El 1 de mayo de 2023, comenzaron a implementarse oficialmente los " Requisitos de protección de seguridad de la infraestructura de información clave de la tecnología de seguridad de la información " (en lo sucesivo, "Requisitos de protección de claves"). Este es el primer lanzamiento oficial del estándar de protección de seguridad de infraestructura de información clave después de la publicación del "Reglamento de protección de seguridad de infraestructura de información crítica" (en adelante, el "Reglamento de garantía"). Este estándar proporciona pautas operativas mejores y más específicas para ayudar a los administradores de infraestructura de información clave a realizar mejor el trabajo de protección de seguridad y luego promover y guiar la implementación de la protección de infraestructura de información clave.
El estándar de protección de seguridad propone medidas de control de seguridad para el análisis e identificación de infraestructura de información crítica, protección, detección y evaluación de seguridad, monitoreo y alerta temprana, defensa activa y manejo de eventos, que es adecuado para guiar a los operadores a llevar a cabo una protección de seguridad del ciclo de vida completo para infraestructura de información crítica. También se puede utilizar como referencia para otras partes involucradas en la protección de la seguridad de la infraestructura de información crítica.
1. La continuación y cambios de la regulación
La continuación del principio de "tres sincronizaciones".
El artículo 33 de la "Ley de seguridad de redes" estipula: "La construcción de infraestructura de información clave deberá garantizar que tenga el rendimiento necesario para respaldar la estabilidad empresarial y el funcionamiento continuo, y garantizar que las medidas técnicas de seguridad se planifiquen, construyan y utilicen simultáneamente". del Reglamento de Protección continúa el principio de "tres sincronizaciones" establecido en la "Ley de Seguridad de Redes", enfatizando además que "las medidas de protección de seguridad deben planificarse, construirse y utilizarse simultáneamente con la infraestructura de información clave". En los Capítulos 7.2 Sistema de gestión de seguridad y 7.7 Gestión de seguridad de la construcción de "Requisitos de protección de seguridad de Guanji", se enfatiza nuevamente el principio de "tres sincronizaciones".
Al implementar el principio de "tres sincronizaciones", los operadores pueden entender que las medidas de protección de seguridad deben ser "tres sincronizaciones" con la infraestructura de información clave desde los siguientes aspectos: Primero, "planificación de sincronización" se refiere a la planificación de las instalaciones de red y la etapa de sistemas de información, seguridad las medidas de protección deben introducirse simultáneamente; en segundo lugar, la "construcción sincrónica", que requiere que los integradores de sistemas, proveedores de servicios de red, etc. garanticen que las medidas técnicas de seguridad pertinentes se puedan implementar sin problemas y a tiempo durante la fase de construcción del proyecto, para verificar y aceptar las medidas de protección de seguridad para garantizar que solo los sistemas que cumplan con los requisitos de seguridad puedan conectarse; finalmente, "uso sincrónico" significa que en la operación y mantenimiento diario de las instalaciones de red y los sistemas de información después de la aceptación de seguridad, las instalaciones de red y los sistemas de información deben mantenerse. está al nivel de protección de seguridad continua y cumple con las normas técnicas de seguridad nacionales pertinentes.
Los "Requisitos de protección de seguridad de Guanji" son requisitos prácticos de protección de seguridad basados en la "Ley de seguridad de la red", las "Regulaciones de protección de seguridad de Guanji" y el sistema de protección del nivel de seguridad de la red. Además, los "Requisitos de protección de seguridad de Guanji" también presentan algunos requisitos nuevos en términos de supervisión.
nuevos requisitos
Gestión de seguridad : se agregó el establecimiento de un comité de trabajo de seguridad de la red o un grupo de liderazgo, y se propuso claramente el requisito de que los miembros del equipo de liderazgo sean el director de seguridad de la red.
En materia de simulacros de emergencia : se aclara además que cada año se organiza y realiza al menos un simulacro de emergencia de la organización.
En términos de adquisición de productos y servicios : establecer y mantener un catálogo de proveedores calificados; fortalecer la gestión de los canales de adquisición para mantener la estabilidad o diversidad de fuentes de productos y servicios de red adquiridos; obtener la autorización de derechos de propiedad intelectual del proveedor para productos y servicios de red durante más de 10 años; confiar a un tercero la realización de pruebas de seguridad del código fuente en software desarrollado a medida.
Entorno informático seguro : Se establece claramente que se deben utilizar herramientas automatizadas para apoyar la gestión de cuentas del sistema, configuraciones, vulnerabilidades, parches, bases de datos de virus, etc.
