前言

　　自中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議上，習(xí)近平總書記指出“要抓緊制定立法規(guī)范，完善互聯(lián)網(wǎng)信息內(nèi)容管理、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等法律法規(guī)”以來；國(guó)家陸續(xù)出臺(tái)《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡(luò)安全審查辦法》等，引領(lǐng)我國(guó)網(wǎng)絡(luò)空間安全治理邁入依法治網(wǎng)、依法管網(wǎng)、依法護(hù)網(wǎng)、依法用網(wǎng)的法制化時(shí)代。

　　《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱《條例》）的正式實(shí)施，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全保護(hù)邁進(jìn)了以關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)為重點(diǎn)的新階段，對(duì)保障國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定，以及推進(jìn)信息化建設(shè)具有十分重要的意義。

　　01 網(wǎng)絡(luò)空間安全形勢(shì)嚴(yán)峻

　　關(guān)基設(shè)施安全受到威脅

　　導(dǎo)致關(guān)鍵服務(wù)運(yùn)行中斷：2015年12月，烏克蘭配電公司約60座變電站遭到網(wǎng)絡(luò)攻擊，其首都基輔和烏克蘭西部的140萬名居民遭遇數(shù)小時(shí)停電；

　　導(dǎo)致通信基礎(chǔ)設(shè)施癱瘓：2016年10月，美國(guó)域名服務(wù)器管理機(jī)構(gòu)Dyn遭到Mirai病毒攻擊，眾多網(wǎng)站無法訪問，美國(guó)大半個(gè)互聯(lián)網(wǎng)癱瘓；

　　導(dǎo)致大規(guī)模供應(yīng)鏈中斷：2021年5月，美國(guó)最大成品油運(yùn)輸管道運(yùn)營(yíng)商Colonial Pipeline公司工控系統(tǒng)遭勒索病毒攻擊導(dǎo)致停機(jī)，造成近100GB數(shù)據(jù)竊取及成品油運(yùn)輸管道運(yùn)營(yíng)中斷。

　　全球多起基礎(chǔ)設(shè)施和重要信息系統(tǒng)遭受網(wǎng)絡(luò)攻擊事件頻發(fā)，引發(fā)了全球各國(guó)對(duì)加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的思考。

　　02 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)

　　作為各國(guó)網(wǎng)絡(luò)安全戰(zhàn)略重要一環(huán)

　　美國(guó)自1998年頒布《克林頓政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)政策》以來，先后實(shí)行了《關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法》《增強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架（CSF）》《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》等20余項(xiàng)保護(hù)政策，就關(guān)鍵信息基礎(chǔ)設(shè)施安全的識(shí)別、安全保護(hù)框架、安全評(píng)估要求及規(guī)范等諸多方面進(jìn)行標(biāo)準(zhǔn)化布局，推動(dòng)建立了防護(hù)完善的安全保護(hù)體系。

　　歐盟自2004年“歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)規(guī)劃”啟動(dòng)以來，陸續(xù)出臺(tái)《網(wǎng)絡(luò)與信息安全指令》《識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》等多項(xiàng)政策，全面強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要性，實(shí)行以風(fēng)險(xiǎn)管理為基礎(chǔ)的安全治理策略。

　　我國(guó)伴隨著《條例》的出臺(tái)，也加快了關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系的建設(shè)工作，包括《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》《關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》等相關(guān)標(biāo)準(zhǔn)，就關(guān)基設(shè)施安全保護(hù)的基本要求、檢測(cè)評(píng)估的流程指南、應(yīng)急演練協(xié)同機(jī)制等內(nèi)容為運(yùn)營(yíng)者提供了重要技術(shù)基礎(chǔ)。

　　關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力的提升不僅要依靠資金投入、技術(shù)提升等，更離不開政府的高度重視和政策支持，通過對(duì)法律法規(guī)等制度體系的健全完善來牽引整體保護(hù)能力的不斷提升，已成為國(guó)際社會(huì)普遍共識(shí)。

