1、建立关键信息基础设施安全保护工作的组织领导体系,落实网络安全责任制。
保护工作部门要建立健全网络安全工作的组织领导体系,强化“一盘棋”思想,认真落实网络安全责任制和责任追究制度;要明确一名领导班子成员分管关键信息基础设施安全保护工作,并明确具体负责的司局级单位。运营者要严格落实《党委(党组)网络安全工作责任制实施办法》,并明确一名领导班子成员为首席网络安全官,分管关键信息基础设施安全保护工作;设置专门安全管理机构,确定关键岗位。同时,要建立健全网络安全管理和评价考核制度,加强网络安全统筹规划和贯彻实施。2、动态掌握关键信息基础设施基本情况及安全保护状况,做到底数清、情况明。保护工作部门和运营者应按照关键信息基础设施识别认定指南,分析识别和认定国家关键信息基础设施并报公安部;在此基础上,组织开展摸底调查,梳理排查关键信息基础设施建设、运行、管理情况及安全保护状况,******掌握网络基础设施、重要业务系统和重要数据等资源底数和网络资产,建立档案并动态更新。保护工作部门要定期组织对本行业已确认的关键信息基础设施进行按照审查评估。当关键信息基础设施发生较大变化时,运营者要及时报告保护工作部门;保护工作部门应在收到报告后3个月内完成重新认定,并将认定结果报公安部备案。 3、建立关键信息基础设施核心岗位人员管理制度,加强专门机构和人员管理。运营者要加强关键信息基础设施专门安全管理机构人力、财力、物力方面的投入和保障,建立专门工作机制,明确专门安全管理机构在关键信息基础设施安全保护计划、能力建设、应急演练、事件处置、教育培训、安全管理、评价考核等方面的职责,确保专门安全管理机构有效运转;加强关键信息基础设施核心岗位人员管理,建立健全各项管理制度,强化专门安全机构的负责人及关键核心岗位人员管理,组织对其进行安全背景审查,审查时应征求公安机关、国家安全机关的意见,审查情况应报送保护工作部门;加强关键信息基础设施设计、建设、运行、维护等服务实施安全管理,采购安全可信的网络产品和服务,确保供应链安全,采购的产品和服务可能影响国家安全的,应按照国家有关规定通过安全审查。公安机关应加强对关键信息基础设施安全服务机构的安全管理,为运营者开展安全保护工作提供支持。1、制定关键信息基础设施安全保护规划及安全建设方案,组织开展安全建设试点示范。保护工作部门应结合关键信息基础设施安全需求,按照“实战化、体系化、常态化”保护要求,组织制定并实施本行业关键信息基础设施安全保护总体规划和安全防护策略,加强网络安全和业务发展的统筹协调,创造有利于业务发展的网络安全环境,确保安全保护措施与关键信息基础设施“同步规划、同步实施、同步运行”。运营者应按照关键信息基础设施安全保护规划,组织制定安全建设方案,确保安全规划任务目标有效落实。安全保护规划和安全建设方案应通过国家关键信息基础设施安全保护专家组的评估审议。公安部将选择典型的关键信息基础设施开展安全建设试点示范,推进实施安全可控应用示范工程,集中资源力量开展安全保护技术攻关和应用创新,总结提炼建设经验做法,加强宣传推广。2、******深入开展关键信息基础设施安全建设,大力提升安全防护能力。运营者应按照《网络安全法》和国家网络安全等级保护制度要求,依据《网络安全等级保护基本要求》《网络安全等级保护安全设计技术要求》等国家标准,开展相应等级的网络安全建设,健全完善网络安全管理制度,加强技术防护,建设关键信息基础设施综合防御体系。在落实网络安全等级保护制度的基础上,按照《关键信息基础设施安全保护要求》和行业特殊要求,强化整体防护、监测预警、应急处置、数据保护等重点保护措施,合理分区分域,收敛互联网暴露面,加强网络攻击威胁管控,强化纵深防御,积极利用新技术开展安全保护,构建以密码技术、可信计算、人工智能、大数据分析等为核心的网络安全保护体系,不断提升内生安全、主动免疫和主动防御能力。 3、认真组织开展演习演练、安全检测和风险评估,及时发现深层次问题隐患和威胁。关键信息基础设施安全建设完成后,保护工作部门、运营者应增强忧患意识,防范风险隐患,定期组织开展自查自纠,按照国家有关工作部署要求,针对关键信息基础设施开展网络攻防实战演习和应急演练,组织技术检测力量定期对关键信息基础设施进行******、深度渗透测试,开展专项风险评估,聚焦重点、抓纲带目、综合施策、攻防相长,及时发现关键信息基础设施安全保护工作薄弱环节,从管理和技术层面挖掘关键信息基础设施深层次安全风险隐患,防微杜渐,不断提升关键信息基础设施安全风险隐患的主动发现能力和攻防对抗能力。 