2. Contenido principal de los "Requisitos de protección de seguridad de Guanji"
Tres principios básicos de protección de la seguridad de la infraestructura de información crítica
El estándar de protección de seguridad propone que la protección de seguridad de la infraestructura de información clave debe protegerse sobre la base del sistema de protección del nivel de seguridad de la red. El trabajo de protección debe seguir tres principios básicos: prevención y control globales centrados en negocios clave, protección dinámica orientada por la gestión de riesgos y defensa conjunta colaborativa basada en el intercambio de información.
(1) Prevención y control generales con negocios clave como núcleo
La protección de seguridad de la infraestructura de información crítica tiene como objetivo proteger negocios clave y lleva a cabo un diseño de seguridad sistemático para una o más redes y sistemas de información involucrados en el negocio para construir un sistema general de control y prevención de seguridad.
(2) Protección dinámica orientada por la gestión de riesgos
De acuerdo con la situación de amenazas a la seguridad que enfrenta la infraestructura de información crítica, se llevan a cabo un monitoreo continuo y un ajuste dinámico de las medidas de control de seguridad para formar un mecanismo dinámico de protección de la seguridad para prevenir y responder a los riesgos de seguridad de manera oportuna y efectiva.
(3) Defensa conjunta colaborativa basada en el intercambio de información
Construir activamente un mecanismo de protección común para el intercambio, la coordinación y la vinculación de información con la amplia participación de las partes relevantes, y mejorar la capacidad de la infraestructura de información clave para hacer frente a ataques cibernéticos a gran escala.
Seis vínculos clave para la protección de la seguridad de la infraestructura de información crítica
Sobre la base de la protección jerárquica, los "Requisitos de protección de seguridad de Guanji" se centran en seis aspectos de análisis e identificación, protección de seguridad, detección y evaluación, monitoreo y alerta temprana, defensa activa y manejo de eventos, y presenta requisitos más elevados y avanzados. para la protección de la seguridad de la infraestructura de información clave requisitos específicos.
(1) Análisis e identificación
Mejorar las capacidades de análisis e identificación, y fortalecer y mejorar las capacidades de gestión y control de riesgos de seguridad. Los operadores de infraestructura de información crítica deben cooperar con el departamento de protección para llevar a cabo la identificación e identificación de infraestructura de información crítica de acuerdo con las regulaciones, y llevar a cabo actividades como la identificación de activos y la identificación de riesgos en torno al negocio clave realizado por la infraestructura de información crítica. Esta actividad es la base para la realización de actividades tales como protección de seguridad, detección y evaluación, seguimiento y alerta temprana, defensa activa y gestión de incidentes.
Entre ellos, el análisis y la identificación de riesgos es el más importante, y el código fuente es una parte importante de la infraestructura de información, por lo que es particularmente importante para la identificación de riesgos en el código fuente. Esta parte puede utilizar las herramientas de escaneo de código fuente correspondientes, como SAST, SCA y otras herramientas, para detectar, identificar y analizar vulnerabilidades de seguridad y riesgos de licencia en el código fuente, mejorando así la calidad del código y garantizando la seguridad de la infraestructura de información clave.
(2) Protección de seguridad
De acuerdo con los riesgos comerciales, activos y de seguridad clave identificados, implementar medidas de gestión de seguridad y protección técnica en términos de sistemas de gestión de seguridad, instituciones de gestión de seguridad, administradores de seguridad, redes de comunicación seguras, entornos informáticos seguros, gestión de construcción segura y operación y gestión del mantenimiento., para garantizar la seguridad operativa de la infraestructura de información crítica.
Además de refinar aún más el nivel de requisitos de protección, los "Requisitos de protección" también destacan los requisitos para la seguridad de los datos y la seguridad de la cadena de suministro , y estandarizan aún más la garantía de la capacidad de seguridad en el contexto del desarrollo digital y la confiabilidad y controlabilidad. Entre ellos, la seguridad de la cadena de suministro de software ha recibido cada vez más atención por parte del estado y de diversas industrias, especialmente en el contexto de frecuentes ataques de seguridad a varias cadenas de suministro de software. , "Regulaciones de protección de seguridad de Guanji" y otras leyes y regulaciones. destacó la necesidad de garantizar la seguridad de la cadena de suministro de software.
(3) Pruebas y evaluación
Para probar la eficacia de las medidas de protección de la seguridad y descubrir peligros ocultos de los riesgos de seguridad de la red, los operadores formulan los sistemas de prueba y evaluación correspondientes, determinan el proceso y el contenido de las pruebas y la evaluación y analizan los incidentes de seguridad que pueden ser causados por posibles riesgos de seguridad.
Para mejorar mejor el nivel de protección de seguridad de la infraestructura de información clave, para el trabajo de inspección y evaluación se aclaran el alcance, el contenido, el ciclo y otros requisitos. Las circunstancias sirven como base importante para la evaluación.