　　03 關(guān)鍵信息基礎(chǔ)設(shè)施

　　安全保護(hù)體系的構(gòu)建

　　1.關(guān)鍵信息基礎(chǔ)設(shè)施的界定

　　關(guān)鍵信息基礎(chǔ)設(shè)施（又稱CII），《條例》第二條就關(guān)鍵信息基礎(chǔ)設(shè)施的范圍進(jìn)行了定義，同時(shí)在第二章“關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定”中明確指出保護(hù)工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則，并報(bào)國(guó)務(wù)院公安部門備案。

　　目前相關(guān)的認(rèn)定標(biāo)準(zhǔn)如《CII要素識(shí)別指南》、《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》等已經(jīng)在制定中。根據(jù)法規(guī)文件及專家解讀，關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則主要考慮下列因素：

　　● （1）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等對(duì)于本行業(yè)、本領(lǐng)域關(guān)鍵核心業(yè)務(wù)的重要程度；

　　● （2）網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；

　　● （3）對(duì)其他行業(yè)和領(lǐng)域的關(guān)聯(lián)性影響。保護(hù)工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知運(yùn)營(yíng)者，并通報(bào)國(guó)務(wù)院公安部門。

　　2.各方職責(zé)的明確

　　對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的監(jiān)管體系《條例》提出了分類分層的監(jiān)管模式：國(guó)家層面由國(guó)家網(wǎng)信部門（國(guó)家工業(yè)和信息化部）負(fù)責(zé)統(tǒng)籌協(xié)調(diào)，協(xié)調(diào)網(wǎng)絡(luò)安全信息的共享以及各部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全檢查檢測(cè)工作；國(guó)務(wù)院公安部門（公安部）負(fù)責(zé)指導(dǎo)監(jiān)督工作，從保證國(guó)家安全角度出發(fā)，包括負(fù)責(zé)規(guī)則備案、匯總基礎(chǔ)設(shè)施名單、收集重大網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)安全威脅信息、對(duì)基礎(chǔ)設(shè)施進(jìn)行網(wǎng)絡(luò)安全檢查檢測(cè)等工作；國(guó)務(wù)院電信主管部門（國(guó)家工業(yè)和信息化部）負(fù)責(zé)行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作（如匯集基礎(chǔ)電信網(wǎng)絡(luò)實(shí)施漏洞探測(cè)、滲透性測(cè)試等活動(dòng)情況）。

　　地方層面則由省級(jí)人民政府有關(guān)部門進(jìn)行保護(hù)監(jiān)督管理工作。

　　3.重點(diǎn)保護(hù)方法論

　　參照《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求（報(bào)批稿）》等標(biāo)準(zhǔn)，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度應(yīng)建立在網(wǎng)絡(luò)安全等級(jí)保護(hù)體系基礎(chǔ)上，著眼分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等重點(diǎn)活動(dòng)的建設(shè)，并圍繞關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全風(fēng)險(xiǎn)識(shí)別到處置進(jìn)行閉環(huán)管理，其體系框架如圖1所示。

　　圖1 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系框架

　?。?）分析識(shí)別：圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的業(yè)務(wù)，開展業(yè)務(wù)識(shí)別、資產(chǎn)識(shí)別、風(fēng)險(xiǎn)識(shí)別等活動(dòng)，為后續(xù)環(huán)節(jié)開展工作打下基礎(chǔ)；

　?。?）安全防護(hù)：根據(jù)已識(shí)別的相關(guān)信息從安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全運(yùn)維管理、供應(yīng)鏈安全保護(hù)、數(shù)據(jù)安全防護(hù)等方面進(jìn)行安全能力的建設(shè)加固；

　?。?）檢測(cè)評(píng)估：對(duì)安全防護(hù)環(huán)節(jié)的安全措施有效性進(jìn)行驗(yàn)證，定期開展相關(guān)活動(dòng)；

　　（4）監(jiān)測(cè)預(yù)警：制定實(shí)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警制度，及時(shí)對(duì)安全事件做出響應(yīng)；

　?。?）主動(dòng)防御：在減少暴露面的同時(shí)，采取誘捕、溯源、干擾和阻斷等措施主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊事件；

