基于元网络分析的军工关键信息基础设施风险评估模型研究

基于元网络方法构建了军工关键信息基础设施风险评估框架,对现实的案例进行分析,对实际建设项目的取证建设时期进行分类,利用相关数据模型对项目进行评估,分析项目建设过程中存在的风险。使用元网络分析风险评估模型对军工关键信息基础设施进行研究,结果表明,组织机构建设指标、事件处置指标、预防项目推进进度指标、基础设施数据泄露指标、基础设施建设分工指标、协议过程指标等风险因素的风险水平传递程度较高,对项目目标实现影响较大。

司法领域关键信息基础设施安全保护问题研究

信息化浪潮下关键信息基础设施逐渐成为国家战略与社会生活中的重要支柱,其安全保护需求迫在眉睫。大量司法数据存储于司法领域关键信息基础设施中,一旦泄露,会对国家安全、社会稳定和公民隐私产生重要影响。然而,我国对司法领域关键信息基础设施侧重技术保护,忽略法律保护,有必要对此加以完善。当前,司法领域关键信息基础设施建设已具备一定的实践基础,综合考虑其安全保护的必要性和可行性,在推行司法体制改革和司法辅助事务外包的背景下,应当关注司法系统的内部和外部风险,同时防范司法辅助职能外包过程中的风险。在完善司法领域关键信息基础设施过程中,可以采取内外并行的治理思路,既坚持内部监督也进行外部监管,既规范司法机关的关键信息基础设施安全,也规制科技外包企业的数据安全。

核电关键信息基础设施安全保护制度建设探索

随着《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》等法律法规的颁布,2021年9月1日《关键信息基础设施安全保护条例》正式生效,这一条例的实施是关键信息基础设施安全保护领域迈出的重要一步,为强化关键信息基础设施的安全保护提供了制度支持,也彰显了关键信息基础设施安全保护领域的法律法规层面日趋成熟,核电企业应针对法律、标准中提到的安全技术、安全管理要求展开切实可行的工作,以确保核电企业关键信息基础设施网络的安全保护。本文基于在关键信息基础设施安全保护管理方面的实际经验,对核电企业在建设关键信息基础设施安全保护制度方面进行了深入思考与研究,总结和提出了制定关键信息基础设施安全保护管理程序的相关建议。

交通运输部公布《铁路关键信息基础设施安全保护管理办法》

近日,交通运输部公布《铁路关键信息基础设施安全保护管理办法》(中华人民共和国交通运输部令2023年第20号,以下简称《办法》),自2024年2月1日起施行。铁路关键信息基础设施,是指在铁路领域,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。

基于IPDRR安全框架的智慧机场关键信息基础设施网络安全建设项目

随着民航行业快速发展,我国智慧机场建设规模不断扩大,然而,大数据、人工智能、物联网、云计算等新一代信息技术的应用,在提升智慧机场信息化水平的同时,也给机场信息系统带来了一系列安全威胁,为“智慧机场”信息系统的正常运行及业务顺利开展埋下安全隐患。本文结合民航机场生产网业务场景的网络安全防护需求,应用“以白名单为主要防护措施,以黑名单为辅助验证手段”的技术路线,构建基于IPDRR安全框架的“智慧机场”综合防御体系,形成全方位、多层次、动态闭环的深度防护能力。

关键信息基础设施内网网络安全渗透测试技术研究

文中分析了关键信息基础设施的网络安全现状,梳理了关键信息基础设施存在的网络安全问题。随后,研究了关键信息基础设施内网网络安全渗透测试技术,提出了网络安全渗透测试的具体流程,并设计了一种简易的自动化渗透测试平台模型。

关键信息基础设施安全检测评估方法研究

关键信息基础设施安全检测评估工作依据国家关键信息基础设施安全保护领域法律法规和标准开展。主要参照GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》,在《信息安全技术关键信息基础设施安全测评要求(征求意见稿)》的基础上提出了较为完善的关键信息基础设施安全检测评估方法。通过单元测评、安全验证、关联测评等环节,进行整体评估,协助发现关键信息基础设施可能存在的网络安全问题和隐患,提升关键信息基础设施安全防护水平。

