等保2.0在公安系统中的建设思路
公安行业等级保护建设相关背景
随着我国关键信息基础设施面临的网络安全形势日益严峻,国家对网络安全越来越重视,习总书记亲自担任中央网络安全与信息化委员会主任,并在全国网络安全和信息化工作会议上强调 “没有网络安全就没有国家安全”。这一论述,把网络安全上升到国家安全层面,为加快我国网络安全能力建设指明了方向,提供了遵循的依据。
网络安全等级保护制度是我国进行网络安全建设的重要指导文件,《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》等法规条例中也明确了国家实行网络安全等级保护制度、关键信息基础设施在网络安全等级保护制度基础上,应实行重点保护等法规要求。
公安信息网络承载着维护社会治安、技术侦查破案、保卫国家安全等重要信息系统,是我国关键信息基础设施之一。由于其业务的特殊性,网络中存储着大量敏感数据信息,一旦网络被黑客渗透、攻击,可能会引发业务系统瘫痪,敏感数据泄露等安全事件,影响公安机关日常业务的开展,严重时甚至会对社会秩序、国家安全造成严重影响。由于公安信息系统的关键性及特殊性,公安部高层领导高度重视公安信息网络安全建设的情况,多次开展全国公安信息网、视频网的安全检查工作,梳理公安信息网络安全建设状况,排查系统安全隐患,并将等保合规建设列入了各地公安机关科技信息化部门考核指标。因此,公安信息网络实行等级保护建设,势在必行。
公安行业等级保护建设现状
各地公安机关高度重视网络安全建设工作的政策法规和行业要求,在等保1.0施行过程中,逐步开展了针对公安信息网等网络的安全建设改造工作,已经初步形成基础安全防护的技术架构。但是由于项目建设周期、预算等问题,部分业务系统尚未完成等保定级,缺乏安全防护措施。近年来公安信息系统应用发展迅速,大量系统应用了包括云计算、大数据、物联网等新兴技术,同时随着视频专网、移动警务等业务专网的建设,在提高公安机关业务处理能力的同时也带来了一系列的安全问题,如存在安全边界模糊、敏感数据泄露、缺乏准入认证措施、应用安全防护能力不足、安全管理措施不当等问题,这一现象也从侧面显示出公安信息网络在落实等级保护1.0建设的过程中,存在的较大差距和挑战,同时按照等保1.0标准已不能应对现有环境下的安全问题。
等保2.0于2019年5月10日正式发布。相关标准规范为当下公安行业安全建设提供了有力的安全建设参考依据,云计算、大数据、物联网等扩展要求的增加填补了原有技术规范的空白,同时引入了可信计算的概念,更贴合当今网络大环境下的新一代警务综合应用系统安全需求。
公安信息网络作为我国关键信息基础设施,各级领导高度重视其安全问题。公安部在2017年率先发布了公安行业网络安全等级保护定级指南、以及部分扩展技术要求;2018年5月,公安部正式下发《关于开展公安机关信息系统网络安全等级保护定级备案工作的通知》。各地公安机关单位积极响应并陆续开展了定级备案工作,已经逐步完成了包括资产梳理、定级备案、需求调研等相关工作,陆续着手编写顶层规划、整改方案等,并在2019年计划开始等级保护2.0建设改造工作 。
公安行业网络安全等级保护建设思路
网御星云深度参与了等保2.0三个部分(基本要求、测评、安全设计)标准起草编制工作,还参与了全国各地多个公安客户等保定级、方案设计规划、整改实施、辅助测评等工作,在公安行业等保安全建设工作中积累了深厚的经验。目前结合公司完善的技术产品体系、服务体系,已梳理出完善的公安行业等级保护建设思路,为解决公安用户业务安全需求,满足等级保护、公安行标等标准规范要求,提供了安全合规建设的参考依据。
灵狐科技公安行业等保建设思路框架图
依据等保2.0标准和公安行业等保建设要求,以公安信息网重要应用系统、重要网站、边界安全、大数据安全、公安视频传输网等关键信息基础设施为重点保护对象,将会是公安行业等级保护合规建设的重点。
公安行业等保2.0建设工作围绕“一个中心、三重防护”的防护理念展开,整体安全体系的构建从1.0的被动防御向事前预防、事中响应、事后审计的动态防护体系转变,更加注重全方位主动防御、安全可信、动态感知和全面审计等方面。
公安行业等保2.0的建设思路,主要从安全物理环境、安全通信网络、安全区域边界、安全计算环境等几个维度展开,着力构建基于主动防御的安全防护技术体系;通过建立安全管理机构、完善安全管理制度、设立安全管理中心等完善现有安全管理体系;通过建立运维管理制度、规范运维人员操作形成专业化的安全运维体系;依托国家网络安全技术相关技术单位、安全企业等提供的合规咨询、应急响应、安全培训等服务,构建全方位、立体化的安全服务体系;并以此为公安信息网络全网构建以安全管理体系为基础、以安全技术体系为手段、以安全服务体系为支撑、以运维服务体系为保障的纵深防护体系,为公安业务开展提供安全、稳定、高效的运行环境,为提升整体安全防护水平,促进智慧警务建设提供有力保障。