一(yī)、加強關鍵信息基礎設施安全保護工(gōng)作的組織領導
1、建立關鍵信息基礎設施安全保護工(gōng)作的組織領導體(tǐ)系,落實網絡安全責任制。
保護工(gōng)作部門要建立健全網絡安全工(gōng)作的組織領導體(tǐ)系,強化“一(yī)盤棋”思想,認真落實網絡安全責任制和責任追究制度;要明确一(yī)名領導班子成員(yuán)分(fēn)管關鍵信息基礎設施安全保護工(gōng)作,并明确具體(tǐ)負責的司局級單位。運營者要嚴格落實《黨委(黨組)網絡安全工(gōng)作責任制實施辦法》,并明确一(yī)名領導班子成員(yuán)爲首席網絡安全官,分(fēn)管關鍵信息基礎設施安全保護工(gōng)作;設置專門安全管理機構,确定關鍵崗位。同時,要建立健全網絡安全管理和評價考核制度,加強網絡安全統籌規劃和貫徹實施。2、動态掌握關鍵信息基礎設施基本情況及安全保護狀況,做到底數清、情況明。保護工(gōng)作部門和運營者應按照關鍵信息基礎設施識别認定指南(nán),分(fēn)析識别和認定國家關鍵信息基礎設施并報公安部;在此基礎上,組織開(kāi)展摸底調查,梳理排查關鍵信息基礎設施建設、運行、管理情況及安全保護狀況,******掌握網絡基礎設施、重要業務系統和重要數據等資(zī)源底數和網絡資(zī)産,建立檔案并動态更新。保護工(gōng)作部門要定期組織對本行業已确認的關鍵信息基礎設施進行按照審查評估。當關鍵信息基礎設施發生(shēng)較大(dà)變化時,運營者要及時報告保護工(gōng)作部門;保護工(gōng)作部門應在收到報告後3個月内完成重新認定,并将認定結果報公安部備案。 3、建立關鍵信息基礎設施核心崗位人員(yuán)管理制度,加強專門機構和人員(yuán)管理。運營者要加強關鍵信息基礎設施專門安全管理機構人力、财力、物(wù)力方面的投入和保障,建立專門工(gōng)作機制,明确專門安全管理機構在關鍵信息基礎設施安全保護計劃、能力建設、應急演練、事件處置、教育培訓、安全管理、評價考核等方面的職責,确保專門安全管理機構有效運轉;加強關鍵信息基礎設施核心崗位人員(yuán)管理,建立健全各項管理制度,強化專門安全機構的負責人及關鍵核心崗位人員(yuán)管理,組織對其進行安全背景審查,審查時應征求公安機關、國家安全機關的意見,審查情況應報送保護工(gōng)作部門;加強關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理,采購安全可信的網絡産品和服務,确保供應鏈安全,采購的産品和服務可能影響國家安全的,應按照國家有關規定通過安全審查。公安機關應加強對關鍵信息基礎設施安全服務機構的安全管理,爲運營者開(kāi)展安全保護工(gōng)作提供支持。1、制定關鍵信息基礎設施安全保護規劃及安全建設方案,組織開(kāi)展安全建設試點示範。保護工(gōng)作部門應結合關鍵信息基礎設施安全需求,按照“實戰化、體(tǐ)系化、常态化”保護要求,組織制定并實施本行業關鍵信息基礎設施安全保護總體(tǐ)規劃和安全防護策略,加強網絡安全和業務發展的統籌協調,創造有利于業務發展的網絡安全環境,确保安全保護措施與關鍵信息基礎設施“同步規劃、同步實施、同步運行”。運營者應按照關鍵信息基礎設施安全保護規劃,組織制定安全建設方案,确保安全規劃任務目标有效落實。安全保護規劃和安全建設方案應通過國家關鍵信息基礎設施安全保護專家組的評估審議。