水利关键信息基础设施安全保护探索与实践

水利是国家关键信息基础设施保护的重要行业之一,因此,对其开展网络安全保护研究是十分迫切且必要的。文章阐述了水利关键信息基础设施安全保护的法律法规和标准规范要求,总结了水利行业的保护基础和面临的风险挑战。在此基础上,文章提出了以完善组织管理体系、创新安全技术体系、强化监督检查体系和规范安全运营体系为主体,提升监测预警、纵深防御、应急响应和实战对抗4项能力的水利网络安全综合防御架构。同时,文章提出了网络IPv6升级、国产密码数据保护和水利工控分区管控等关键技术路径及应用,可为行业网络安全建设提供指引和参考。

关键信息基础设施安全标准体系化建设进展

《关键信息基础设施安全保护条例》已正式发布并实施两周年,根据该条例第三十条的要求,国家制定和完善关键信息基础设施安全标准,指导和规范关键信息基础设施安全保护工作。全国信息安全标准化技术委员会(TC260)在相关部门的指导下,组织产学研用单位共同研究关键信息基础设施安全标准体系,编制关键信息基础设施安全的重点标准,体系化推进关键信息基础设施安全标准制定,为国家、行业、运营者、网络安全服务机构等多方从标准化维度提供关键信息基础设施安全保护支撑,提升了我国关键信息基础设施安全防护能力。

加强关键信息基础设施网络安全协同防护,健全网络安全保障体系

金融、能源、电力、通信等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。以网络化、数字化、智能化为代表的新一代的信息技术在经济社会领域的深化应用,政务、金融、能源、交通等重要行业的关键信息基础设施面临安全边界打破、暴露面增多、漏洞防护薄弱等现实问题,数字世界和物理世界呈现交织融合与扩散蔓延的趋势。面对日益复杂化的网络安全形势,要坚持系统观念,加强整体评估、态势感知、协同防护,提升工作实践、风险管控、场景能力,持续健全关键信息基础设施的网络安全保障体系。

电子政务外网中关键信息基础设施安全保护机制研究

近年来,全球关键信息基础设施的攻击事件急剧增加,安全威胁日益严峻。我国作为面临网络威胁最严重的国家之一,关键信息基础设施的安全对于国家发展大局,对维护国家安全、经济发展和社会稳定具有重要意义。党的十八大以来,以习近平同志为核心的党中央高度重视网络安全和信息化工作,为贯彻落实习近平总书记关于“筑牢网络安全防线,提高网络安全保障能力,强化关键信息基础设施防护”的重要指示精神,进一步推动关键信息基础设施安全保障体系的建设,《关键信息基础设施安全保护条例》(以下简称《条例》)于2021年9月1日正式实施。

推进关键信息基础设施安全保护 筑牢首都网络空间安全防线

目前,网络空间安全已成为继海、陆、空、天之后的第五大主权领域空间,网络空间安全不仅事关经济安全与社会稳定,也是国际竞争与政治博弈的关键领域,与其他领土主权一样,保障网络空间安全就是保障国家安全。关键信息基础设施作为网络空间的“神经中枢”,其功能稳定与服务持续是维护国家安全和社会稳定的关键所在。为全面保障关键信息基础设施安全,明确关键信息基础设施(简称“关基”)安全保护的具体要求,2021年9月1日,《关键信息基础设施安全保护条例》(简称《条例》)正式实施。

数字经济关键信息基础设施安全保护义务:治理体系与改革建议

以《关键信息基础设施安全保护条例》为切入点,梳理分析运营者履行安全保护义务的主要环节与具体内容,评述现有治理体系的进步与不足,提出运营者应树立弹性安全的网络安全治理观念、完善网络安全信息共享制度、优化建立全生命周期的供应链安全管理体系的改革建议。