(4) Monitoreo y alerta temprana
Los operadores formulan e implementan sistemas de monitoreo, alerta temprana y notificación de la seguridad de la red, y emiten advertencias de seguridad por adelantado o de manera oportuna para incidentes o amenazas de seguridad de la red futuros o en curso. Establecer un mecanismo de intercambio de información e inteligencia sobre amenazas, implementar medidas relevantes y mejorar la capacidad de defender activamente la infraestructura de información crítica.
En términos de gestión, aclarar la gestión y los requisitos para el trabajo de monitoreo y alerta temprana, formular estrategias de monitoreo, aclarar los objetos de monitoreo, los procesos de monitoreo y el contenido del monitoreo, y captar activamente la situación de amenaza; en términos de medidas técnicas, mejorar el monitoreo y la alerta temprana. Medidas técnicas para lograr una agregación y coordinación efectiva de las medidas técnicas pertinentes Gestión integrada.
(5) Defensa activa
Con base en el monitoreo y descubrimiento de respuestas a comportamientos de ataque, tomar proactivamente medidas tales como exposición convergente, captura, trazabilidad, interferencia y bloqueo, realizar ejercicios ofensivos y defensivos y trabajos de inteligencia de amenazas, y mejorar las capacidades de identificación, análisis y defensa activa de Amenazas de red y comportamientos de ataque.
(6) Manejo de incidentes
Reportar y atender incidentes de seguridad de la red, y de acuerdo a los problemas encontrados en los enlaces de detección y evaluación, monitoreo y alerta temprana, los operadores formulan e implementan contramedidas apropiadas para restaurar funciones o servicios dañados debido a incidentes de seguridad de la red.
3. Dirección de construcción de seguridad.
Las normas son la base para la construcción de seguridad empresarial. Desde el "Reglamento de Aduanas y Seguridad" hasta los "Requisitos de Aduanas y Seguridad", se han propuesto requisitos más altos tanto para las unidades aduaneras como para las empresas de seguridad que las respaldan.
Para los operadores clave de infraestructura de información, deben partir de las siguientes direcciones:
(1) Fortalecer la gestión de la cadena de suministro
Los operadores de infraestructura de información crítica deben realizar una gestión integral y una evaluación de riesgos de la cadena de suministro para garantizar la seguridad y confiabilidad de la cadena de suministro. Al mismo tiempo, necesitan establecer un sistema de gestión de proveedores para determinar la seguridad y confiabilidad de los productos y servicios de los proveedores. Además, también es necesario establecer un mecanismo de vigilancia y alerta temprana de la seguridad de la cadena de suministro para detectar y abordar los incidentes de seguridad de la cadena de suministro de manera oportuna.
(2) Fortalecer la gestión de la seguridad de los datos
Para garantizar la seguridad y confiabilidad de los datos, los operadores de puertas de enlace deben desarrollar un sistema integral de gestión de la seguridad de los datos. Esto incluye clasificar y calificar datos, realizar copias de seguridad de datos, utilizar tecnología de cifrado de datos y realizar limpieza de datos periódicamente y otras medidas. Además, los operadores de puertas de enlace también deben establecer un mecanismo de vigilancia y alerta temprana de la seguridad de los datos para detectar y abordar los incidentes de seguridad de los datos de manera oportuna. Al llevar a cabo la gobernanza de la seguridad de los datos, los operadores clave deben prestar atención a la integridad, disponibilidad y confidencialidad de los datos, y garantizar el cumplimiento legal de los mismos.
(3) Mejora del sistema de gestión de seguridad
Para garantizar la seguridad de las operaciones de Guanji, es necesario formular un sistema y proceso de gestión de seguridad sólidos. Estos sistemas y procesos deben incluir educación y capacitación en materia de seguridad, medidas de control de seguridad de los datos, monitoreo de la seguridad y mecanismos de alerta temprana, etc. Al mismo tiempo, es necesario establecer un mecanismo de manejo de incidentes de seguridad para responder a los incidentes de seguridad de manera oportuna y minimizar las pérdidas.
(4) Fortalecer la construcción de tecnología de seguridad.
Para garantizar la seguridad y confiabilidad de las operaciones de Guanji, es necesario fortalecer la construcción de tecnologías de seguridad. La construcción de tecnología de seguridad incluye protección de seguridad, pruebas de seguridad, monitoreo de seguridad y otros aspectos. Al seleccionar tecnologías y productos de seguridad, los operadores de puertas de enlace deben emitir juicios y decisiones en función de sus propias condiciones operativas y establecer un sistema de tecnología de seguridad adecuado para sus propias operaciones. Estos sistemas técnicos pueden incluir escaneo de vulnerabilidades de seguridad, detección de intrusiones, cifrado de datos, firewall y otros medios técnicos para garantizar la seguridad y confiabilidad del sistema.
