一、关键信息基础设施需要加强保护
在国内,2021年国家互联网信息办公室通告,启动网络安全审查一批涉及公共信息服务、交通、等重要重要行业和领域的APP,这些APP的业务信息系统属于关键信息基础设施的范畴。就目前相关政策来看,国内对关键信息基础设施的保护越来越重视,已经针对关键信息基础设施颁布了一系列政策措施。
《网络安全法》首次在我国法律层面明确关键信息基础设施的概念,并对关键信息基础设施安全防护提出专门要求。《关键信息基础设施安全保护条例》则聚焦关键信息基础设施安全,建立专门保护制度,明确关键信息基础设施的认定原则和程序,压实关键信息基础设施运营者的义务和责任。
近年来,我国面临国际上有组织、高烈度的网络对抗,甚至面临来自国际上的网络攻击威胁。我们必须谨慎对待、提高警惕,在做好各项应急准备的同时,重点加强关键信息基础设施的保护。
二、关键信息基础设施划定
1、什么是关键信息基础设施:
是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2、关键信息基础设施认定条件:
据《关键信息基础设施安全保护条例》规定,主要考虑三个方面的因素:一是网络设施、信息系统等对本行业、本领域关键核心业务起到基础支撑作用。二是网络设施、信息系统等一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。三是对其他行业和领域具有重要关联性影响。
- 网站类:符合以下条件之一的,可认定为关键信息基础设施:
(1)县级(含)以上党政机关网站;
(2)重点新闻网站或者日均访问超过100万人次的网站等。
- 平台类:符合以下条件之一的,可认定为关键信息基础设施:
(1)注册用户数超过1000万,或活跃用户(每日至少登陆一次)数超过100万;
(2)日均成交订单额或交易额超过1000万元等。
- 生产业务类:符合以下条件之一的,可认定为关键信息基础设施:
(1)地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统;
(2)规模超过3000个标准机架的数据中心等。
三、关键信息基础设施怎么保护?
根据《关键信息基础设施安全保护条例》,对运营者建立健全网络安全保护制度和责任制,对关键信息基础设施安全保护,以及重大网络安全事件具备完善的处置能力,提出了更高要求。
- 分析识别:运营者按照相关规定开展关键信息基础设施分析和识别活动,围绕关键信息基础设施承载的关键业务,开展业务依赖性识别、关键资产识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警、事件处置等环节工作的基础;
- 安全防护:运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查;
- 检测评估:为检验安全防护措施的有效性,发现网络安全风险隐患,运营者制定相应的检测评估制度,确定检测评估的流程及内容等要素,并分析潜在安全风险可能引起的安全事件;
- 监测预警:制定并实施网络安全监测预警和信息通报制度,针对即将发生或正在发生的网络安全事件或威胁,提前或及时发出安全警示。
- 技术对抗:以对攻击行为的监测发现为基础,主动采取诱捕、溯源、干扰和阻断等措施,提升对网络威胁与攻击行为的认知和攻防对抗能力。
- 事件处置:对网络安全事件进行报告和处置,并根据检测评估、监测预警环节发现的问题,运营者制定并实施适当的应对措施,恢复由于网络安全事件而受损的功能或服务。
四、关键信息基础设施需要哪些安全防护?
1、安全通信网络的互联安全:
关键信息基础设施通常可能承载多个业务系统(包括同一系统的不同安全域或VPC),各系统等级不同,但业务需要互访,这种情况下需要对系统与系统间的访问策略进行限制,同时加强身份管理(例如准入系统)和密钥管理。等保2.0对四级系统要求远程通信必须开启双向认证,关保也同样强调使用密码技术(国密算法为主,国际加密算法为辅)进行双向认证。
沃通CA提供国密SSL证书,首推“SM2/RSA双证书”部署模式,在国密SSL支持模块或国密SSL网关上部署SM2/RSA双SSL证书,遵循国家标准技术规范并参考国际标准支持SM2/SM3/SM4国产密码算法和国密安全协议,满足政企国产/国密SSL证书应用需求。
2、网络安全检测和风险评估:
根据《关键信息基础设施安全保护条例》中第十七条:运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估;《商用密码应用安全性评估管理办法(试行)》中第二章第十条:关键信息基础设施、网络安全等级保护第三级及以上信息系统,每年至少一次密评。
沃通CA提供一站式、全流程密码测评整改解决方案,帮助政企客户高效有序地完成测评整改工作,满足业务应用安全需求并符合法规政策要求。
关保安全防护环节标准框架图(图片来源互联网,侵删)
五、国密SSL证书专区
沃通是工信部许可的权威CA机构,沃通WoSign SSL证书上线阿里云平台以来,成为阿里云平台热销的国产品牌证书,目前可在阿里云“云盾证书服务”直接选购WoSign SSL证书。WoSign DV单域名、WoSign DV通配符,都可以支持签发 国密算法 或 RSA算法。阿里云选购国密SSL证书 >>
六、如何申请国密SSL证书
下单购买SSL证书实例后,在SSL证书控制台点击“证书申请”,在申请流程中,选择证书的密码算法,即可申请签发SM2国密SSL证书。详见《阿里云如何申请申请国密SSL证书》
七、沃通国密SSL证书优势
满足国密合规
符合国家标准规范,满足“网络和通信的安全”的密码应用要求,在等保、关保、密评等项目中实现密码合规。
双证书部署全球信任
沃通首推“SM2/RSA双证书”部署方案,解决国密HTTPS站点兼容性问题,支持各类浏览器和移动端。
兼容国密浏览器
兼容360浏览器、沃通国密浏览器、红莲花浏览器等主流国密浏览器,与各类国密生态产品广泛兼容互认。
成熟应用案例
沃通国内首家“SM2/RSA双证书”方案成熟落地,并且在我国十几个省市政务网站中得到广泛应用。