4、针对问题和风险隐患认真组织开展安全整改加固,及时******和化解威胁关键信息基础设施安全的重大风险。针对主动发现和公安机关通报反馈的各类安全问题隐患及风险威胁,运营者应建立清单台账,逐一制定安全整改方案,及时开展整改加固。针对突出的安全隐患,运营者要立行立改,不能立即整改到位的,要采取有效的措施管控安全风险,完善安全保护措施,确保发现的问题隐患及时整改清零销账,及时******和化解威胁关键信息基础设施安全的重大风险,着力防范各类风险隐患联动交汇、累积叠加,守住安全底线,不断提升关键信息基础设施安全保护能力。公安机关将建立重大安全风险隐患挂牌督办制度,对运营者网络安全工作不力、重大安全问题隐患久拖不改,或者存在较大网络安全风险、发生重大网络安全案事件的,会同行业主管部门对相关负责人进行约谈,挂牌督办。运营者应对核心业务系统所承载和处理的数据进行深入梳理排查,确认数据类型和资产情况,******摸排数据资产并进行分级分类管理;对数据采集、存储、处理、应用、提供、销毁等环节,******进行风险排查和隐患分析;加强新技术新应用安全保护和风险管控,配合公安机关打击整治针对新技术、新业态的网络违法犯罪,打造自主可控的安全防护体系。数据处理者应落实网络安全等级保护制度,开展数据定级备案、安全建设整改、检测评估等工作,及时******风险隐患,确保数据全生命周期的安全。针对供应链安全、邮件系统安全、网站安全、数据安全、新技术新应用网络安全等方面存在的突出问题,保护工作部门应适时组织开展专项整治行动,整改突出问题,及时排除重大安全风险隐患。 1、建设网络安全监控指挥中心,落实常态化实时监测发现机制。保护工作部门和运营者要调动各方资源力量,建设网络安全监控指挥中心,******加强网络安全监测,对本行业、本领域的关键信息基础设施、重要网络等开展7x24小时实时监测,形成立体化的安全监测预警体系,严密监测网络运行状态和网络安全威胁等情况,一旦发现异常、网络攻击和安全威胁,立即采取有效措施,严密防范网络安全重大事件发生。公安部将统筹保护工作部门和运营者的网络安全监测预警资源,加强网络新技术研究和应用,健全完善常态化网络安全实时监测体系,构建国家层面的网络安全实时监测、通报预警、侦查调查、安全防护等工作体系,形成协同联动的国家关键信息基础设施安全监测体系。 2、建设并应用关键信息基础设施安全保护平台,大力开展网络安全监测预警和应急处置。要加强网络新技术研究和应用,研究绘制网络空间地理信息图谱,实现挂图作战。保护工作部门、运营者要按照公安部的要求,建设本行业、本单位的网络安全保护平台,通过布设探针、数据推送等多种方式,汇聚各类网络安全数据资源,建设平台智慧大脑,依托平台和大数据开展实时监测、通报预警、应急处置、安全防护、指挥调度等工作。同时,各保护工作部门和运营者的安全保护平台应与公安机关相关工作平台对接联动,配合公安机关布设探针,利用人工智能技术和大数据分析技术,依托平台和大数据构建联合预警、协同防御体系,形成纵横联通、协同作战的立体化关键信息基础设施安全保护大平台。 3、健全完善网络与信息安全信息通报机制,大力开展信息通报预警。保护工作部门要进一步建立健全本行业、本领域关键信息基础设施安全通报预警机制,加强通报预警力量建设,及时收集、汇总、分析各方网络安全信息,加强威胁情报工作,掌握关键信息基础设施运行状况和安全态势。保护工作部门应及时将有关安全漏洞、威胁及事件等信息汇总报送国家网络与信息安全信息通报中心,及时通报预警网络安全威胁隐患。运营者要深入开展网络安全监测预警和信息通报工作,及时接收、处置来自国家、行业和地方的网络安全预警通报信息;发生重大和特别重大网络安全事件或者发现重大网络安全威胁时,应按规定及时向保护工作部门和备案公安机关报告,快速处置突发事件并及时通报预警。 4、制定网络安全事件应急预案并定期开展应急演练,提高应急处置能力。保护工作部门和运营者要立足于主动预防,提升网络安全预知、预警和预置能力,加强网络安全事件应急指挥能力、应急力量建设和应急资源储备。保护工作部门要统筹规划网络安全应急处置体系建设,针对关键信息基础设施可能遭受网络攻击、数据泄露等突出情况,按照国家网络安全事件应急预案要求,建立健全本行业、本领域网络安全事件应急预案,完善应急处置机制,定期组织应急演练;指导运营者做好网络安全事件应对处置,并给予技术支持和协助。