落實“三化六防”措施 保護水利關鍵信息基礎設施安全

別無所求

編者按：沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。黨中央、國務院高度重視關鍵信息基礎設施安全保護工作，為進一步健全關鍵信息基礎設施安全保護制度體系，制定出臺了《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）。對此，人民網(wǎng)“良法善治大家談”欄目采訪九位專家學者推出“關鍵信息基礎設施安全保護”系列解讀，從多領域、多角度全面闡釋關鍵信息基礎設施安全保護的重要性和必要性。

關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重�！稐l例》是我國首部專門針對關鍵信息基礎設施安全保護工作的行政法規(guī)，在關鍵信息基礎設施認定、運營者責任義務、保障和促進、法律責任等方面進行了界定和規(guī)范，為加強關鍵信息基礎設施安全保護工作提供了重要法治保障。

水利作為關鍵信息基礎設施重點行業(yè)領域之一，水利部門應如何貫徹落實《條例》要求？在網(wǎng)絡安全等級保護制度的基礎上又應該怎樣扎實做好相關工作？對此，水利部網(wǎng)絡安全與信息化領導小組辦公室主任，水利部信息中心黨委書記、主任蔡陽接受了人民網(wǎng)記者的相關采訪。

人民網(wǎng)記者：水利關鍵信息基礎設施是如何認定的？

蔡陽：根據(jù)《條例》第八條規(guī)定，水利部是負責水利行業(yè)關鍵信息基礎設施安全保護工作的部門，負責結(jié)合水利行業(yè)實際，制定水利行業(yè)關鍵信息基礎設施認定規(guī)則。

水利關鍵信息基礎設施的認定首先要明確水利關鍵業(yè)務。根據(jù)水利業(yè)務特點，防洪、供水、生態(tài)等水利公共產(chǎn)品和公共服務供給，關乎國家安全、經(jīng)濟社會穩(wěn)定和廣大人民群眾生命財產(chǎn)安全，相關業(yè)務規(guī)模大、覆蓋地域廣、在水利行業(yè)領域不可替代、對其他行業(yè)領域有連鎖性及關聯(lián)性重大安全風險，這些業(yè)務可確定為水利關鍵業(yè)務。主要包括：水災害防御、水資源管理、水工程管理、水生態(tài)與河湖管理等方面。

明確關鍵業(yè)務后，需要分析這些業(yè)務對信息化的依賴程度。其中，對信息化依賴程度高的水利關鍵業(yè)務，其網(wǎng)絡設施、信息系統(tǒng)才可納入為關鍵信息基礎設施認定范圍。然后，各級水利部門初步認定關鍵信息基礎設施后，經(jīng)逐級審核，報水利部認定。最后，認定結(jié)果通知水利關鍵信息基礎設施運營者，并通報國務院公安部門。

人民網(wǎng)記者：在構(gòu)建水利關鍵信息基礎設施安全保護體系方面，您認為水利行業(yè)應如何貫徹落實《條例》要求？

蔡陽：一直以來，水利行業(yè)高度重視網(wǎng)絡安全，特別是水利關鍵信息基礎設施安全，網(wǎng)絡安全防護體系基本建成，但與《條例》的相關要求相比還有差距。水利關鍵信息基礎設施運營者應深入貫徹“三化六防”措施，以水利網(wǎng)絡安全頂層設計為指引，以水利關鍵信息基礎設施為安全保護對象，堅持“體系化，實戰(zhàn)化，常態(tài)化”理念，構(gòu)建水利關鍵信息基礎設施安全綜合防御體系，不斷提升水利關鍵信息基礎設施“動態(tài)防御，主動防御，縱深防御，精準防護，整體防護，聯(lián)防聯(lián)控”能力。

人民網(wǎng)記者：正如您剛才所提到的“三化六防”要求，能否簡要談談水利行業(yè)的落實情況？

蔡陽：我認為第一方面是加強體系化建設——構(gòu)建水利關鍵信息基礎設施安全綜合防御體系。以水利網(wǎng)絡安全總體策略為指引，通過組織管理、安全技術(shù)、監(jiān)督檢查三個體系建設，不斷提升網(wǎng)絡安全縱深防御能力、監(jiān)測預警能力、應急響應能力。

