内各单位信息系统存在的安全隐患和安全事件,创建检查任务,跟踪记录等保检查整改工作情况。 2、定期检查企业等级保护工作落实和进展情况是监管部门的基础工作,监管部门需进一步提升等级保护检查技术手段和能力(如配备等保检查工具箱、工控系统检查工具箱)。 一方面,可提高检查人员的检查效率和质量;另一方面,以应对“云、大、物、移”等新技术新领域等保检查任务。此外,建立等级保护工作绩效考核机制,实现以查代促、以查促改、以查促管、以查促防,达到有效推动监管对象落实信息安全建设工作的目标。 3、围绕数据、平台、管理制度,逐步建立关键信息基础设施网络安全主动防御体系。 第一步,完成各类威胁情报数据、第三方提供的威胁情报数据以及部署于用户本地的重要网站监测数据、流量监测数据、日志分析数据汇集,并对这些数据进行标准化和丰富化处理,利用这些数据对信息网环境中的各类资产和漏洞隐患进行识别,实现“事前”监测能力。 第二步,建立用户本地的大数据中心,引入基于大数据的关联分析与挖掘技术,构建通报预警信息传递(支持WEB、邮件、短信、APP等方式进行信息上报和下发)和快速处置(应急处置工具箱现场处置、关基设施远程一键关停)协同机制,实现“事中”通报与响应。 第三步,通过多元智能的威胁分析模型,结合威胁情报在“事后”提供溯源分析能力,实现对关键信息基础设施网络安全监管的全周期管理。