长江网讯(记者朱艳琳) 5月31日,中国网络空间安全协会副秘书长张健在“网聚滨海智慧新城”——2018互联网信息安全研讨会上表示,当前,要适应新形势、建立新机制、有效保障网站安全。
在谈到如何建立网站安全综合治理体系时,张健说:“结合国内外情况,从‘2个情况、5个能力’7个维度构建关键信息基础设施保护水平评价体系,并对每个维度进一步细化相关指标,开发有关评测工具,最终形成能够衡量不同区域、不同行业关键信息基础设施保护水平的评价机制。”
南开大学博士后,正高级工程师,天津理工大学计算机科学与工程学院教授,中国网络空间安全协会副秘书长 张建“2个情况”即法律法规实施情况、政策落实情况。5个能力张健总结为“管理控制能力”“技术防护能力”“安全服务能力”“支撑保障能力”“自主创新能力”。
管理控制能力:结合国内外情况,建立考核关键信息基础设施管理控制能力的措施和指标。包括:建立完整的安全管理组织和制度并保证有效实施,如是否建立网络安全领导小组、首席网络安全官制度、人员管理制度、数据安全管理制度、安全审查制度、应急处置制度等,以及制度的执行和落实情况;建立相关共享协调机制,如是否建立了网络安全信息共享和通报机制、各种协调机制等;建立动态反馈模型,与态势感知和风险评估机制相结合,综合考虑网络运营者对网络安全新政策、新法规的调整适应情况,形成动态反馈的自我完善机制;开发人员安全防范意识的评测工具,用于对各类人员安全意识的测试评估。
技术防护能力:通过研究国内外相关标准和措施,如美国联邦信息安全管理法案(FISMA)、NIST发布的SP-800系列标准、我国网络安全等级保护系列标准以及风险评估标准和相关文件规范等,建立一套评价关键信息基础设施技术防护能力的指标体系,实现对网络安全等级保护工作开展落实情况,每年的风险评估状况,关键信息基础设施安全防护和监管平台及态势感知系统的建设运行情况等进行综合评价,以评估其具备的技术防护能力。
安全服务能力:研究国内外各种重大安全事件,通过对事件的分析,了解事件的原因和危害,在此基础上,对照检查关键信息基础设施是否发生过网络安全事件,分析事件产生的原因和造成的危害,评价其安全服务能力。
支撑保障能力:建立关键信息基础设施的支撑保障能力的评价指标。通过考核人才队伍建设情况,宣传教育培训情况,资金保障情况和建设维护情况等,综合评价其具备的支撑保障能力。
自主创新能力:建立关键信息基础设施的自主创新能力的评价指标。通过考核国产自主可控产品、技术研发和使用情况,安全保护工作创新能力等,综合评价其具备的自主创新能力。