美国《国家基础设施保护计划》2013更新版解读

2013年,根据美国第21号总统令《关键基础设施安全和韧性》的要求,美国土安全部再次更新《国家基础设施保护计划》(NIPP)。美国自2006年提出NIPP以来,国土安全部积极协调和领导美国的关键基础设施保护工作,鼓励和支持关键行业制定行业保护计划,推动和实施政企合作保护举措,努力实现“建设一个更加安全、更加可靠和更有韧性的美国”的目标。此次更新版《国家基础设施保护计划》(以下简称NIPP2013)吸取了以往关键基础设施保护实践中的经验教训,关注关键基础设施在风险、政策和运营环境上的重大演变,更加强调风险管理和公私合作,更加注重信息共享和资源分配,明确呼吁保护行动的落地实施,为持续支撑美国关键基础设施保护发挥了重要指导作用。

美国关键基础设施保护立法、政策现状评析及发展趋势

美国对关键基础设施安全的关注由来已久。20世纪90年代,62、63号总统行政令的颁布奠定了美国关键基础设施立法、政策保护体系的基础。"9·11"事件后,美国先后出台多部法律、国家战略、行政命令以完善关键基础设施的法律政策保障制度,逐步形成了体系完善、权责统一、层次分明的关键基础设施保障制度。关键基础设施保护概念日渐明确、保护机构间的分工更加合理、保护框架趋于完善成为这一时期美国关键基础设施保护立法、政策保护体系的突出特点。

日本关键信息基础设施保护政策研究

通过分析日本关键信息基础设施保护基本政策,以及持续提升关键信息基础设施保护能力、建立信息共享机制、跨部门演习增强事件响应能力、推动运营者和国家两级风险管理等具体措施,总结出对我国关键信息基础设施保护工作有价值的经验,包括开展国家关键信息基础设施认定工作、建立并推进以风险管理为核心的网络安全保护理念等。

我国关键基础设施保护立法定位与内容的思考

关键基础设施信息安全保护是保障国家安全、社会正常运转以及实现公民生存权和发展权的基本前提.提出关键基础设施的基本概念、认定标准,试图阐明关键基础设施保护立法与《国家安全法》、《网络安全法(草案)》、等级保护制度之间的关系,并提出了关键基础设施立法的法律定位——安全保障法.我国关键基础设施保护立法应以信息安全保障为重心,在立法内容的设定上即应着眼于对关键基础设施信息安全风险的预防与控制,还应提升对关键基础设施信息安全的技术保障能力、组织保障能力、执法保障能力,加强关键基础设施保护的国际合作.

欧盟关键基础设施保护法律、政策保障制度现状及评析

保障关键基础设施的安全对于整个社会的运转具有至关重要的意义。欧盟较早意识到保护关键基础设施安全的重要性,并颁布了一系列法律、政策,并逐步形成一整套相对完善和较为成熟的关键基础设施法律保障体系。国际局势的不断变化,对关键基础设施保护的迫切需求,使得欧盟加快了完善关键基础设施法律体系、构建政策保障制度的进程,对欧盟关键基础设施保障体系的分析可以给我国建立起完善的关键基础设施保护制度提供参考。

关键信息基础设施保护水平评价指标体系研究

关键信息基础设施的安全稳定运行关系着国家安全、经济繁荣以及人民福祉,其重要性不言而喻.为了有效衡量我国关键信息基础设施的保护水平,为关键信息基础设施保护工作部门和运营者提供客观衡量标准,有必要设计一套适合我国的关键信息基础设施保护水平评价指标体系.依据我国相关政策和法律法规,总结了关键信息基础设施保护的12类重点要求,并从衡量安全保护措施的有效性和控制风险的能力出发,提出了关键信息基础设施保护水平的四级评价指标体系.在重要行业领域进行的试点结果表明,该指标体系和评价方法具有可操作性和适用性,能够反映我国关键信息基础设施保护的现实状况,并为关键信息基础设施保护工作提供参考.

