《信息安全技术 关键信息基础设施安全保护要求》(以下简称《安全保护要求》)将于2023年5月1日实施,为运营者开展关键信息基础设施保护工作需求提供强有力的标准保障。
近日,北京电视台对该标准实施的背景、影响做了报道,并采访了中国网络空间安全协会常务理事、知道创宇创始人&CEO赵伟,赵伟分享了应对新威胁的防御之道。
《安全保护要求》提出三项基本原则
赵伟提出以实战、动态防御应对
《安全保护要求》作为《关键信息基础设施安全保护条例》发布一年后的首个标准,提出关键信息基础设施安全保护应遵循三个基本原则,以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防。
《安全保护要求》从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求。
赵伟表示:“标准是基于实战的防御要求,需要对防御目标识别出所有关键的信息系统,我们要从联防联控的角度思考整个实战防御。同时要根据攻击者的变化来变化,也就是所谓的动态防御。”
新标准提出新要求
安全厂商需增强实战能力
北京大学教授、北京大学网络与信息安全实验室主任陈钟指出:“信息系统发展到云时代,无论是国际和国内的安全形势也有日益的加剧。因此,在我们未来信息化发展的征程上要有进一步的部署,包括法律法规的完善。”
相比之前的监管要求,《关基安全保护要求》在以下几个方面有所不同:
| /
★
在安全管理机构方面,新增了成立网络安全工作委员会或领导小组,并明确提出了将领导班子成员作为首席网络安全官的要求;
| /
★
在应急演练方面,进行了细化完善,明确了每年至少组织开展1次本组织的应急演练;
| /
★
在产品服务采购方面进行了补充和扩展,例如,建立和维护合格供应方目录、强化采购渠道管理、获得提供者对网络产品和服务的10年以上知识产权授权、自行或委托第三方对定制开发的软件进行源代码安全检测;
| /
★
在安全计算环境方面,明确提出了应使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。
威胁的升级、标准的落地,对于安全厂商也提出了新要求。
对于安全厂商来说,需要在等保合规的基础上进一步构建安全厂商能力,从实战能力出发做好安全建设,为关键信息基础设施的安全提供全面的、高效的保障。
知道创宇关基保护方案
为客户打造实战化防御体系
知道创宇有丰富的关键信息基础设施保护经验,已为国内党政机关、国家部委、大型央企、头部互联网等数十万信息系统和内部网络提供实战化安全防护保障,十余年无事故。
在《安全保护要求》实施之际,知道创宇即将于5月9日线上直播推出关基保护方案,请大家敬请期待!
面对新问题,新威胁,知道创宇以新技术应对。基于“实战技术对抗”的总体思想,围绕“资产+漏洞” 核心要素,构建向前防御、持续交火、基于情报的联防联控三大能力体系。
知道创宇为某大型央企集团提供防护,覆盖了该集团全球上千业务系统,为集团10多万员工实现实名入网统一治理,保障该集团海外平台线路安全通畅,并使该集团攻防演练排名常年保持央企前列,获得客户好评。
未来,知道创宇将紧跟国家战略方向,不断提升网络安全关键能力,坚守网络对抗一线,培养网安实战人才,为关键信息基础设施等国家的重要系统保驾护航,为人民的生活安定坚守一线!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...