公安部将選擇典型的關鍵信息基礎設施開(kāi)展安全建設試點示範,推進實施安全可控應用示範工(gōng)程,集中(zhōng)資(zī)源力量開(kāi)展安全保護技術攻關和應用創新,總結提煉建設經驗做法,加強宣傳推廣。2、******深入開(kāi)展關鍵信息基礎設施安全建設,大(dà)力提升安全防護能力。運營者應按照《網絡安全法》和國家網絡安全等級保護制度要求,依據《網絡安全等級保護基本要求》《網絡安全等級保護安全設計技術要求》等國家标準,開(kāi)展相應等級的網絡安全建設,健全完善網絡安全管理制度,加強技術防護,建設關鍵信息基礎設施綜合防禦體(tǐ)系。在落實網絡安全等級保護制度的基礎上,按照《關鍵信息基礎設施安全保護要求》和行業特殊要求,強化整體(tǐ)防護、監測預警、應急處置、數據保護等重點保護措施,合理分(fēn)區分(fēn)域,收斂互聯網暴露面,加強網絡攻擊威脅管控,強化縱深防禦,積極利用新技術開(kāi)展安全保護,構建以密碼技術、可信計算、人工(gōng)智能、大(dà)數據分(fēn)析等爲核心的網絡安全保護體(tǐ)系,不斷提升内生(shēng)安全、主動免疫和主動防禦能力。 3、認真組織開(kāi)展演習演練、安全檢測和風險評估,及時發現深層次問題隐患和威脅。關鍵信息基礎設施安全建設完成後,保護工(gōng)作部門、運營者應增強憂患意識,防範風險隐患,定期組織開(kāi)展自查自糾,按照國家有關工(gōng)作部署要求,針對關鍵信息基礎設施開(kāi)展網絡攻防實戰演習和應急演練,組織技術檢測力量定期對關鍵信息基礎設施進行******、深度滲透測試,開(kāi)展專項風險評估,聚焦重點、抓綱帶目、綜合施策、攻防相長,及時發現關鍵信息基礎設施安全保護工(gōng)作薄弱環節,從管理和技術層面挖掘關鍵信息基礎設施深層次安全風險隐患,防微杜漸,不斷提升關鍵信息基礎設施安全風險隐患的主動發現能力和攻防對抗能力。 4、針對問題和風險隐患認真組織開(kāi)展安全整改加固,及時******和化解威脅關鍵信息基礎設施安全的重大(dà)風險。針對主動發現和公安機關通報反饋的各類安全問題隐患及風險威脅,運營者應建立清單台賬,逐一(yī)制定安全整改方案,及時開(kāi)展整改加固。針對突出的安全隐患,運營者要立行立改,不能立即整改到位的,要采取有效的措施管控安全風險,完善安全保護措施,确保發現的問題隐患及時整改清零銷賬,及時******和化解威脅關鍵信息基礎設施安全的重大(dà)風險,着力防範各類風險隐患聯動交彙、累積疊加,守住安全底線,不斷提升關鍵信息基礎設施安全保護能力。公安機關将建立重大(dà)安全風險隐患挂牌督辦制度,對運營者網絡安全工(gōng)作不力、重大(dà)安全問題隐患久拖不改,或者存在較大(dà)網絡安全風險、發生(shēng)重大(dà)網絡安全案事件的,會同行業主管部門對相關負責人進行約談,挂牌督辦。運營者應對核心業務系統所承載和處理的數據進行深入梳理排查,确認數據類型和資(zī)産情況,******摸排數據資(zī)産并進行分(fēn)級分(fēn)類管理;對數據采集、存儲、處理、應用、提供、銷毀等環節,******進行風險排查和隐患分(fēn)析;加強新技術新應用安全保護和風險管控,配合公安機關打擊整治針對新技術、新業态的網絡違法犯罪,打造自主可控的安全防護體(tǐ)系。數據處理者應落實網絡安全等級保護制度,開(kāi)展數據定級備案、安全建設整改、檢測評估等工(gōng)作,及時******風險隐患,确保數據全生(shēng)命周期的安全。針對供應鏈安全、郵件系統安全、網站安全、數據安全、新技術新應用網絡安全等方面存在的突出問題,保護工(gōng)作部門應适時組織開(kāi)展專項整治行動,整改突出問題,及時排除重大(dà)安全風險隐患。三、大(dà)力提高網絡安全通報預警和應急處置能力