俄罗斯关键信息基础设施保护立法研究

经济模式的转变和技术结构的快速变化,更加凸显了互联网在时代前进中的核心作用和中间力量。关键信息基础设施与其他设施运行的紧密耦合导致其突破了信息安全原初的可用性、保密性和完整性,可信和可控的重要性被广泛认可。作为信息技术发展的传统大国,俄罗斯不断调整立法以适应信息技术的发展需求,降低关键信息基础设施的安全风险。在明确概念的基础上,分析俄罗斯相关立法,为我国关键信息基础设施保护立法构建提出若干建议是至关重要的。

贯彻落实关键信息基础设施保护条例,构建坚实有力的广电行业关基保障体系

关键信息基础设施保护条例的颁布实施对保护好国家关键信息基础设施具有特别重要的意义。作为国家网络安全和信息化重点保障行业之一,广播电视关键信息基础设施保护工作落实到位了,国家在网络空间的主权、安全、发展利益才能得到更加有效的保障。本文结合近年来广播电视行业网络安全发展历程,从明晰权责和划分边界、制定安全规划和检查检测方法、扩展监测范围等视角阐述了构建坚实有力的广电行业关基保障体系的科学方法,对行业关键信息基础设施保护工作具有较强的指导作用。

美国关键基础设施保护时代开启--第13010号行政令《关键基础设施保护》解读

环顾全球,网络安全形势仍十分严峻,各国在网络空间展开激烈博弈。关键信息基础设施是我国经济社会运行的神经中枢,发挥着基础性、全局性、支撑性作用,因此保护好关键信息基础设施是网络安全的重中之重。网络安全是开放的而不是封闭的,维护关键信息基础设施网络安全要有全球视野和开放心态,因此有必要关注其他国家的做法。美国全面加强关键基础设施保护安全工作已有二十五年的历史,是值得我们关注的重点对象。

ISO/IEC 27032:2012视角下的关键信息基础设施保护

关键信息基础设施保护是我国国家安全的重要组成部分,在我国相关文件和ISO/IEC27032:2012中均有对关键信息基础设施保护的定义。对比后发现,ISO/IEC 27032:2012定义中特别强调了关键信息基础设施保护必须承担四大安全领域的风险,即"信息安全"(Information Security)、"网络安全"(Network Security)、"因特网安全"(Internet Security)和"网络空间安全"(Cybersecurity)。同时对四大安全的定义、交集和区别做了相应介绍。查阅我国现有文件的英译本,对比后不难发现,我国正处于概念混乱状态。在明确各词汇定义的基础上,将关键信息基础设施保护与四大安全联系起来,确定了以ISO/IEC 27032:2012作为逻辑起点后,本文借鉴美国对关键信息基础设施保护的相关制度亮点,提出完善我国保护机制的两点建议。

美国二十五年来关键基础设施保护政策演进研究

没有网络安全,就没有国家安全。环顾全球,网络安全形势仍十分严峻,各国在网络空间展开激烈博弈。关键信息基础设施是我国经济社会运行的神经中枢,发挥着基础性、全局性、支撑性作用,因此保护好关键信息基础设施是网络安全的重中之重。

“2019中国网络安全等级保护和关键信息基础设施保护大会”在无锡成功举办

2019年10月29日,由公安部网络安全保卫局指导,公安部第三研究所、江苏省公安厅、无锡市公安局共同主办的“2019中国网络安全等级保护和关键信息基础设施保护大会”在无锡成功举办。

GAO《关键基础设施保护：采取措施应对电网面临的重大网络安全风险》报告解读

0引言2019年8月,美国政府问责署(GAO:Government Accountability Office)发布《关键基础设施保护:采取措施应对电网面临的重大网络安全风险》(《CRITICAL INFRASTRUCTURE PROTECTION:Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid》)报告。该报告对美国电网面临的网络安全风险和挑战进行了分析,描述了联邦机构应对电网网络安全风险所采取的措施,同时指出,能源部应对电网网络安全风险和挑战的战略并不充分,能源监管委员会批准的标准也并未能完全解决电网面临的网络安全威胁,最后对政府相关部门提出了建议。

