重要信息系统(关键信息基础设施)保护(CIIPT)的必要性!
随着我国信息化建设步伐的加快,信息系统建设已经达到了一个相当的规模,这些系统中承载着我国各行业的重要业务,正发挥越来越重要的作用。这些重要信息系统的安全保护(Critical Information Infrastructure Protection:CIIP)越来越成为人们关注的焦点,其安全保护水平直接关系到我国公众利益、经济秩序和国家安全。
在介绍CIIPT(重要信息系统安全保护人员培训)之前,想和大家分享两个案例:
1、委内瑞拉的电力系统之觞
今年5月5日晚间委内瑞拉国家电网干线遭到攻击,造成全国大面积停电,这是发生在挫败美国雇佣兵入侵数小时后。这让我们回想起2019年3月份委内瑞拉的大规模停电事件。
2019年3月7日下午开始,包括首都加拉加斯在内的委内瑞拉全国发生大规模停电,直到8日傍晚,供电部分恢复。当地时间9日,委内瑞拉总统马杜罗在参加集会时说,全国受停电影响地区本来已经恢复大约70%的供电,但当天中午电力系统又受到新一轮网络攻击,导致再次崩溃。3月10日,据今日俄罗斯报道,委内瑞拉总统马杜罗表示,该国电力系统已成为最新一轮“网络攻击”的目标。
事实上,早在2017年8月初,委内瑞拉就遭受大规模网络攻击,导致数十家政府网站关闭,另外造成7百万手机用户无法使用电信服务。
另外,电力系统的脆弱性在世界范围内都极为严重。《华尔街日报》的文章指出,俄罗斯黑客频繁攻击美国电网系统,很多攻击并不是正面入侵公用事业公司,而是把目标对准了防护措施更薄弱的电网承包商们。去年据美国媒体披露,美国电网设施中也发现了潜伏的恶意代码!
2、网络攻击引发的核安全担忧
据《原子科学家公报》2019年11月14日报道,10月30日,印度官员承认了库丹库拉姆核电厂计算机网络遭受外来攻击。这起网络攻击事件是在9月初被发现的。
库丹库拉姆核电厂是印度最大的核电站,建有两座俄罗斯设计和提供的VVER型压水堆,单台机组电功率1000MWe。
虽然报道宣称库丹库拉姆核电厂反应堆运行没有受到影响,但这一事件再次发出了警告,核电行业必须更加认真地重视网络安全。但是令人担忧的是,当前网络安全并未受到重视。据英国智库查塔姆研究所2015年发表的一份报告指出,网络安全是核电行业普遍存在的短板并贯穿于从管理到培训再到用户的行为。
自1990年以来已发生过20多起已知的针对印度核设施的网络攻击事件。在这些事件中包括了因软件漏洞和不良测试更新引发的恶意入侵,虽然这些事件不够大,但表明了核机构也不能在网络威胁中幸免。
过去很长一段时间,人民群众并不会把网络信息安全跟个人人身安全、社会稳定、国家安全联系起来,大家普遍认为安全事件那是很遥远的事情,都是当作故事来听的。
可是近年来一系列事件,如伊朗的震网病毒事件、乌克兰电网的停电事件、印度核电站网络攻击事件、到当前的委内瑞拉电网瘫痪事件,无不向世人展示着重要信息系统的安全就是国家安全,就是社会稳定,就是人民群众的个人安全。国家的正常运转依赖着电力系统的正常供应,依赖着城市市政系统的正常运转,千家万户使用的自来水、天然气等都紧紧维系着人民的日常生活,更不用说石油化工、金融、医疗、军工等一系列国家的命脉支柱产业。
现在的重要信息系统安全就像原子弹的威力一样,当这些先进的武器和技术只掌握在少数发达国家手中之后,落后就要挨打的真理永不会过时。如果委内瑞拉也有相当的网络防御和攻击技术,那可能也就不会发生偌大的停电事件,举国上下陷入一片混乱。
委内瑞拉的事件又给我国的政府和网络安全从业者敲响了一个警钟,无论是国家还是企业,都务必对企业网络信息安全问题引起重视,并加大投入。防御在前,才能应对瞬息万变的局面,国家重要信息系统的安全建设都将会是一场“持久战”!
重要信息系统安全保护人员培训 (Critical Information Infrastructure Protection Training,简称:CIIPT)是公安部信息安全等级保护评估中心推出的针对重要信息系统的运营使用单位、安全服务提供商、IT 行业相关人员的安全保护能力培训。通过在各部门、各行业中广泛开展和普及等级保护相关政策、标准、要求和方法,让更多的人意识到等级保护制度对于我国重要系统安全稳定运行的重要性,并严格依据国家相关要求在信息系统规划设计、工程实施、运行维护和测评自查等各个环节中保障各项安全措施的贯彻落实。
根据公安部信息安全等级保护评估中心《关于举办安徽省重要信息系统保护人员培训(CIIPT)的通知》要求:
为落实网络安全等级保护制度,公安部信息安全等级保护评估中心联合合肥天帷信息安全技术有限公司面向全省各有关单位举办“安徽省第一期国家重要信息系统保护人员培训(CIIPT)”,旨在为重要行业部门提供网络安全教育训练支持,培养和认证网络安全专门人才和高端人才。
CIIPT特点
对我国信息安全政策、法规、标准的权威性解读;
注重对信息安全规划设计与测评技术的培训;
注重对重要系统安全保护相关人员实际工作的指导。
目前主要分为信息安全管理员(CIIP-A)和信息安全管理师(CIIP-D)的培训两类。这两类证书根据能力不同又分初级、中级和高级三个级别。
CIIPT培养目标
(1)CIIP-A(Administrator) 信息安全管理员
-
提高掌握等级保护相关政策的水平;
-
提高开展本单位或行业等级保护工作的思路和水平;
-
清楚如何从资源分配(人、财、物)、效益分析等方面对本单位或本行业的等级保护工作做出决策;
-
如何通过各种管理手段,制订责任制对等级保护工作的开展进行有效管控,规避风险;
-
提高信息安全意识,了解和掌握信息安全事件的形势和趋势。
(2)CIIP-D(Director) 信息安全管理师
-
了解国家信息安全相关政策、法规,深入理解信息安全等级保护制度,熟悉等级保护中各个环节的工作思路和方法,能够组织开展好本单位等级保护工作;
-
熟悉信息系统定级工作流程,准确把握重要信息系统等级,能够独立开展信息系统重要性调查和分析,能够完成信息系统定级报告和重要性分析报告,熟悉备案流程和方法;
-
熟悉信息安全建设整改工作流程、内容和要求,掌握安全规划设计和等级测评工作方法,熟悉等级保护相关标准、技术和产品,能够根据等级保护要求组织本单位安全规划和整改方案的设计、实施和运行维护;
-
熟悉信息系统安全运行管理、信息安全技术理论、运行监控及应急响应方面的专业知识;
-
掌握建立安全管理制度体系的方法,能够按照等级保护要求开展安全维护、运行监控和应急响应,保障信息系统安全保护能力持续有效。
CIIPT培训对象
(1)CIIP-A(Administrator) 信息安全管理员
培训对象:重要行业部门开展网络安全或信息化工作的技术骨干。
(2)CIIP-D(Director) 信息安全管理师
培训对象:重要行业部门网络安全或信息化的管理干部。
组织形式
指导单位:公安部信息安全等级保护评估中心
主办单位:合肥天帷信息安全技术有限公司