(5) Fortalecer la gestión del cumplimiento
Los operadores deben cumplir con los reglamentos y estándares pertinentes, establecer un sistema de gestión del cumplimiento y realizar autoexámenes y auditorías de cumplimiento periódicos para garantizar que sus operaciones cumplan con los requisitos de los reglamentos y estándares.
Haiyunan respondió activamente a los requisitos de protección aduanera.
Ayudar en la implementación de la construcción de seguridad de Guanji.
La introducción de los "Requisitos de protección de seguridad de la infraestructura de información crítica" significa que el nivel de protección de la seguridad de la red de la infraestructura de información crítica de mi país irá más allá, desde una "pequeña seguridad" acumulada hasta una "gran seguridad" sistemática formalizada. Esto también plantea requisitos más altos para los operadores de base. Haiyunan combina años de experiencia práctica en seguridad de red para proporcionar planificación, diseño, soluciones, sistemas de productos y operaciones integrales para la construcción y operación de seguridad de red de cada unidad base. tres sincronizaciones" de seguridad de la red.
En términos de fortalecer la gestión de seguridad de la cadena de suministro, en la etapa de planificación sincrónica, Haiyun Aneng diseñó un plan de planificación de seguridad personalizado para unidades clave que no solo cumple con los requisitos de las leyes, regulaciones y estándares técnicos nacionales, sino que también se ajusta a las Dirección de desarrollo empresarial propia de la empresa; en la etapa de construcción sincrónica, Haiyunan proporciona una solución general para la seguridad del desarrollo y la seguridad de la cadena de suministro de software, promueve el cambio de seguridad hacia la izquierda, identifica riesgos de seguridad en el código fuente básico y garantiza la seguridad de la cadena de suministro de software. , proporciona cumplimiento de seguridad de aplicaciones móviles, cumplimiento de datos y pruebas de penetración, servicios de reaseguro de red y otros servicios de seguridad para garantizar la privacidad y seguridad de los datos de unidades clave; en la fase de uso simultáneo, Haiyunan proporciona servicios de seguridad profesionales e integrales en vigilancia y alerta temprana, operaciones de seguridad, respuesta de emergencia y ejercicios ofensivos y defensivos.
Para la protección de la seguridad de los datos, Haiyunan propone una serie de soluciones de productos de servicio; el servicio de evaluación del cumplimiento de la seguridad de los datos puede realizar una evaluación integral del cumplimiento para las empresas, descubrir posibles riesgos de cumplimiento, personalizar las estrategias de cumplimiento y garantizar que la empresa cumpla con los requisitos reglamentarios. Al clasificar y calificar datos, el servicio de clasificación y calificación proporciona una base para la implementación de estrategias de gestión, control y protección de clasificación de datos, se centra en la protección de datos importantes y reduce el riesgo de fuga de datos. El servicio de evaluación de riesgos de seguridad de datos lleva a cabo una evaluación integral del flujo de datos y el flujo de negocios de la empresa, así como de las medidas de seguridad existentes, y encuentra las debilidades existentes, proporcionando una base para la posterior mejora específica de los riesgos de seguridad y la planificación y planificación general de la seguridad de los datos. construcción. El servicio del sistema de gestión de seguridad de datos se basa principalmente en la construcción de un marco completo de gestión de seguridad para la empresa y la mejora del nivel general de gestión de seguridad de la empresa. El servicio de planificación de la construcción del sistema de seguridad de datos se basa principalmente en el status quo del sistema de seguridad de datos de la empresa para ayudar a formular estrategias de planificación de la construcción de seguridad a largo plazo para garantizar la mejora continua de la seguridad de la infraestructura de información clave y garantizar el funcionamiento seguro y estable de la clave empresarial. infraestructura de información.
Además, con el lanzamiento de los "Requisitos de protección de seguridad de la infraestructura de información crítica", en los últimos años se ha prestado cada vez más atención a los requisitos para el cumplimiento de la privacidad de los datos. A través de la detección integral y la identificación de riesgos de los datos del usuario en la aplicación, admite vulnerabilidades de seguridad de aplicaciones, violaciones de leyes y regulaciones e información personal Detección automatizada y monitoreo regular de seguridad, seguridad del SDK y elementos de cumplimiento, identificando de manera completamente automática y rápida posibles riesgos de seguridad de las aplicaciones, ocultando comportamientos ilegales, incluido el robo de información personal, exportación de información, deducción maliciosa, etc. Al mismo tiempo, a través de servicios integrales de evaluación de riesgos y pruebas de cumplimiento de privacidad, ayuda a las empresas a descubrir y resolver riesgos potenciales de privacidad de manera oportuna, prevenir la fuga y el abuso de datos, brindar servicios integrales de protección de la privacidad para las empresas y ayudar a las empresas a cumplir con los requisitos. de reglamentos y normas pertinentes Mejorar la competitividad y la credibilidad de las empresas.