1、建設網絡安全監控指揮中(zhōng)心,落實常态化實時監測發現機制。保護工(gōng)作部門和運營者要調動各方資(zī)源力量,建設網絡安全監控指揮中(zhōng)心,******加強網絡安全監測,對本行業、本領域的關鍵信息基礎設施、重要網絡等開(kāi)展7x24小(xiǎo)時實時監測,形成立體(tǐ)化的安全監測預警體(tǐ)系,嚴密監測網絡運行狀态和網絡安全威脅等情況,一(yī)旦發現異常、網絡攻擊和安全威脅,立即采取有效措施,嚴密防範網絡安全重大(dà)事件發生(shēng)。公安部将統籌保護工(gōng)作部門和運營者的網絡安全監測預警資(zī)源,加強網絡新技術研究和應用,健全完善常态化網絡安全實時監測體(tǐ)系,構建國家層面的網絡安全實時監測、通報預警、偵查調查、安全防護等工(gōng)作體(tǐ)系,形成協同聯動的國家關鍵信息基礎設施安全監測體(tǐ)系。 2、建設并應用關鍵信息基礎設施安全保護平台,大(dà)力開(kāi)展網絡安全監測預警和應急處置。要加強網絡新技術研究和應用,研究繪制網絡空間地理信息圖譜,實現挂圖作戰。保護工(gōng)作部門、運營者要按照公安部的要求,建設本行業、本單位的網絡安全保護平台,通過布設探針、數據推送等多種方式,彙聚各類網絡安全數據資(zī)源,建設平台智慧大(dà)腦,依托平台和大(dà)數據開(kāi)展實時監測、通報預警、應急處置、安全防護、指揮調度等工(gōng)作。同時,各保護工(gōng)作部門和運營者的安全保護平台應與公安機關相關工(gōng)作平台對接聯動,配合公安機關布設探針,利用人工(gōng)智能技術和大(dà)數據分(fēn)析技術,依托平台和大(dà)數據構建聯合預警、協同防禦體(tǐ)系,形成縱橫聯通、協同作戰的立體(tǐ)化關鍵信息基礎設施安全保護大(dà)平台。 3、健全完善網絡與信息安全信息通報機制,大(dà)力開(kāi)展信息通報預警。保護工(gōng)作部門要進一(yī)步建立健全本行業、本領域關鍵信息基礎設施安全通報預警機制,加強通報預警力量建設,及時收集、彙總、分(fēn)析各方網絡安全信息,加強威脅情報工(gōng)作,掌握關鍵信息基礎設施運行狀況和安全态勢。保護工(gōng)作部門應及時将有關安全漏洞、威脅及事件等信息彙總報送國家網絡與信息安全信息通報中(zhōng)心,及時通報預警網絡安全威脅隐患。運營者要深入開(kāi)展網絡安全監測預警和信息通報工(gōng)作,及時接收、處置來自國家、行業和地方的網絡安全預警通報信息;發生(shēng)重大(dà)和特别重大(dà)網絡安全事件或者發現重大(dà)網絡安全威脅時,應按規定及時向保護工(gōng)作部門和備案公安機關報告,快速處置突發事件并及時通報預警。 4、制定網絡安全事件應急預案并定期開(kāi)展應急演練,提高應急處置能力。保護工(gōng)作部門和運營者要立足于主動預防,提升網絡安全預知(zhī)、預警和預置能力,加強網絡安全事件應急指揮能力、應急力量建設和應急資(zī)源儲備。保護工(gōng)作部門要統籌規劃網絡安全應急處置體(tǐ)系建設,針對關鍵信息基礎設施可能遭受網絡攻擊、數據洩露等突出情況,按照國家網絡安全事件應急預案要求,建立健全本行業、本領域網絡安全事件應急預案,完善應急處置機制,定期組織應急演練;指導運營者做好網絡安全事件應對處置,并給予技術支持和協助。