一是組織管理體系。水利部依托現(xiàn)有網(wǎng)絡安全管理體系，建立水利行業(yè)關鍵信息基礎設施安全保護和監(jiān)督管理組織體系。各級水行政主管部門是所轄水利關鍵信息基礎設施安全保護工作的主管部門，下屬網(wǎng)信部門具體負責監(jiān)督管理工作，下屬相應業(yè)務部門負責指導協(xié)調(diào)；各水利關鍵信息基礎設施運營者承擔安全保護的主體責任，根據(jù)情況可設業(yè)務主管單位、建設單位、運行管理單位，分別承擔監(jiān)督協(xié)調(diào)、網(wǎng)絡安全建設、網(wǎng)絡安全運行責任。

二是安全技術(shù)體系。遵循網(wǎng)絡安全總體策略，構(gòu)建涵蓋基礎防護、監(jiān)測分析和響應恢復的網(wǎng)絡安全技術(shù)體系。在基礎防護方面，建設完善統(tǒng)一身份認證服務、統(tǒng)一密碼服務、統(tǒng)一備份服務、統(tǒng)一應用安全檢測平臺、統(tǒng)一數(shù)據(jù)共享交換平臺等統(tǒng)一基礎安全服務，構(gòu)成縱深防御底盤，安全資源共享共用，提升整體安全支撐能力；根據(jù)網(wǎng)絡安全等級保護相關要求，在基礎安全服務的支撐下，構(gòu)建“安全物理環(huán)境”“安全通信網(wǎng)絡”“安全區(qū)域邊界”“安全計算環(huán)境”多層次防護。在監(jiān)測分析方面，結(jié)合自身安全數(shù)據(jù)，構(gòu)建安全情報中心；建設安全數(shù)據(jù)采集系統(tǒng)，對各類安全設備日志、主機日志、應用日志、重要邊界網(wǎng)絡流量、內(nèi)外部威脅情報等網(wǎng)絡安全相關數(shù)據(jù)進行統(tǒng)一收集；采用大數(shù)據(jù)技術(shù)，構(gòu)建網(wǎng)絡安全大數(shù)據(jù)平臺，匯集、整理、存儲、處理各類安全數(shù)據(jù)，形成安全數(shù)據(jù)倉庫；在各類安全數(shù)據(jù)的基礎上，構(gòu)建網(wǎng)絡安全威脅感知系統(tǒng)，基于行為分析、特征分析、關聯(lián)分析、威脅情報、機器學習等技術(shù)實現(xiàn)對網(wǎng)絡安全威脅的全方位感知。在響應恢復方面，建設網(wǎng)絡安全風險全過程閉環(huán)管理系統(tǒng)，將安全風險根據(jù)影響程度分為不同類別：安全事件、安全告警、安全威脅，根據(jù)事先確定的流程，對安全事件、安全告警、安全威脅處置進行全過程閉環(huán)管理；建設統(tǒng)一設備管控系統(tǒng)，把應急響應與網(wǎng)絡安全設備聯(lián)動管理，實現(xiàn)阻斷、隔離、策略下發(fā)等多種動作編排，將威脅防護措施轉(zhuǎn)化成安全策略控制任務，提高全網(wǎng)協(xié)防效率，縮短威脅處置時間，提升應急能力。

三是監(jiān)督檢查體系。依據(jù)《水利網(wǎng)絡安全管理辦法（試行）》，圍繞抓住“及時發(fā)現(xiàn)漏洞、及時有效處置漏洞”兩個關鍵，通過“查、改、罰”等有效手段，強化水利關鍵信息基礎設施安全監(jiān)管，建立水利關鍵信息基礎設施安全監(jiān)督檢查體系，各級水利關鍵信息基礎設施安全保護工作的主管部門定期監(jiān)督檢查，結(jié)合水利關鍵信息基礎設施運營者自查，配合網(wǎng)信部門、公安部門的網(wǎng)絡安全檢查監(jiān)測，形成監(jiān)督檢查合力。

第二方面是立足實戰(zhàn)化——堅持以攻促防。攻防實戰(zhàn)結(jié)果是檢驗水利關鍵信息基礎設施安全工作最重要的依據(jù)，也是評價網(wǎng)絡安全保護能力最重要指標。

