文章目录
前言
关键信息基础设施是关乎国家命脉的重要战略资源,通过关键信息基础设施体系化安全防护的需求和问题,提出了采用商用密码进行安全防护既需满足定期评估“密码应用合规性”要求,又需实现动态监控“密码运行安全性”的观点;既要保证系统自身安全,又要提升关联业务系统的整体安全防护水平。
在现有商用密码应用保障体系的基础上,构建了密码运行安全体系,提出建设商用密码态势感知平台以及密码应用成熟度评估体系的设想和建议。
一、关键信息基础设施的重要性
美国早在 2018 年就成立了专门保护关键基础设施网络安全的机构——网络安全和基础设施 安 全 局(Cybersecurity and Infrastructure Security Agency,CISA),为利益相关方提供持续性、主动性、全国性的应对风险、威胁,以及缓解措施的方法。
2021 年 7 月,拜登签署《加强关键基础设施控制系统网络安全备忘录》,指出关键基础设施面临的网络安全威胁是美国面临的日益严重的关键问题之一。要求 CISA 和美国国家标准 与 技 术 研 究 院(National Institute of Standards and Technology,NIST)为管理关键基础设施的组织创建相关基准 。2023 年 3 月,美国公布了 2024 财年的预算申请,其中有 4.25 亿美元用于 CISA 的网络分析与数据系统(Cyber Analytics and Data System,CADS)。CADS 为原“爱因斯坦”计划,也称为国家网络安全保护系统(National Cybersecurity Protection System,NCPS)的“后端分析大脑”,为关键基础设施及关键网络提供主动检测、可定制的风险评估、缓解策略、漏洞披露等技术支持和战略援助,以提早识别漏洞、供应链攻击等潜在的安全风险,便于主动施策、抵御攻击 。
近年来,我国相继出台了《密码法》《关键信息基础设施安全保护条例》《信息安全技术关键信息基础设施安全保护要求》等一系列法律法规及标准要求。各行业领域对关键信息基础设施的保护也越来越重视,推动了商用密码技术的深入应用与全面发展,为关基安全保障提供了重要政策支撑。随着网络空间技术的发展和安全需求的不断变化,密码技术在重要领域关键信息系统中的作用和地位愈发凸显,以新安全格局保障新发展格局,确保国家安全更为稳固。