El 1 de mayo de 2023, comenzaron a implementarse oficialmente los " Requisitos de protección de seguridad de la infraestructura de información clave de la tecnología de seguridad de la información " (en lo sucesivo, "Requisitos de protección de claves"). Este es el primer lanzamiento oficial del estándar de protección de seguridad de infraestructura de información clave después de la publicación del "Reglamento de protección de seguridad de infraestructura de información crítica" (en adelante, el "Reglamento de garantía"). Este estándar proporciona pautas operativas mejores y más específicas para ayudar a los administradores de infraestructura de información clave a realizar mejor el trabajo de protección de seguridad y luego promover y guiar la implementación de la protección de infraestructura de información clave.
El estándar de protección de seguridad propone medidas de control de seguridad para el análisis e identificación de infraestructura de información crítica, protección, detección y evaluación de seguridad, monitoreo y alerta temprana, defensa activa y manejo de eventos, que es adecuado para guiar a los operadores a llevar a cabo una protección de seguridad del ciclo de vida completo para infraestructura de información crítica. También se puede utilizar como referencia para otras partes involucradas en la protección de la seguridad de la infraestructura de información crítica.
1. La continuación y cambios de la regulación
La continuación del principio de "tres sincronizaciones".
El artículo 33 de la "Ley de seguridad de redes" estipula: "La construcción de infraestructura de información clave deberá garantizar que tenga el rendimiento necesario para respaldar la estabilidad empresarial y el funcionamiento continuo, y garantizar que las medidas técnicas de seguridad se planifiquen, construyan y utilicen simultáneamente". del Reglamento de Protección continúa el principio de "tres sincronizaciones" establecido en la "Ley de Seguridad de Redes", enfatizando además que "las medidas de protección de seguridad deben planificarse, construirse y utilizarse simultáneamente con la infraestructura de información clave". En los Capítulos 7.2 Sistema de gestión de seguridad y 7.7 Gestión de seguridad de la construcción de "Requisitos de protección de seguridad de Guanji", se enfatiza nuevamente el principio de "tres sincronizaciones".
Al implementar el principio de "tres sincronizaciones", los operadores pueden entender que las medidas de protección de seguridad deben ser "tres sincronizaciones" con la infraestructura de información clave desde los siguientes aspectos: Primero, "planificación de sincronización" se refiere a la planificación de las instalaciones de red y la etapa de sistemas de información, seguridad las medidas de protección deben introducirse simultáneamente; en segundo lugar, la "construcción sincrónica", que requiere que los integradores de sistemas, proveedores de servicios de red, etc. garanticen que las medidas técnicas de seguridad pertinentes se puedan implementar sin problemas y a tiempo durante la fase de construcción del proyecto, para verificar y aceptar las medidas de protección de seguridad para garantizar que solo los sistemas que cumplan con los requisitos de seguridad puedan conectarse; finalmente, "uso sincrónico" significa que en la operación y mantenimiento diario de las instalaciones de red y los sistemas de información después de la aceptación de seguridad, las instalaciones de red y los sistemas de información deben mantenerse. está al nivel de protección de seguridad continua y cumple con las normas técnicas de seguridad nacionales pertinentes.
Los "Requisitos de protección de seguridad de Guanji" son requisitos prácticos de protección de seguridad basados en la "Ley de seguridad de la red", las "Regulaciones de protección de seguridad de Guanji" y el sistema de protección del nivel de seguridad de la red. Además, los "Requisitos de protección de seguridad de Guanji" también presentan algunos requisitos nuevos en términos de supervisión.
nuevos requisitos
Gestión de seguridad : se agregó el establecimiento de un comité de trabajo de seguridad de la red o un grupo de liderazgo, y se propuso claramente el requisito de que los miembros del equipo de liderazgo sean el director de seguridad de la red.
En materia de simulacros de emergencia : se aclara además que cada año se organiza y realiza al menos un simulacro de emergencia de la organización.
En términos de adquisición de productos y servicios : establecer y mantener un catálogo de proveedores calificados; fortalecer la gestión de los canales de adquisición para mantener la estabilidad o diversidad de fuentes de productos y servicios de red adquiridos; obtener la autorización de derechos de propiedad intelectual del proveedor para productos y servicios de red durante más de 10 años; confiar a un tercero la realización de pruebas de seguridad del código fuente en software desarrollado a medida.
Entorno informático seguro : Se establece claramente que se deben utilizar herramientas automatizadas para apoyar la gestión de cuentas del sistema, configuraciones, vulnerabilidades, parches, bases de datos de virus, etc.