一是定期開展實戰(zhàn)攻防。水利關鍵信息基礎設施保護工作部門、運營者要定期開展實戰(zhàn)攻防，通過攻防演習、攻防演練、沙盤推演等方式，發(fā)現(xiàn)漏洞隱患，檢驗網(wǎng)絡安全防護手段的有效性、聯(lián)防聯(lián)控機制的完善性，鍛煉網(wǎng)絡安全隊伍，提高全員的網(wǎng)絡安全意識。

二是建設仿真平臺。水利關鍵信息基礎設施，特別是水利工程控制系統(tǒng)類關鍵信息基礎設施，應加強模擬仿真平臺建設，依托平臺開展常態(tài)化的攻防培訓、應急演練、測試驗證等。

第三方面是實施常態(tài)化運營——提升防護能力。加強網(wǎng)絡安全運營管理，將關鍵信息基礎設施的日常安全監(jiān)測、安全巡檢、安全事件分析和安全響應處置等內(nèi)容，納入到生產(chǎn)運營管理中，并在保證業(yè)務穩(wěn)定運行的情況下，定期進行漏洞檢測、安全配置檢查、安全風險評估和網(wǎng)絡安全應急演練等工作。通過常態(tài)化運營，構(gòu)建分析預測、威脅防護、持續(xù)監(jiān)測、響應處置的閉環(huán)體系，不斷優(yōu)化完善，提升網(wǎng)絡安全六大能力。

一是提升動態(tài)防御能力。采用大數(shù)據(jù)、人工智能等技術(shù)，基于水利網(wǎng)絡安全大數(shù)據(jù)分析平臺，構(gòu)建水利關鍵信息基礎設施安全態(tài)勢感知平臺，通過數(shù)據(jù)挖掘、關聯(lián)分析，結(jié)合自動化、半自動化處置措施，持續(xù)監(jiān)測網(wǎng)絡安全攻擊、動態(tài)調(diào)整策略，以應對動態(tài)、多變、高強度的網(wǎng)絡攻擊，實現(xiàn)水利關鍵信息基礎設施安全從靜態(tài)防御到動態(tài)防御。

二是提升主動防御能力。充分利用水利網(wǎng)絡安全威脅情報中心，配合全流量數(shù)據(jù)采集分析等，及時主動發(fā)現(xiàn)、處置網(wǎng)絡安全威脅，特別是潛伏威脅、未知威脅，并跟蹤溯源，水利關鍵信息基礎設施安全變被動防御為主動防御。

三是提升縱深防御能力。依據(jù)網(wǎng)絡安全等級保護2.0“一個中心、三重防護”理念，采用分區(qū)分域分業(yè)務隔離機制，層層設防、逐級設防，打造水利關鍵信息基礎設施網(wǎng)絡安全縱深防御。

四是提升精準防護能力。根據(jù)水利關鍵信息基礎設施安全實際，以水利工控網(wǎng)絡安全為焦點，以水利基礎數(shù)據(jù)網(wǎng)絡安全為要點，針對性的采取措施，實施精準防護。

五是提升整體防護能力。構(gòu)建網(wǎng)絡安全綜合防御體系，從保護對象自身安全加固、外部強化防護、全方位監(jiān)測預警、應急聯(lián)動處置等方面全面加強安全，通過水利關鍵信息基礎設施安全態(tài)勢感知平臺統(tǒng)一管理調(diào)度，形成協(xié)同聯(lián)動、高效統(tǒng)一的整體防護。

六是提升聯(lián)防聯(lián)控能力。在國家聯(lián)防聯(lián)控機制下，構(gòu)建水利網(wǎng)絡安全聯(lián)防聯(lián)控體系，實現(xiàn)“一處報警，處處設防；一處威脅，處處處置”，提升整體應對網(wǎng)絡攻擊能力。這是健全水利網(wǎng)絡安全保障體系、提升行業(yè)網(wǎng)絡安全整體實戰(zhàn)對抗能力的重要抓手，是實現(xiàn)網(wǎng)絡安全防護目標不受沖擊破壞的有力保障。

來源：人民網(wǎng)