关注关键信息基础设施安全 麒麟软件安全可信立根基

2022年,全球重大网络安全事件频发,关键基础设施攻击、大规模数据泄露、地缘政治相关黑客攻击等网络犯罪威胁持续上升,对国家安全造成严重威胁。2022年9月,国家计算机病毒应急处理中心和360联合发布了关于西北工业大学遭受境外网络攻击的调查报告。调查发现,不仅对西北工业大学,美国国家安全局(NSA)下属的特定入侵行动办公室(TAO)近年来对中国国内的网络目标实施了上万次的恶意网络攻击,控制了数以万计的网络设备。

《关键信息基础设施安全保护要求》标准解读

关键信息基础设施作为直接关系到国家安全、国计民生和公共利益的重要基础设施,其安全防护工作是国家网络安全工作的重中之重。《信息安全技术关键信息基础设施安全保护要求》作为关键信息基础设施安全保护的国家标准,既是规范关键信息基础设施保护工作的具体依据,也是指导开展关键信息基础设施保护工作的实施指南。通过对该标准进行解读,帮助关键信息基础设施运营者对标准的整体内容进行把握,进而全面、规范、有效地提升关键信息基础设施安全保护能力和水平[1]。

石油行业关键信息基础设施安全保护问题与对策研究

2021年4月,国务院第133次常务会议通过《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。两年来,在《网络安全法》及《条例》等法律法规的指引下,关键信息基础设施(以下简称“关基”)保护进入新的阶段。保护工作部门和行业企业对于关基的认定规则进行了卓有成效的研究,形成了行业领域的关基认定规则,可操作性进一步提高。

中国民航业关键信息基础设施安全保护工作开展情况综述

关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。民航业是《网络安全法》明确规定的重要行业和领域之一,一旦民航业遭到破坏、丧失功能或数据泄露,可能会严重危害国家安全、国计民生以及公共利益。相较于其他交通运输行业,中国民航业的信息化起步较早,国际化运营要求也更高,这为行业的网络安全工作带来了更大的挑战。

基于关键信息基础设施安全保护要求的风险管控研究

为提升铁路关键信息基础设施综合防护水平,文章设计基于关键信息基础设施安全保护要求的风险管控流程,从风险识别与分析、技术安全保护、管理安全保护、预警处置等角度,提出关键信息基础设施的信息安全风险管控方法,并给出风险报告示例。研究结果可为铁路有关单位开展安全保护工作提供参考,为进一步完善我国关键信息基础设施安全防护工作提供支撑。

基于渗流理论的关键信息基础设施网络资产重要性评估方法

对关键信息基础设施网络资产重要度的评估是目前国家重点关注方向。针对当前网络资产重要性评估忽略业务链进而影响结果准确性和有效性的问题,本文基于网络业务供需关系构建“信息-物理-用户”3层耦合网络,提出一种基于网络渗流理论的资产重要性评估方法:在构建的耦合模型上应用改进的网络渗流理论,并结合节点渗流概率及节点的资源输送能力损失描述失效在网络中的传播,然后综合节点失效前后网络最大业务交付负载变化率与用户影响等级双重指标来区分节点的不同影响力。最后以电力行业为背景进行仿真实验,结果表明,本文方法具有较高的准确性,为网络资产的重要性评估提供了理论依据。

关键信息基础设施网络安全人员标准化队伍建设

近年来,网络技术已渗透到人们日常生活的方方面面,网络空间安全问题也随之暴露。关键信息基础设施作为网络服务的支撑系统,存储并传输着大量数据,其安全问题是网络安全的关键节点之一,尤其是随着GB/T 39204-2022《信息安全技术关键信息基础设施安全保护要求》标准的发布,我国对实施关键信息基础设施保护在安全防控体系、数据管控等方面提出了全新要求。本文立足国内外关键信息基础设施的相关标准,对当前国内关键信息基础设施专业人员队伍建设的现状进行分析,找出不足并提出相关优化建议,助力我国关键信息基础设施网络安全人员标准化队伍建设。