2. Contenido principal de los "Requisitos de protección de seguridad de Guanji"
Tres principios básicos de protección de la seguridad de la infraestructura de información crítica
El estándar de protección de seguridad propone que la protección de seguridad de la infraestructura de información clave debe protegerse sobre la base del sistema de protección del nivel de seguridad de la red. El trabajo de protección debe seguir tres principios básicos: prevención y control globales centrados en negocios clave, protección dinámica orientada por la gestión de riesgos y defensa conjunta colaborativa basada en el intercambio de información.
(1) Prevención y control generales con negocios clave como núcleo
La protección de seguridad de la infraestructura de información crítica tiene como objetivo proteger negocios clave y lleva a cabo un diseño de seguridad sistemático para una o más redes y sistemas de información involucrados en el negocio para construir un sistema general de control y prevención de seguridad.
(2) Protección dinámica orientada por la gestión de riesgos
De acuerdo con la situación de amenazas a la seguridad que enfrenta la infraestructura de información crítica, se llevan a cabo un monitoreo continuo y un ajuste dinámico de las medidas de control de seguridad para formar un mecanismo dinámico de protección de la seguridad para prevenir y responder a los riesgos de seguridad de manera oportuna y efectiva.
(3) Defensa conjunta colaborativa basada en el intercambio de información
Construir activamente un mecanismo de protección común para el intercambio, la coordinación y la vinculación de información con la amplia participación de las partes relevantes, y mejorar la capacidad de la infraestructura de información clave para hacer frente a ataques cibernéticos a gran escala.
Seis vínculos clave para la protección de la seguridad de la infraestructura de información crítica
Sobre la base de la protección jerárquica, los "Requisitos de protección de seguridad de Guanji" se centran en seis aspectos de análisis e identificación, protección de seguridad, detección y evaluación, monitoreo y alerta temprana, defensa activa y manejo de eventos, y presenta requisitos más elevados y avanzados. para la protección de la seguridad de la infraestructura de información clave requisitos específicos.
(1) Análisis e identificación
Mejorar las capacidades de análisis e identificación, y fortalecer y mejorar las capacidades de gestión y control de riesgos de seguridad. Los operadores de infraestructura de información crítica deben cooperar con el departamento de protección para llevar a cabo la identificación e identificación de infraestructura de información crítica de acuerdo con las regulaciones, y llevar a cabo actividades como la identificación de activos y la identificación de riesgos en torno al negocio clave realizado por la infraestructura de información crítica. Esta actividad es la base para la realización de actividades tales como protección de seguridad, detección y evaluación, seguimiento y alerta temprana, defensa activa y gestión de incidentes.
Entre ellos, el análisis y la identificación de riesgos es el más importante, y el código fuente es una parte importante de la infraestructura de información, por lo que es particularmente importante para la identificación de riesgos en el código fuente. Esta parte puede utilizar las herramientas de escaneo de código fuente correspondientes, como SAST, SCA y otras herramientas, para detectar, identificar y analizar vulnerabilidades de seguridad y riesgos de licencia en el código fuente, mejorando así la calidad del código y garantizando la seguridad de la infraestructura de información clave.
(2) Protección de seguridad
De acuerdo con los riesgos comerciales, activos y de seguridad clave identificados, implementar medidas de gestión de seguridad y protección técnica en términos de sistemas de gestión de seguridad, instituciones de gestión de seguridad, administradores de seguridad, redes de comunicación seguras, entornos informáticos seguros, gestión de construcción segura y operación y gestión del mantenimiento., para garantizar la seguridad operativa de la infraestructura de información crítica.
Además de refinar aún más el nivel de requisitos de protección, los "Requisitos de protección" también destacan los requisitos para la seguridad de los datos y la seguridad de la cadena de suministro , y estandarizan aún más la garantía de la capacidad de seguridad en el contexto del desarrollo digital y la confiabilidad y controlabilidad. Entre ellos, la seguridad de la cadena de suministro de software ha recibido cada vez más atención por parte del estado y de diversas industrias, especialmente en el contexto de frecuentes ataques de seguridad a varias cadenas de suministro de software. , "Regulaciones de protección de seguridad de Guanji" y otras leyes y regulaciones. destacó la necesidad de garantizar la seguridad de la cadena de suministro de software.
(3) Pruebas y evaluación
Para probar la eficacia de las medidas de protección de la seguridad y descubrir peligros ocultos de los riesgos de seguridad de la red, los operadores formulan los sistemas de prueba y evaluación correspondientes, determinan el proceso y el contenido de las pruebas y la evaluación y analizan los incidentes de seguridad que pueden ser causados por posibles riesgos de seguridad.
Para mejorar mejor el nivel de protección de seguridad de la infraestructura de información clave, para el trabajo de inspección y evaluación se aclaran el alcance, el contenido, el ciclo y otros requisitos. Las circunstancias sirven como base importante para la evaluación.
