企业Web信息发布与关键信息保护

本文首先以企业在Web信息发布时发生关键信息泄露的三个案例为基础,分析得出了七类不应在网上发布的信息。然后从信息保密方法、反情报搜集及制度建设三个方面,探讨了企业在Web信息发布中如何保护自己的关键信息。

分析国外信息基础设施关键性评价方法审视我国等级保护定级工作

文章通过分析比较关键信息基础设施保护对象与中国等级保护对象,研究国际基础设施关键性评价方法,反思中国等级保护定级理论和工作方法,提出了进一步改进等级保护定级工作对策和建议。

日本关键信息基础设施保护政策研究

通过分析日本关键信息基础设施保护基本政策,以及持续提升关键信息基础设施保护能力、建立信息共享机制、跨部门演习增强事件响应能力、推动运营者和国家两级风险管理等具体措施,总结出对我国关键信息基础设施保护工作有价值的经验,包括开展国家关键信息基础设施认定工作、建立并推进以风险管理为核心的网络安全保护理念等。

水利关键信息基础设施安全保护探索与实践

水利是国家关键信息基础设施保护的重要行业之一,因此,对其开展网络安全保护研究是十分迫切且必要的。文章阐述了水利关键信息基础设施安全保护的法律法规和标准规范要求,总结了水利行业的保护基础和面临的风险挑战。在此基础上,文章提出了以完善组织管理体系、创新安全技术体系、强化监督检查体系和规范安全运营体系为主体,提升监测预警、纵深防御、应急响应和实战对抗4项能力的水利网络安全综合防御架构。同时,文章提出了网络IPv6升级、国产密码数据保护和水利工控分区管控等关键技术路径及应用,可为行业网络安全建设提供指引和参考。

俄罗斯关键信息基础设施保护立法研究

经济模式的转变和技术结构的快速变化,更加凸显了互联网在时代前进中的核心作用和中间力量。关键信息基础设施与其他设施运行的紧密耦合导致其突破了信息安全原初的可用性、保密性和完整性,可信和可控的重要性被广泛认可。作为信息技术发展的传统大国,俄罗斯不断调整立法以适应信息技术的发展需求,降低关键信息基础设施的安全风险。在明确概念的基础上,分析俄罗斯相关立法,为我国关键信息基础设施保护立法构建提出若干建议是至关重要的。

关键信息基础设施保护水平评价指标体系研究

关键信息基础设施的安全稳定运行关系着国家安全、经济繁荣以及人民福祉,其重要性不言而喻.为了有效衡量我国关键信息基础设施的保护水平,为关键信息基础设施保护工作部门和运营者提供客观衡量标准,有必要设计一套适合我国的关键信息基础设施保护水平评价指标体系.依据我国相关政策和法律法规,总结了关键信息基础设施保护的12类重点要求,并从衡量安全保护措施的有效性和控制风险的能力出发,提出了关键信息基础设施保护水平的四级评价指标体系.在重要行业领域进行的试点结果表明,该指标体系和评价方法具有可操作性和适用性,能够反映我国关键信息基础设施保护的现实状况,并为关键信息基础设施保护工作提供参考.

关键信息基础设施安全保护运营措施分析与建议

我国在2017年6月实施的网络安全法中对关键信息基础设施提供明确法律支持,关键信息基础设施在国家层面是支撑国计民生正常运行,遭受网络攻击后可影响国家安全的设施。关键信息基础设施安全保护是对重要行业关键业务正常运行的重要支撑和保障。文章对关键信息基础设施概念、范围及认定、关键信息基础设施安全保护进行介绍,从管理的视角在科学管理、人才培养和掌握核心技术方面给出我国在关键信息基础设施保护运营措施上的优化建议,旨在提高我国对关键信息基础设施的保护能力。

