新闻动态 News

赵战生:借鉴全球智慧 共同保护关键基础设施

日期: 2017-04-24
浏览次数: 118
2017 - 4 - 24

  

  赵战生:借鉴全球智慧 共同保护关键基础设施

由于攻易防难,资源有限,人们在信息安全保障工作中,需要突出重点,抓住关键,保护要害。因此,什么是保护的重点对象,就成为信息安全保障工作中必须首要明确的重大问题。早在 1996年7月,美国总统就组织成立了关键基础设施保护总统委员会(PCCIP),并责成其 于 1997年10月13日,向总统提交了“保护美国基础设施”的报告。 自此,关键基础设施保护(CIP)关键信息基础设施保护(CIIP) 成为世界上发达国家和重要地区信息安全保障战略决策和技术、管理、研究和践行的热点。

自20世纪90年代以来,美国发布了近50个、六大类网络空间安全国家战略和计划,涵盖关键基础设施保护政策、网络空间安全国际战略、网络空间安全研发战略、网络空间安全教育计划、网络空间安全情报战略以及网络空间安全综合战略等,形成了领域全、内容深、措施准的网络空间安全战略体系。

现在推荐给大家是一本由欧洲专家亚历山德罗·拉扎里撰写的关于关键基础设施保护(CIP)的专著。亚历山德罗·拉扎里综合了欧美的相关研究,特别从欧洲的视野论述了对关键基础设施保护的意识、认识、共识,展现了这个大陆对关键基础设施保护的战略决策、技术措施和管理治理的思想脉络。

他们意识到:中断或毁坏将至少给两个成员国造成重大影响的基础设施应该是欧洲的关键基础设施“ECI“”;欧盟成员国对于欧盟发布的《关键基础设施保护指令114/08》的模糊理解和缺乏共识影响着对ECI的安全保障。他们认识到:风险管理和决策是应对关键基础设施保护全新挑战的核心指导思想;制定“标准和方法”以开展防风险活动、管控危险过程或者避免工伤事故,已经成为各个国际及国内组织的核心任务之一;提升态势感知能力、关注危机管理、合理分配反恐、抗风险、维护物理/逻辑安全措施是保障安全的必要环节。

他们提出了《新的欧洲关键基础设施保护计划(2013—2020)》,新计划的原则涵盖了预防、准备和反应等重要话题;认为随着资产更加复杂、更加互相依赖。我们要深刻理解由此产生的未来风险的对策,进一步开发信息共享的程序,组织合作演习,以此作为关键基础设施领域内安全专家的额外训练。作者指出,在大多数情况下,人为因素都已被定义为安全链中最薄弱的环节,因此特别呼吁“解决之道在于人本身,而非技术”。

作者认为,在人类发展过程中的下一个“可预知”阶段,信息技术安全性仍将是关键基础设施“病灶”的深层原因。作者还预感“信息和通信技术被少数‘全球公司’垄断,结果是协议、操作系统和硬件的标准化,这就使我们可以感知到全球性‘网络崩溃’的危险。如果‘更新机制’的‘程序错误’导致不自觉,或受引诱发布了‘合法的恶意代码’, 进而持续引发某种全球性的关键服务(如通信、能源分配、水坝控制、 机场设备等)突然‘瘫痪’,全球‘网络崩溃’便有可能发生了”。从中可依稀看到作者对垄断和霸权的忧虑。

我们国家信息化发展高潮迭起,速度惊人。技术融合、业务融合、数据融合,实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务的局面开始显现。

信息安全保障受到党和国家领导的高度重视。习近平总书记多次就网络信息安全作出深刻论述。他指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”“网络安全为人民,网络安全靠人民。”他要求“大力发展核心技术,加强关键信息基础设施安全保障,完善网络治理体系。要紧紧牵住核心技术自主创新这个‘牛鼻子’,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系”。 他提出“网络主权原则正是建立全球网络安全体系的重要原则,也是解决国际网络安全问题的突破口”,“加快提升我国对网络空间的国际话语权和规则制定权,朝着建设网络强国目标不懈努力”。我国还成立了国家网络安全和信息化领导小组,下设了网信办。网络安全法已经发布。各级组织、各行各业都在努力贯彻落实网络信息安全的各项战略决策、 政策法规和技术标准。

我国的信息安全保障工作,是以重要信息系统和基础信息网络作为保护重点开展起来的。信息系统安全等级保护是我国确定的网络信息安全保护的基本制度。“等保”制度的内涵和外延正在完善深化,“等保”将进入2.0时代。重点关注关键信息基础设施的安全保障,将风险评估、安全监测、通报预警、事件调查、数据保护、灾难备份、应急处置、供应链安全、效果评价、综治考核全面纳入等保制度并加以实施的任务摆在我们面前。这需要我们认真总结过去的实践经验,更深入地思考未来,更虚心地学习和借鉴他人的智慧和经验,更务实地自力更生突破技术难关。