(4) Monitoreo y alerta temprana
Los operadores formulan e implementan sistemas de monitoreo, alerta temprana y notificación de la seguridad de la red, y emiten advertencias de seguridad por adelantado o de manera oportuna para incidentes o amenazas de seguridad de la red futuros o en curso. Establecer un mecanismo de intercambio de información e inteligencia sobre amenazas, implementar medidas relevantes y mejorar la capacidad de defender activamente la infraestructura de información crítica.
En términos de gestión, aclarar la gestión y los requisitos para el trabajo de monitoreo y alerta temprana, formular estrategias de monitoreo, aclarar los objetos de monitoreo, los procesos de monitoreo y el contenido del monitoreo, y captar activamente la situación de amenaza; en términos de medidas técnicas, mejorar el monitoreo y la alerta temprana. Medidas técnicas para lograr una agregación y coordinación efectiva de las medidas técnicas pertinentes Gestión integrada.
(5) Defensa activa
Con base en el monitoreo y descubrimiento de respuestas a comportamientos de ataque, tomar proactivamente medidas tales como exposición convergente, captura, trazabilidad, interferencia y bloqueo, realizar ejercicios ofensivos y defensivos y trabajos de inteligencia de amenazas, y mejorar las capacidades de identificación, análisis y defensa activa de Amenazas de red y comportamientos de ataque.
(6) Manejo de incidentes
Reportar y atender incidentes de seguridad de la red, y de acuerdo a los problemas encontrados en los enlaces de detección y evaluación, monitoreo y alerta temprana, los operadores formulan e implementan contramedidas apropiadas para restaurar funciones o servicios dañados debido a incidentes de seguridad de la red.
3. Dirección de construcción de seguridad.
Las normas son la base para la construcción de seguridad empresarial. Desde el "Reglamento de Aduanas y Seguridad" hasta los "Requisitos de Aduanas y Seguridad", se han propuesto requisitos más altos tanto para las unidades aduaneras como para las empresas de seguridad que las respaldan.
Para los operadores clave de infraestructura de información, deben partir de las siguientes direcciones:
(1) Fortalecer la gestión de la cadena de suministro
Los operadores de infraestructura de información crítica deben realizar una gestión integral y una evaluación de riesgos de la cadena de suministro para garantizar la seguridad y confiabilidad de la cadena de suministro. Al mismo tiempo, necesitan establecer un sistema de gestión de proveedores para determinar la seguridad y confiabilidad de los productos y servicios de los proveedores. Además, también es necesario establecer un mecanismo de vigilancia y alerta temprana de la seguridad de la cadena de suministro para detectar y abordar los incidentes de seguridad de la cadena de suministro de manera oportuna.
(2) Fortalecer la gestión de la seguridad de los datos
Para garantizar la seguridad y confiabilidad de los datos, los operadores de puertas de enlace deben desarrollar un sistema integral de gestión de la seguridad de los datos. Esto incluye clasificar y calificar datos, realizar copias de seguridad de datos, utilizar tecnología de cifrado de datos y realizar limpieza de datos periódicamente y otras medidas. Además, los operadores de puertas de enlace también deben establecer un mecanismo de vigilancia y alerta temprana de la seguridad de los datos para detectar y abordar los incidentes de seguridad de los datos de manera oportuna. Al llevar a cabo la gobernanza de la seguridad de los datos, los operadores clave deben prestar atención a la integridad, disponibilidad y confidencialidad de los datos, y garantizar el cumplimiento legal de los mismos.
(3) Mejora del sistema de gestión de seguridad
Para garantizar la seguridad de las operaciones de Guanji, es necesario formular un sistema y proceso de gestión de seguridad sólidos. Estos sistemas y procesos deben incluir educación y capacitación en materia de seguridad, medidas de control de seguridad de los datos, monitoreo de la seguridad y mecanismos de alerta temprana, etc. Al mismo tiempo, es necesario establecer un mecanismo de manejo de incidentes de seguridad para responder a los incidentes de seguridad de manera oportuna y minimizar las pérdidas.
(4) Fortalecer la construcción de tecnología de seguridad.
Para garantizar la seguridad y confiabilidad de las operaciones de Guanji, es necesario fortalecer la construcción de tecnologías de seguridad. La construcción de tecnología de seguridad incluye protección de seguridad, pruebas de seguridad, monitoreo de seguridad y otros aspectos. Al seleccionar tecnologías y productos de seguridad, los operadores de puertas de enlace deben emitir juicios y decisiones en función de sus propias condiciones operativas y establecer un sistema de tecnología de seguridad adecuado para sus propias operaciones. Estos sistemas técnicos pueden incluir escaneo de vulnerabilidades de seguridad, detección de intrusiones, cifrado de datos, firewall y otros medios técnicos para garantizar la seguridad y confiabilidad del sistema.
