9月11日-12日,由中国信息安全测评中心指导,华为技术有限公司联合中国移动通信集团有限公司等行业单位专家共同编撰的《关键信息基础设施网络及信息系统作业可信与安全白皮书》(以下简称“白皮书”),分别在第六届“纵横”网络空间安全创新论坛(广州)和CCS 2024“AI+网信安全”技术交流活动(成都)上正式发布。

白皮书由中国信息安全测评中心指导,华为全球技术服务部首席网络安全官/合规官段学鹏、网络安全与可信首席专家梁永张及其团队,联合中国移动集团有限公司等产学研用单位的专家学者,结合关基保护工作相关经验、方法、标准等理论实践,共同总结编写。

华为全球技术服务部首席网络安全官/合规官段学鹏在会上对白皮书进行解读

白皮书以关键信息基础设施网络及信息系统的作业为切入点,结合大量的实践经验,创新提出作业可信与安全的基本概念和OTSMM管理模型,并定义了透明、可追溯、符合预期三个基本特征。

近年来,关键信息基础设施网络及信息系统的作业事故时有发生,全球法规对作业可信与安全提出更高的要求,网络及信息系统作业可信与安全面临极大挑战,白皮书描述了作业可信与安全的整体管理方案,从组织的治理与管理、作业可信与安全的要素管理和数字化技术与平台三个方面,开展体系化的管理:

  • 组织的治理与管理:充分评估组织在作业可信与安全管理的责任和义务,从组织综合管理视角为整个作业可信与安全的体系建设提供了框架和指引。

  • 作业可信与安全的要素管理:围绕关键要素,从执行视角用切实的行动防范和消减风险,确保作业活动对业务及数据的结果和影响符合方案设计。

  • 数字化技术与平台:围绕作业工具平台,沉淀作业可信与安全管控的技术和数字化能力,实现关键管控活动的IT自动化和运营数据的可视化。

白皮书以通信领域网络及信息系统的典型作业场景为例,拆解分析作业的全过程和关键要素,抽象出人员、授权、流程/规则、账号、工具/平台、软硬件、方案、接入、操作、数据和网元等要素,参考系统工程方法和控制模型,形成了作业可信与安全管理模型(Operation Trustworthy and Safety Management Model,OTSMM)。网络及信息系统的相关方围绕关键要素开展管理。

白皮书对作业可信与安全要素模型的各个要素风险进行了详细的阐述,并给出了数字化技术与平台建设的原则和框架,通过数字化技术与平台构筑作业可信与安全的管控能力,实现作业人员在使用作业工具平台时无感知落地作业可信与安全的各项要求。白皮书还分享了中国移动通信集团作业安全管理平台、华为Netcare云地协同作业管理平台的优秀实践。此外,白皮书还展望了作业可信与安全管理在未来面临的人因工程、AI、大模型等课题。

面向未来,华为全球技术服务部将与行业组织共同持续推动建设关键信息基础设施网络及信息系统的作业可信与安全,构筑更加健康、稳定、安全及可信的网络空间,护航数字中国宏伟蓝图的胜利实现。

扫码免费获取白皮书

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。