運營者應按照應急預案積極開(kāi)展應急演練,熟練掌握處置規程,不斷提升應對處置突發網絡安全事件的能力和水平。 5、及時處置網絡安全突發事件,配合公安機關開(kāi)展事件調查和溯源固證。保護工(gōng)作部門、運營者應與公安機關建立網絡安全案事件報告制度和應急處置機制。關鍵信息基礎設施一(yī)旦發生(shēng)重大(dà)網絡安全事件,運營者應******時間向保護工(gōng)作部門和公安機關報告,并立即組織分(fēn)析研判,啓動指揮調度機制,開(kāi)展應急處置工(gōng)作,同時按照有關操作規程保護現場、留存相關記錄線索,并配合公安機關開(kāi)展事件調查處置和偵查打擊等工(gōng)作。保護工(gōng)作部門應加強對應急處置工(gōng)作的指導,優化事件處置方案,并根據運營者的需要提供技術支持和協助,必要時協調國家網信部門、公安機關和工(gōng)業和信息化部門等提供技術支持。保護工(gōng)作部門和運營者應保護事件現場,配合公安機關開(kāi)展事件偵查調查和立案打擊工(gōng)作。四、大(dà)力提高應對大(dà)規模網絡攻擊的能力
1、加強網絡安全威脅情報工(gōng)作,提高主動發現威脅風險的能力。保護工(gōng)作部門、運營者應加強網絡安全威脅情報體(tǐ)系建設,組織開(kāi)展關鍵信息基礎設施威脅情報搜集工(gōng)作。保護工(gōng)作部門應指導運營者建立情報分(fēn)析研判機制,調動技術支持單位資(zī)源力量,培養威脅情報專業人才,圍繞本行業、本領域關鍵信息基礎設施安全保護工(gōng)作,主動獲取和分(fēn)析挖掘威脅情報、行動性線索,及時發現對關鍵信息基礎設施和重要網絡進行攻擊竊密和破壞的動向,提升威脅情報搜集和分(fēn)析研判能力。保護工(gōng)作部門、運營者與公安機關要建立威脅情報共享機制,充分(fēn)發揮各方優勢,拓寬情報來源,及時整合分(fēn)析各方情報線索,提高主動發現和處置威脅風險的能力:
- 加強情報搜集,構建一(yī)體(tǐ)化的網絡安全威脅情報共享機制,及時發現苗頭動向、及時預警防範、及時追蹤溯源、及時開(kāi)展反制;
- 依托大(dà)數據分(fēn)析技術,實現安全數據、環境數據、情報數據的關聯分(fēn)析,精準發現設備、系統、數據間的内在線索,挖掘大(dà)數據背後隐藏的衆多網絡安全事件,定位攻擊源,溯源事件過程和攻擊路徑;
- 将網絡安全與業務深度融合,化繁爲簡,由内向外(wài),聯動通報處置事件。
2、加強網絡安全實戰演習演練,檢驗并有力促進網絡安全綜合防禦能力和對抗能力。
保護工(gōng)作部門和運營者要針對本行業、本領域關鍵信息基礎設施:
- 開(kāi)展網絡攻防演練及比武競賽,及時發現整改網絡安全深層次問題隐患,檢驗網絡安全防護有效性和應急處置能力;
- 以攻促防,增強保護彈性和網絡攻防技術對抗及謀略鬥争能力;
- 平戰結合,立足應對大(dà)規模網絡攻擊威脅,強化合成作戰。