(5) Fortalecer la gestión del cumplimiento
Los operadores deben cumplir con los reglamentos y estándares pertinentes, establecer un sistema de gestión del cumplimiento y realizar autoexámenes y auditorías de cumplimiento periódicos para garantizar que sus operaciones cumplan con los requisitos de los reglamentos y estándares.
Haiyunan respondió activamente a los requisitos de protección aduanera.
Ayudar en la implementación de la construcción de seguridad de Guanji.
La introducción de los "Requisitos de protección de seguridad de la infraestructura de información crítica" significa que el nivel de protección de la seguridad de la red de la infraestructura de información crítica de mi país irá más allá, desde una "pequeña seguridad" acumulada hasta una "gran seguridad" sistemática formalizada. Esto también plantea requisitos más altos para los operadores de base. Haiyunan combina años de experiencia práctica en seguridad de red para proporcionar planificación, diseño, soluciones, sistemas de productos y operaciones integrales para la construcción y operación de seguridad de red de cada unidad base. tres sincronizaciones" de seguridad de la red.
En términos de fortalecer la gestión de seguridad de la cadena de suministro, en la etapa de planificación sincrónica, Haiyun Aneng diseñó un plan de planificación de seguridad personalizado para unidades clave que no solo cumple con los requisitos de las leyes, regulaciones y estándares técnicos nacionales, sino que también se ajusta a las Dirección de desarrollo empresarial propia de la empresa; en la etapa de construcción sincrónica, Haiyunan proporciona una solución general para la seguridad del desarrollo y la seguridad de la cadena de suministro de software, promueve el cambio de seguridad hacia la izquierda, identifica riesgos de seguridad en el código fuente básico y garantiza la seguridad de la cadena de suministro de software. , proporciona cumplimiento de seguridad de aplicaciones móviles, cumplimiento de datos y pruebas de penetración, servicios de reaseguro de red y otros servicios de seguridad para garantizar la privacidad y seguridad de los datos de unidades clave; en la fase de uso simultáneo, Haiyunan proporciona servicios de seguridad profesionales e integrales en vigilancia y alerta temprana, operaciones de seguridad, respuesta de emergencia y ejercicios ofensivos y defensivos.
Para la protección de la seguridad de los datos, Haiyunan propone una serie de soluciones de productos de servicio; el servicio de evaluación del cumplimiento de la seguridad de los datos puede realizar una evaluación integral del cumplimiento para las empresas, descubrir posibles riesgos de cumplimiento, personalizar las estrategias de cumplimiento y garantizar que la empresa cumpla con los requisitos reglamentarios. Al clasificar y calificar datos, el servicio de clasificación y calificación proporciona una base para la implementación de estrategias de gestión, control y protección de clasificación de datos, se centra en la protección de datos importantes y reduce el riesgo de fuga de datos. El servicio de evaluación de riesgos de seguridad de datos lleva a cabo una evaluación integral del flujo de datos y el flujo de negocios de la empresa, así como de las medidas de seguridad existentes, y encuentra las debilidades existentes, proporcionando una base para la posterior mejora específica de los riesgos de seguridad y la planificación y planificación general de la seguridad de los datos. construcción. El servicio del sistema de gestión de seguridad de datos se basa principalmente en la construcción de un marco completo de gestión de seguridad para la empresa y la mejora del nivel general de gestión de seguridad de la empresa. El servicio de planificación de la construcción del sistema de seguridad de datos se basa principalmente en el status quo del sistema de seguridad de datos de la empresa para ayudar a formular estrategias de planificación de la construcción de seguridad a largo plazo para garantizar la mejora continua de la seguridad de la infraestructura de información clave y garantizar el funcionamiento seguro y estable de la clave empresarial. infraestructura de información.
Además, con el lanzamiento de los "Requisitos de protección de seguridad de la infraestructura de información crítica", en los últimos años se ha prestado cada vez más atención a los requisitos para el cumplimiento de la privacidad de los datos. A través de la detección integral y la identificación de riesgos de los datos del usuario en la aplicación, admite vulnerabilidades de seguridad de aplicaciones, violaciones de leyes y regulaciones e información personal Detección automatizada y monitoreo regular de seguridad, seguridad del SDK y elementos de cumplimiento, identificando de manera completamente automática y rápida posibles riesgos de seguridad de las aplicaciones, ocultando comportamientos ilegales, incluido el robo de información personal, exportación de información, deducción maliciosa, etc. Al mismo tiempo, a través de servicios integrales de evaluación de riesgos y pruebas de cumplimiento de privacidad, ayuda a las empresas a descubrir y resolver riesgos potenciales de privacidad de manera oportuna, prevenir la fuga y el abuso de datos, brindar servicios integrales de protección de la privacidad para las empresas y ayudar a las empresas a cumplir con los requisitos. de reglamentos y normas pertinentes Mejorar la competitividad y la credibilidad de las empresas.