《关键信息基础设施安全保护要求》标准解读

关键信息基础设施作为直接关系到国家安全、国计民生和公共利益的重要基础设施,其安全防护工作是国家网络安全工作的重中之重。《信息安全技术关键信息基础设施安全保护要求》作为关键信息基础设施安全保护的国家标准,既是规范关键信息基础设施保护工作的具体依据,也是指导开展关键信息基础设施保护工作的实施指南。通过对该标准进行解读,帮助关键信息基础设施运营者对标准的整体内容进行把握,进而全面、规范、有效地提升关键信息基础设施安全保护能力和水平[1]。

贯彻落实关键信息基础设施保护条例,构建坚实有力的广电行业关基保障体系

关键信息基础设施保护条例的颁布实施对保护好国家关键信息基础设施具有特别重要的意义。作为国家网络安全和信息化重点保障行业之一,广播电视关键信息基础设施保护工作落实到位了,国家在网络空间的主权、安全、发展利益才能得到更加有效的保障。本文结合近年来广播电视行业网络安全发展历程,从明晰权责和划分边界、制定安全规划和检查检测方法、扩展监测范围等视角阐述了构建坚实有力的广电行业关基保障体系的科学方法,对行业关键信息基础设施保护工作具有较强的指导作用。

ISO/IEC 27032:2012视角下的关键信息基础设施保护

关键信息基础设施保护是我国国家安全的重要组成部分,在我国相关文件和ISO/IEC27032:2012中均有对关键信息基础设施保护的定义。对比后发现,ISO/IEC 27032:2012定义中特别强调了关键信息基础设施保护必须承担四大安全领域的风险,即"信息安全"(Information Security)、"网络安全"(Network Security)、"因特网安全"(Internet Security)和"网络空间安全"(Cybersecurity)。同时对四大安全的定义、交集和区别做了相应介绍。查阅我国现有文件的英译本,对比后不难发现,我国正处于概念混乱状态。在明确各词汇定义的基础上,将关键信息基础设施保护与四大安全联系起来,确定了以ISO/IEC 27032:2012作为逻辑起点后,本文借鉴美国对关键信息基础设施保护的相关制度亮点,提出完善我国保护机制的两点建议。

贯彻落实关键信息基础设施安全保护条例,促进广播电视网络安全高质量创新发展

广播电视作为党和国家宣传思想主阵地,是国家关键信息基础设施的重要组成部分。本文对照关键信息基础设施保护条例,从保护工作部门和运营者的角度,分别梳理其所承担的关键信息基础设施保护责任和权利,为关键信息基础设施安全保护条例在广播电视行业的有效落地和贯彻落实指明了方法路线,对广播电视网络安全的高质量创新发展具有科学的指导作用。

“2019中国网络安全等级保护和关键信息基础设施保护大会”在无锡成功举办

2019年10月29日,由公安部网络安全保卫局指导,公安部第三研究所、江苏省公安厅、无锡市公安局共同主办的“2019中国网络安全等级保护和关键信息基础设施保护大会”在无锡成功举办。

金融关键信息基础设施安全治理实践探讨

从安全治理的角度讨论了金融关键信息基础设施保护的实践。首先,界定了金融关键信息基础设施保护所包括的内容,区分了不同的关键信息基础设施保护;然后,分析了关键信息基础设施保护在网络安全中的重要作用,尤其是对于高度数字化/信息化的金融行业;最后,从“良好实践”的角度探讨了金融关键信息基础设施保护的两个层次。同时,也对“治理”和“管理”异同之处进行了初步的探讨,这也是强调治理重要性的原因所在。

关键信息基础设施安全检测评估方法研究

关键信息基础设施安全检测评估工作依据国家关键信息基础设施安全保护领域法律法规和标准开展。主要参照GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》,在《信息安全技术关键信息基础设施安全测评要求(征求意见稿)》的基础上提出了较为完善的关键信息基础设施安全检测评估方法。通过单元测评、安全验证、关联测评等环节,进行整体评估,协助发现关键信息基础设施可能存在的网络安全问题和隐患,提升关键信息基础设施安全防护水平。