　　（6）事件處置：對(duì)網(wǎng)絡(luò)安全事件進(jìn)行報(bào)告和處置并采取相應(yīng)的應(yīng)對(duì)措施。

　　04 關(guān)鍵信息基礎(chǔ)設(shè)施

　　安全保護(hù)工作的思考

　　《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（報(bào)批稿）是基于《網(wǎng)絡(luò)安全法》和《條例》，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上，結(jié)合我過現(xiàn)有網(wǎng)絡(luò)安全保障體系成果，從分析識(shí)別、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、主動(dòng)防御、事件處置等環(huán)節(jié)，提出可落地的安全保護(hù)要求。

　　01 以“三同步”為核心，建章立制夯實(shí)責(zé)任

　　《條例》在第十二條中明確提出 “安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用”，奠定了“三同步”作為關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全合規(guī)建設(shè)的原則和前提要求，在實(shí)踐中我們建議通過安全規(guī)劃前置、安全建設(shè)同步和持續(xù)的安全運(yùn)營(yíng)來真正落實(shí)“三同步”原則。

　　02 以風(fēng)險(xiǎn)管理為導(dǎo)向，建設(shè)動(dòng)態(tài)防御機(jī)制

　　不同環(huán)境場(chǎng)景下關(guān)鍵信息基礎(chǔ)設(shè)施所面對(duì)的安全威脅呈現(xiàn)動(dòng)態(tài)變化，需要根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)特點(diǎn)、網(wǎng)絡(luò)特征及面臨的安全威脅，構(gòu)建動(dòng)態(tài)的風(fēng)險(xiǎn)監(jiān)測(cè)和安全防護(hù)措施，形成動(dòng)態(tài)的安全防護(hù)機(jī)制，根據(jù)面對(duì)的安全風(fēng)險(xiǎn)進(jìn)行動(dòng)態(tài)調(diào)整，以及時(shí)有效的應(yīng)對(duì)安全風(fēng)險(xiǎn)。

　　首先，運(yùn)營(yíng)者應(yīng)自行或委托第三方機(jī)構(gòu)進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估，評(píng)估工作每年至少進(jìn)行一次，并對(duì)發(fā)現(xiàn)的問題及時(shí)整改。其次，運(yùn)營(yíng)者應(yīng)建立常態(tài)、快速的監(jiān)測(cè)與響應(yīng)能力，并與內(nèi)外部組織和人員積極聯(lián)動(dòng)情報(bào)、預(yù)警及處置措施。同時(shí)，運(yùn)營(yíng)者應(yīng)重點(diǎn)加強(qiáng)在實(shí)戰(zhàn)方面的建設(shè)，包括落地攻擊捕獲、干擾、阻斷、封控等技術(shù)手段，定期開展攻防演練。

　　03 以信息共享為基礎(chǔ)，健全聯(lián)防聯(lián)動(dòng)體系

　　情報(bào)信息作為安全決策的基礎(chǔ)，在現(xiàn)在的網(wǎng)絡(luò)空間安全防御體系中占據(jù)著重要位置。《條例》第二十三條強(qiáng)調(diào)“國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機(jī)制，及時(shí)匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息，促進(jìn)有關(guān)部門、保護(hù)工作部門、運(yùn)營(yíng)者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”。需要打通不同安全設(shè)備間的信息壁壘，建立以威脅情報(bào)驅(qū)動(dòng)的安全能力，實(shí)現(xiàn)整體網(wǎng)絡(luò)的聯(lián)防聯(lián)動(dòng)，提升面對(duì)大規(guī)模網(wǎng)絡(luò)攻擊的防范能力。

　　04 關(guān)注潛在安全風(fēng)險(xiǎn)，加強(qiáng)特殊場(chǎng)景安全

　　《條例》中提到：“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過安全審查”，“履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度”。為維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的安全可靠，應(yīng)加強(qiáng)其在供應(yīng)鏈安全、數(shù)據(jù)安全兩方面的安全建設(shè)。

　　05 小結(jié)

　　關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系作為網(wǎng)絡(luò)安全體系中的一部分，隨著后續(xù)其配套制度和標(biāo)準(zhǔn)逐步發(fā)布，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)勢(shì)必成為企業(yè)不可或缺的安全合規(guī)內(nèi)容。而如何做好完善的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，積極配合相關(guān)部門開展關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定和保護(hù)一直都是業(yè)內(nèi)關(guān)注探討的問題。希望本文能夠給各關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在相關(guān)安全工作建設(shè)提供借鑒和思考。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<