首提关键基础设施保护工作组织架构——美国《关键基础设施保护》文件解读

1997年7月,美国关键基础设施保护委员会发布《保护美国基础设施》报告,为美国政府关键基础设施保护提供了全面建议。基于委员会的报告,1998年5月22日,美国总统克林顿颁布第63号总统令《关键基础设施保护》(以下简称“63号令”),提出了关键基础设施保护工作的组织架构,成立国家基础设施保护委员会、关键基础设施协调组、国家基础设施保护中心、信息共享和分析中心等机构。

美国关键基础设施保护方向指引——1997年《保护美国基础设施》报告解读

环顾全球,网络安全形势仍十分严峻,各国在网络空间展开激烈博弈。关键信息基础设施是我国经济社会运行的神经中枢,发挥着基础性、全局性、支撑性作用,因此保护好关键信息基础设施是网络安全的重中之重。网络安全是开放的而不是封闭的,维护关键信息基础设施网络安全要有全球视野和开放心态,因此有必要关注其他国家的做法。

基于OT技术视角的新型数据中心关键信息基础设施保护体系构建

新型数据中心的运维网络及OT(Operation Technology)基础设施,作为数据中心关键信息基础设施的重要支撑,在建设过程中由于缺乏相应的安全防护设计,在数据采集层、网络层、应用层均存在安全风险,运维网络一旦遭受攻击可能导致数据中心物理基础设施设备故障、系统损坏,并可能引发数据中心运维重要信息泄露等安全问题。本文基于OT技术视角探讨作为关键信息基础设施的新型数据中心安全保护体系构建策略。

水利关键信息基础设施安全保护探索与实践

水利是国家关键信息基础设施保护的重要行业之一,因此,对其开展网络安全保护研究是十分迫切且必要的。文章阐述了水利关键信息基础设施安全保护的法律法规和标准规范要求,总结了水利行业的保护基础和面临的风险挑战。在此基础上,文章提出了以完善组织管理体系、创新安全技术体系、强化监督检查体系和规范安全运营体系为主体,提升监测预警、纵深防御、应急响应和实战对抗4项能力的水利网络安全综合防御架构。同时,文章提出了网络IPv6升级、国产密码数据保护和水利工控分区管控等关键技术路径及应用,可为行业网络安全建设提供指引和参考。

《关键信息基础设施安全保护要求》标准解读

关键信息基础设施作为直接关系到国家安全、国计民生和公共利益的重要基础设施,其安全防护工作是国家网络安全工作的重中之重。《信息安全技术关键信息基础设施安全保护要求》作为关键信息基础设施安全保护的国家标准,既是规范关键信息基础设施保护工作的具体依据,也是指导开展关键信息基础设施保护工作的实施指南。通过对该标准进行解读,帮助关键信息基础设施运营者对标准的整体内容进行把握,进而全面、规范、有效地提升关键信息基础设施安全保护能力和水平[1]。

分析国外信息基础设施关键性评价方法审视我国等级保护定级工作

文章通过分析比较关键信息基础设施保护对象与中国等级保护对象,研究国际基础设施关键性评价方法,反思中国等级保护定级理论和工作方法,提出了进一步改进等级保护定级工作对策和建议。

关于我国关键信息基础设施保护制度实施的思考建议

关键信息基础设施保护议题已成为各国网络安全法治的核心,以美国为代表的域外制度设计包括五个方面:建立政府和行业之间的协作机制;制订国家级保护计划;设立信息共享和分析中心;评估漏洞风险和确定优先防护措施;制订网络安全框架。借鉴域外法治经验,对落实我国关键信息基础设施保护制度提出如下建议:一是从国家安全高度把握关键信息基础设施的界定;二是进一步理清关键信息基础设施保护的领导体制;三是处理好关键信息基础设施保护和网络安全等级保护的关系;四是进一步细化关键信息基础设施的特别保护义务;五是坚持安全与发展并重,构建政府和企业的协作机制。