基于OT技术视角的新型数据中心关键信息基础设施保护体系构建

新型数据中心的运维网络及OT(Operation Technology)基础设施,作为数据中心关键信息基础设施的重要支撑,在建设过程中由于缺乏相应的安全防护设计,在数据采集层、网络层、应用层均存在安全风险,运维网络一旦遭受攻击可能导致数据中心物理基础设施设备故障、系统损坏,并可能引发数据中心运维重要信息泄露等安全问题。本文基于OT技术视角探讨作为关键信息基础设施的新型数据中心安全保护体系构建策略。

浅谈工业企业工业数据安全保护建议

工业数据作为我国制造业数字化、网络化、智能化发展的基础性战略资源,对制造业生产方式、运行模式、生态体系有着重大而深远的影响,工业控制系统作为我国关键信息基础设施重要的组成部分,工业数据安全保护对于工业控制系统安全保护的作用不容忽视,本文旨在以我国工业领域数据安全保护相关法律法规、国家标准和政策文件为指导,通过对工业企业当前在工业数据安全保护方面存在的各类突出问题进行梳理分析,针对性地提出对应的工业数据安全保护建议,助力于加强我国工业数据安全、工业控制系统安全、关键信息基础设施安全保护。

关基保护时代的工控安全技术趋势探讨

近年来,国际地缘政治冲突加剧,大大增加了关键信息基础设施的网络安全风险。关键信息基础设施安全保护的总体要求,是能够对抗敌对国家网络部队的攻击。关键信息基础设施中涉及大量的工业控制系统,但目前的工业控制系统网络安全技术水平尚不能满足需求。本文从震网(Stuxnet)病毒事件和Solarwinds攻击事件两个典型的网络战的案例入手,分析了关键信息基础设施安全保护对工业控制系统网络安全技术的具体要求,并根据这些要求,指出在工控关基保护工作中需要警惕的4个误区,提出了工业控制系统网络安全技术应该重点发力工控网络检测与响应、工控端点检测与响应、工控网络欺骗技术等5个方向。

关键之年开启新征程,共建网络强国新篇章

2021年是“十四五”规划和第二个百年奋斗目标的开局之年,是党和国家历史上具有里程碑意义的一年。一年来,全党全国坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,党和国家各项事业取得新的重大成就,“十四五”实现良好开局。这一年,我国完善了网络安全的顶层设计。“十四五”规划和2035年远景目标纲要共提及“网络安全”14次,纲要确定网络安全产业将进一步“培养壮大”,并强调要健全国家网络安全法律法规和制度标准、建立健全关键信息基础设施保护体系、加强网络安全风险评估和审查、加强网络安全宣传教育和人才培养等。

关于我国关键信息基础设施保护制度实施的思考建议

关键信息基础设施保护议题已成为各国网络安全法治的核心,以美国为代表的域外制度设计包括五个方面:建立政府和行业之间的协作机制;制订国家级保护计划;设立信息共享和分析中心;评估漏洞风险和确定优先防护措施;制订网络安全框架。借鉴域外法治经验,对落实我国关键信息基础设施保护制度提出如下建议:一是从国家安全高度把握关键信息基础设施的界定;二是进一步理清关键信息基础设施保护的领导体制;三是处理好关键信息基础设施保护和网络安全等级保护的关系;四是进一步细化关键信息基础设施的特别保护义务;五是坚持安全与发展并重,构建政府和企业的协作机制。

工商银行关键信息基础设施保护研究与实践

信息技术发展为商业银行推动转型升级的同时,相应地也带来了内外部的安全风险挑战。本文以中国工商银行为例,立足于当前全球信息泄露风险高发的背景,从顶层设计、安全运营、技术防护等方面论述了工商银行在关键信息基础设施保护方面的具体实践做法。