演練時,要以本行業運營者爲防守方,将關鍵信息基礎設施設爲攻擊目标,組建安全可靠、技術過硬的攻擊隊伍、應急處置隊伍、技術支持隊,模拟多種形式的攻擊手法進行攻防演練。同時,保護工(gōng)作部門和運營者要密切配合公安機關組織開(kāi)展的攻防演習,不斷提煉總結實戰經驗,促進實現網絡攻防演習常态化,不斷提升關鍵信息基礎設施綜合防禦能力和對抗能力。開(kāi)展攻防對抗演練,有力提升攻防對抗能力:一(yī)是創新完善網絡攻防演習的内容和方式,構建形成多層次、體(tǐ)系化、常态化的演習機制,适時開(kāi)展對抗演習,并在行業内部組織紅藍(lán)隊伍,定期開(kāi)展網絡攻防對抗,提高技術對抗、智慧較量、謀略對抗能力;二是專注攻擊技術研究,持續進步,在加強防護的基礎上,深入收集并研究攻擊者常用的工(gōng)具方法,做到對内發現漏洞、補齊短闆,對外(wài)展示能力、形成震懾;三是堅持練戰結合,積極探索将攻防演習的手段方法應用于關鍵信息基礎設施日常監測、通報預警,優化完善網絡安全防護方法,堅持底線思維,提升安全防護能力,防範化解重大(dà)網絡安全風險。 3、充分(fēn)調動社會力量,共同建立關鍵信息基礎設施綜合防禦體(tǐ)系。保護工(gōng)作部門、運營者要統籌資(zī)源和力量,充分(fēn)發揮行業技術支持力量、網絡安全科研機構、網絡安全企業等的積極性、主動性和創新性,重點參與網絡安全核心技術攻關、網絡安全試點示範、總體(tǐ)規劃、安全建設方案制定等工(gōng)作。公安部将充分(fēn)調動社會力量,加強關鍵信息基礎設施安全協同協作、互動互補、共治共享和群防群治,建立健全公安機關牽頭、重要行業部門配合、社會力量參與的關鍵信息基礎設施安全保護工(gōng)作新局面,形成各方主體(tǐ)各司其職、各負其責、齊抓共管的關鍵信息基礎設施聯防聯控體(tǐ)系。一(yī)是縮減、集中(zhōng)互聯網出入口:各重要行業部門分(fēn)支機構在設計互聯網出入口時應向上或就近歸集管理,減少互聯網出入口數量,在互聯網出入口部署安全防護設備;對采用VPN方式歸集的,應落實流量控制、身份鑒别等安全措施。二是壓縮網站數量,加強域名管理:梳理互聯網網站,排查曆史域名,及時******廢棄域名,确保在線應用系統全部可管、可控。三是加強終端控制:部署終端統一(yī)管控措施,及時修補漏洞;強化用戶管理,集中(zhōng)管控用戶操作行爲日志(zhì),加強特權用戶設備及賬号的自動發現、申領和保管。四是清理老舊(jiù)資(zī)産:建立動态資(zī)産台賬,掌握資(zī)産分(fēn)布與歸屬情況;關停老舊(jiù)和廢棄系統,下(xià)線過期資(zī)産,清理無用賬戶。五是加強App管理:根據移動業務需求,厘清現有移動端App狀況,按照***小(xiǎo)化原則,歸集建設與壓縮;加強App和應用後端的安全檢測與防護,嚴格控制信息外(wài)洩。 5、梳理網絡資(zī)産,開(kāi)展重點防護和加固。一(yī)是對核心系統進行精準防護:對雲平台、堡壘機、域控服務器等核心系統在主機層部署防護手段,實現主機内核加固、文件保護、登錄防護、服務器漏洞修複、系統資(zī)源監控等安全防護功能。二是對網絡實施精細化管控:将混雜(zá)的流量分(fēn)成管理、業務、應用等維度進行管理;通過設備指紋、人機識别保障業務正常開(kāi)展,精準攔截各種攻擊。三是強化郵件服務器安全管控:加強郵件系統安全認證;梳理與郵件系統相關聯的系統,嚴格控制訪問策略,禁止敏感文件通過郵箱發送和存儲,定期清理郵件信息。四是及時發現漏洞并修複:實時跟進漏洞預警,加強各類漏洞的檢測發現、巡查修補;建立白(bái)名單訪問機制,攔截超出白(bái)名單的訪問行爲,防範零日漏洞。 6、網絡架構合理分(fēn)區分(fēn)域,加強縱深防禦。一(yī)是網絡分(fēn)區:根據業務和安全需要、現有網絡或物(wù)理地域狀況等,将網絡劃分(fēn)爲不同的安全區域。二是域間隔離(lí):根據系統功能和訪問控制關系,對網絡進行分(fēn)區分(fēn)域管理;每個區域設置獨立的隔離(lí)控制手段和訪問控制策略。三是縱向防護;在安全防護縱深上采用認證、加密、訪問控制等技術措施,實現數據的遠距離(lí)安全傳輸及縱向邊界的安全防護,防止被層層突破、直搗核心。五、大(dà)力加強重要基礎工(gōng)作和保障