运营者应按照应急预案积极开展应急演练,熟练掌握处置规程,不断提升应对处置突发网络安全事件的能力和水平。 5、及时处置网络安全突发事件,配合公安机关开展事件调查和溯源固证。保护工作部门、运营者应与公安机关建立网络安全案事件报告制度和应急处置机制。关键信息基础设施一旦发生重大网络安全事件,运营者应******时间向保护工作部门和公安机关报告,并立即组织分析研判,启动指挥调度机制,开展应急处置工作,同时按照有关操作规程保护现场、留存相关记录线索,并配合公安机关开展事件调查处置和侦查打击等工作。保护工作部门应加强对应急处置工作的指导,优化事件处置方案,并根据运营者的需要提供技术支持和协助,必要时协调国家网信部门、公安机关和工业和信息化部门等提供技术支持。保护工作部门和运营者应保护事件现场,配合公安机关开展事件侦查调查和立案打击工作。 1、加强网络安全威胁情报工作,提高主动发现威胁风险的能力。保护工作部门、运营者应加强网络安全威胁情报体系建设,组织开展关键信息基础设施威胁情报搜集工作。保护工作部门应指导运营者建立情报分析研判机制,调动技术支持单位资源力量,培养威胁情报专业人才,围绕本行业、本领域关键信息基础设施安全保护工作,主动获取和分析挖掘威胁情报、行动性线索,及时发现对关键信息基础设施和重要网络进行攻击窃密和破坏的动向,提升威胁情报搜集和分析研判能力。保护工作部门、运营者与公安机关要建立威胁情报共享机制,充分发挥各方优势,拓宽情报来源,及时整合分析各方情报线索,提高主动发现和处置威胁风险的能力:
- 加强情报搜集,构建一体化的网络安全威胁情报共享机制,及时发现苗头动向、及时预警防范、及时追踪溯源、及时开展反制;
- 依托大数据分析技术,实现安全数据、环境数据、情报数据的关联分析,精准发现设备、系统、数据间的内在线索,挖掘大数据背后隐藏的众多网络安全事件,定位攻击源,溯源事件过程和攻击路径;
- 将网络安全与业务深度融合,化繁为简,由内向外,联动通报处置事件。
2、加强网络安全实战演习演练,检验并有力促进网络安全综合防御能力和对抗能力。
保护工作部门和运营者要针对本行业、本领域关键信息基础设施:
- 开展网络攻防演练及比武竞赛,及时发现整改网络安全深层次问题隐患,检验网络安全防护有效性和应急处置能力;
- 以攻促防,增强保护弹性和网络攻防技术对抗及谋略斗争能力;
- 平战结合,立足应对大规模网络攻击威胁,强化合成作战。
演练时,要以本行业运营者为防守方,将关键信息基础设施设为攻击目标,组建安全可靠、技术过硬的攻击队伍、应急处置队伍、技术支持队,模拟多种形式的攻击手法进行攻防演练。同时,保护工作部门和运营者要密切配合公安机关组织开展的攻防演习,不断提炼总结实战经验,促进实现网络攻防演习常态化,不断提升关键信息基础设施综合防御能力和对抗能力。一是创新完善网络攻防演习的内容和方式,构建形成多层次、体系化、常态化的演习机制,适时开展对抗演习,并在行业内部组织红蓝队伍,定期开展网络攻防对抗,提高技术对抗、智慧较量、谋略对抗能力;二是专注攻击技术研究,持续进步,在加强防护的基础上,深入收集并研究攻击者常用的工具方法,做到对内发现漏洞、补齐短板,对外展示能力、形成震慑;三是坚持练战结合,积极探索将攻防演习的手段方法应用于关键信息基础设施日常监测、通报预警,优化完善网络安全防护方法,坚持底线思维,提升安全防护能力,防范化解重大网络安全风险。 3、充分调动社会力量,共同建立关键信息基础设施综合防御体系。保护工作部门、运营者要统筹资源和力量,充分发挥行业技术支持力量、网络安全科研机构、网络安全企业等的积极性、主动性和创新性,重点参与网络安全核心技术攻关、网络安全试点示范、总体规划、安全建设方案制定等工作。公安部将充分调动社会力量,加强关键信息基础设施安全协同协作、互动互补、共治共享和群防群治,建立健全公安机关牵头、重要行业部门配合、社会力量参与的关键信息基础设施安全保护工作新局面,形成各方主体各司其职、各负其责、齐抓共管的关键信息基础设施联防联控体系。一是缩减、集中互联网出入口:各重要行业部门分支机构在设计互联网出入口时应向上或就近归集管理,减少互联网出入口数量,在互联网出入口部署安全防护设备;对采用VPN方式归集的,应落实流量控制、身份鉴别等安全措施。