网络安全管理工作平台在部委央企建设应用建议

发布时间:2016-01-05 09:52 作者:蔡海涛来源:中国信息安全博士网点击:加载中...次

　　1、网络安全信息化建设背景

2014年，中央网络安全和信息化领导小组成立，习近平总书记任组长，并在小组第一次会议上指出：“没有网络安全就没有国家安全，没有信息化就没有现代化”、“网络安全和信息化事关国家安全和国家发展”，可见网络与信息安全工作已被提升至国家战略安全层面。国家信息化领导小组《关于加强信息安全保障工作的意见》(中办发[2003]27号文)要求“坚持积极防御、综合防范的方针，全面提高信息安全防护能力，重点保障基础信息网络和重要信息系统安全，创建安全健康的网络环境，保障和促进信息化发展，保护公众利益，维护国家安全”。

信息安全等级保护制度是我国信息安全保障工作的基本制度、基本策略和基本方法，是促进信息化健康发展，维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定，要实行信息安全等级保护，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施，也是一项事关国家安全、社会稳定、国家利益的重要任务。

信息安全检查和信息通报是信息安全管理的重要手段。网信办、公安部、工信部等主管部门定期组织国家网络与信息安全检查，并明确要求各行业主管部门也要定期对本行业的网络与信息安全开展检查和培训。国家网络与信息安全信息通报机制也正在研究建立，将通过信息安全信息通报预警工作，带动信息安全各项工作的深入开展。

　　在政策法规方面：

2015年6月，第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》。现正在《中华人民共和国网络安全法(草案)》在中国人大网公布，向社会公开征求意见。

其中以下条款对各行业的信息安全建设提出了指导要求、方向和赋予相关责任：

第六条　国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院工业和信息化、公安部门和其他有关部门依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

　　第四十四条　国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。

　　第四十五条　负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。

　　第四十六条　国家网信部门协调有关部门建立健全网络安全应急工作机制，制定网络安全事件应急预案，并定期组织演练。

　　负责关键信息基础设施安全保护工作的部门应当制定本行业、本领域的网络安全事件应急预案，并定期组织演练。

　　网络安全事件应急预案应当按照事件发生后的危害程度、影响范围等因素对网络安全事件进行分级，并规定相应的应急处置措施。

为加强信息安全管理工作，各部委单位相继成立了网络安全处(室)等相关机构，主要职责就是对本行业信息安全进行技术指导和管理，日常业务范围包括信息安全制度规范建设、行业等级保护管理、安全检查、安全通报等管理工作。但部分单位当前信息安全面临的主要问题就是重要信息系统底数不清、等级保护工作滞后，信息安全管理方式落后、效率低下。为此，需要建设网络安全管理工作平台，作为本单位信息安全管理的统一入口，通过平台促进信息安全管理工作的全面发展，实现安全工作的快速部署、安全数据的集中管控、安全态势的动态分析。

　　2、系统建设的必要性

各部委、央企的网络安全管理工作平台以贯彻落实中央关于加强网络安全和信息化工作的要求为指导，以提升本行业信息安全综合监管水平为核心目标，围绕信息系统等级保护以及安全态势分析、风险监控、预测预警和应急响应等管理工作，设计并建设本平台，为本行业信息安全管理提供全面的技术服务保障。

首先要做好国家相关部门规范的业务工作，通过外部的业务要求指导，加强提升本行业的网络安全信息化整体水平。在业务普及中提升全体信息安全主管部门及安全联络员的管理技术能力；

其次通过规范业务的工作开展，在实践中全面掌握网络安全现状，分析网络安全管理重点和难点，构建本行业网路安全管理工作平台；

再次通过逐级深化的方式，稳步推进专项业务的深入开展，实现覆盖本行业的整体信息安全综合监管能力。

　　3、平台系统架构设计

圣博润公司结合多年的网络安全信息化建设方面的经验，规划并推出了面向国家部委央企的网络安全管理工作平台：