1、加強網絡安全專門機構建設和人才培養,大(dà)力提升網絡安全隊伍實戰能力。運營者要根據關鍵信息基礎設施安全保護需求,在人才選拔、任用、培訓方面形成有效機制,堅持培養和引進并舉,加強專門機構建設和人才培養,根據實際需求,突出實戰實訓,建立健全教學練戰一(yī)體(tǐ)化的網絡安全教育訓練體(tǐ)系。保護工(gōng)作部門、運營者要組織行業專業力量,積極參加國家層面的“網鼎杯”等網絡安全比武競賽,并組織開(kāi)展行業内部網絡安全比武競賽,以賽代練、以賽促防,不斷發現、選撥、培養行業網絡安全專業人才,壯大(dà)人才隊伍,大(dà)力提升網絡安全隊伍實戰能力。一(yī)是設置專門網絡安全管理機構,配備專職人員(yuán),加強人才培育和教育訓練,加大(dà)科技攻關和信息化手段建設;二是通過組織實戰演習、舉辦網絡安全大(dà)賽,建立特殊攻防人才的發現、選拔、使用機制;三是各重點單位與公安機關密切配合,通過培訓和實戰訓練,大(dà)力提升關鍵安全崗位人員(yuán)實戰化能力;四是要深入開(kāi)展網絡安全知(zhī)識技能宣傳普及,提高普通人員(yuán)的網絡安全意識和防護技能。2、加強管理和技術創新,充分(fēn)利用新技術、新手段提升網絡安全綜合保護能力。保護工(gōng)作部門、運營者要加強信息技術創新融合發展,依托大(dà)數據、人工(gōng)智能、區塊鏈、可信計算等新技術新應用,大(dà)力開(kāi)展關鍵信息基礎設施安全保護工(gōng)作,在安全産品、工(gōng)具研發、滲透測試、追蹤溯源、情報搜集等方面實現技術突破,通過機器學習、網絡空間地理測繪等新技術新應用,綜合彙聚分(fēn)析各方網絡安全數據資(zī)源,形成關鍵信息基礎設施基礎數據資(zī)源池。同時,依托信息化手段建設應用管理平台,強化數據信息分(fēn)析處理,加強關鍵信息基礎設施全流程管控,堵塞管理盲點漏洞,提升網絡安全綜合保護能力和效能。 3、加強網絡安全經費(fèi)保障和信息化手段建設,大(dà)力提升網絡安全技術保護能力。保護工(gōng)作部門、運營者要加強關鍵信息基礎設施安全保護工(gōng)作經費(fèi)保障,通過現有經費(fèi)渠道,保障關鍵信息基礎設施開(kāi)展等級測評、風險評估、密碼應用安全性檢測、演練競賽、安全建設整改、安全保護平台建設、運行維護、監督檢查、教育培訓等的經費(fèi)投入。運營者應保障網絡安全經費(fèi)足額投入,作出網絡安全和信息化有關決策時應有網絡安全管理機構人員(yuán)參與。保護工(gōng)作部門、運營者要加強信息化手段建設,開(kāi)展網絡安全技術産業和項目,支持網絡安全技術研究開(kāi)發和創新應用,推動網絡安全産業健康發展。 4、加快實施安全可信工(gōng)程,有效防範和化解供應鏈帶來的網絡安全風險。保護工(gōng)作部門、運營者要加快推進關鍵信息基礎設施領域安全可信工(gōng)程的實施,梳理排查關鍵信息基礎設施供應鏈安全風險,加強風險管控,從芯片、操作系統、數據庫等基礎軟硬件以及防火(huǒ)牆、入侵檢測設備等網絡安全專用産品方面逐步進行安全可信升級替代,制定替代方案,從源頭上解決關鍵信息基礎設施安全隐患,有效防範和化解供應鏈帶來的網絡安全風險。