作者赵战生系网信安全领域的著名专家)

News / 推荐新闻 More
2018 - 04 - 09
编者按“十二五”期间,中国银行业大力革新,经受了后金融危机时代的一系列考验,整体发展平稳健康。其中,信息科技发挥了关键作用,有力地支持了银行业务的跨越式发展。信息科技参与决策的层面逐步提升,与业务的协同效应进一步增强。信息科技投入增长显著,信息科技制度体系更加规范,架构管控水平不断提高。但是,银行业信息化建设和风险管理能力与进一步创新发展、深化改革、转型升级还存在一些不适应和不匹配,有些已经触及当前银行业发展的深层次问题,亟须在“十三五”期间取得切实进展。业务战略与科技战略联动不足,业务部门与科技部门的协调互动还不够顺畅。对信息科技的认识和重视还不充分,对信息科技部门的定位仍不清晰,科技人员的职业生涯、绩效薪酬与他们所发挥的作用、价值和贡献度还不匹配。数据价值挖掘不充分,数据服务的机制、方式方法与业务发展和创新的需要还不够匹配。内部、同业和跨业的信息共享机制亟须建立。 本书开出了...
2018 - 02 - 05
编者语共建信息科技外包良好生态,促进各行业科技创新、稳健发展。《金融级信息科技外包商风险管理规范》标准编制启动会在京顺利召开。岁末年初之际,中国计算机用户协会信息科技审计分会根据《中华人民共和国标准化法》和《关于培育和发展团体标准的指导意见》中有关鼓励团体标准的法规和意见,正式启动了《金融级信息科技外包商风险管理规范》(以下简称“规范”)标准编制工作,与业内各界同仁达成了推动信息科技外包规范化建设和共建外包良好生态的共识。此前9月22日,信息科技审计分会曾组织召开“金融信息科技外包风险管理研讨会”。研讨会当天最重要的成果是与会者充分认识到了金融行业信息科技外包服务和风险管理的重要性、紧迫性,深刻分析了外包过程中的痛点、难点和价值点。本次外包商风险管理规范得到了近30家会员单位的参与和支持。会上,分会副理事长、规范编制组组长、华夏银行信息科技部副总经理李印波指出,编制本规范的现实意义是为促进...
2018 - 02 - 05
编者按:中国计算机用户协会信息科技审计分会是由从事信息科技、风险控制和审计相关的机构和人员自愿组成的,经国家有关部门正式批准成立的行业性、非经营性的社会组织。分会的宗旨是通过建立信息科技风险控制和审计专业服务平台,共建、共享信息科技风险控制和审计理论研究成果和最佳实践,为提升我国信息科技风险控制和审计专业水平,提升相关行业和机构的信息科技风险控制与审计水平,进而提升相关行业和机构的信息科技治理能力发挥积极作用。2016年12月22日,中国计算机用户协会信息科技审计分会在京正式成立。2017年12月22日是信息科技审计分会成立一周年的日子。分会成立以来已有来自银行、证券、保险、能源、科研、院校、IT企业和社会团体等82家单位正式加入分会。分会理事会坚持“共同建设、共享服务、协同治理、依法营造信息时代我国行业、企业治理良好生态”的发展思路,把“全心全意为会员提供优质、增值服务,共同为各行业信息...
2018 - 01 - 28
编者按:近年来,数字技术变革带动我国金融创新不断迈上新台阶,大数据、云计算以及移动互联等数字技术改变了金融服务触达用户的成本和效率,帮助银行业金融机构、非银机构、金融科技公司等更好地了解客户、辨识风险成本和效率,提供不分时间、地点和方式的7*24小时全天候移动金融服务。可以说,有了技术的改变,今天的金融是不一样的金融。与此同时,移动金融的创新发展与应用安全也成为多方关注的重点。随着国家《网络安全法》的正式出台,对网络安全等级保护、关键信息基础设施安全保护、用户信息保护等制度进行了明确规定。银行业网络和重要信息系统是国家关键信息基础设施,金融机构作为关键信息基础设施的运营者,需高度重视网络安全和风险管理能力,依法创新、循法管理,推动我国移动金融科技安全、普惠发展。2017年12月1日,由中国计算机用户协会信息科技审计分会主办、中治研、梆梆安全承办的“金融级应用安全研讨会”在北京贵都大酒店成功...
--Copyright © 2005 - 2020 中治研(北京)国际信息技术研究院
犀牛云提供企业云服务
地址:北京西城区金融大街广成街4号金宸国际3号楼6-1106
电话:+86 010-66216895
传真:+86 010-66216895
邮编:100032