二是压缩网站数量,加强域名管理:梳理互联网网站,排查历史域名,及时******废弃域名,确保在线应用系统全部可管、可控。三是加强终端控制:部署终端统一管控措施,及时修补漏洞;强化用户管理,集中管控用户操作行为日志,加强特权用户设备及账号的自动发现、申领和保管。四是清理老旧资产:建立动态资产台账,掌握资产分布与归属情况;关停老旧和废弃系统,下线过期资产,清理无用账户。五是加强App管理:根据移动业务需求,厘清现有移动端App状况,按照***小化原则,归集建设与压缩;加强App和应用后端的安全检测与防护,严格控制信息外泄。一是对核心系统进行精准防护:对云平台、堡垒机、域控服务器等核心系统在主机层部署防护手段,实现主机内核加固、文件保护、登录防护、服务器漏洞修复、系统资源监控等安全防护功能。二是对网络实施精细化管控:将混杂的流量分成管理、业务、应用等维度进行管理;通过设备指纹、人机识别保障业务正常开展,精准拦截各种攻击。三是强化邮件服务器安全管控:加强邮件系统安全认证;梳理与邮件系统相关联的系统,严格控制访问策略,禁止敏感文件通过邮箱发送和存储,定期清理邮件信息。四是及时发现漏洞并修复:实时跟进漏洞预警,加强各类漏洞的检测发现、巡查修补;建立白名单访问机制,拦截超出白名单的访问行为,防范零日漏洞。一是网络分区:根据业务和安全需要、现有网络或物理地域状况等,将网络划分为不同的安全区域。二是域间隔离:根据系统功能和访问控制关系,对网络进行分区分域管理;每个区域设置独立的隔离控制手段和访问控制策略。三是纵向防护;在安全防护纵深上采用认证、加密、访问控制等技术措施,实现数据的远距离安全传输及纵向边界的安全防护,防止被层层突破、直捣核心。1、加强网络安全专门机构建设和人才培养,大力提升网络安全队伍实战能力。运营者要根据关键信息基础设施安全保护需求,在人才选拔、任用、培训方面形成有效机制,坚持培养和引进并举,加强专门机构建设和人才培养,根据实际需求,突出实战实训,建立健全教学练战一体化的网络安全教育训练体系。保护工作部门、运营者要组织行业专业力量,积极参加国家层面的“网鼎杯”等网络安全比武竞赛,并组织开展行业内部网络安全比武竞赛,以赛代练、以赛促防,不断发现、选拨、培养行业网络安全专业人才,壮大人才队伍,大力提升网络安全队伍实战能力。一是设置专门网络安全管理机构,配备专职人员,加强人才培育和教育训练,加大科技攻关和信息化手段建设;二是通过组织实战演习、举办网络安全大赛,建立特殊攻防人才的发现、选拔、使用机制;三是各重点单位与公安机关密切配合,通过培训和实战训练,大力提升关键安全岗位人员实战化能力;四是要深入开展网络安全知识技能宣传普及,提高普通人员的网络安全意识和防护技能。2、加强管理和技术创新,充分利用新技术、新手段提升网络安全综合保护能力。保护工作部门、运营者要加强信息技术创新融合发展,依托大数据、人工智能、区块链、可信计算等新技术新应用,大力开展关键信息基础设施安全保护工作,在安全产品、工具研发、渗透测试、追踪溯源、情报搜集等方面实现技术突破,通过机器学习、网络空间地理测绘等新技术新应用,综合汇聚分析各方网络安全数据资源,形成关键信息基础设施基础数据资源池。同时,依托信息化手段建设应用管理平台,强化数据信息分析处理,加强关键信息基础设施全流程管控,堵塞管理盲点漏洞,提升网络安全综合保护能力和效能。 3、加强网络安全经费保障和信息化手段建设,大力提升网络安全技术保护能力。保护工作部门、运营者要加强关键信息基础设施安全保护工作经费保障,通过现有经费渠道,保障关键信息基础设施开展等级测评、风险评估、密码应用安全性检测、演练竞赛、安全建设整改、安全保护平台建设、运行维护、监督检查、教育培训等的经费投入。运营者应保障网络安全经费足额投入,作出网络安全和信息化有关决策时应有网络安全管理机构人员参与。保护工作部门、运营者要加强信息化手段建设,开展网络安全技术产业和项目,支持网络安全技术研究开发和创新应用,推动网络安全产业健康发展。 4、加快实施安全可信工程,有效防范和化解供应链带来的网络安全风险。保护工作部门、运营者要加快推进关键信息基础设施领域安全可信工程的实施,梳理排查关键信息基础设施供应链安全风险,加强风险管控,从芯片、操作系统、数据库等基础软硬件以及防火墙、入侵检测设备等网络安全专用产品方面逐步进行安全可信升级替代,制定替代方案,从源头上解决关键信息基础设施安全隐患,有效防范和化解供应链带来的网络安全风险。
