隨著我國綜合國力的提升，面臨的國際形勢越發(fā)嚴峻，網(wǎng)絡(luò)威脅日益嚴重，給關(guān)鍵信息基礎(chǔ)設(shè)施保護工作帶來了更大的挑戰(zhàn)。國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全作為網(wǎng)絡(luò)安全保護的重中之重，需要結(jié)合當(dāng)下的時代背景、網(wǎng)絡(luò)空間特點從多個角度綜合考慮。一是明確目前保護工作所處的階段，綜合考慮關(guān)基的動態(tài)變化帶來的威脅和安全挑戰(zhàn)，了解安全保護的難點；二是梳理當(dāng)前國內(nèi)關(guān)基安全保護相關(guān)要求，明確常態(tài)化保護和特殊時期保護的重點；三是從政府機構(gòu)、保護工作部門、關(guān)基運營者、檢測機構(gòu)等多角度提出建議要點，以更好地保護國家關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。

　　保護工作面臨的現(xiàn)實挑戰(zhàn)

　　保護階段初級化

　　2017年6月1日《網(wǎng)絡(luò)安全法》的正式實施，標(biāo)志著我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全進入了一個新的發(fā)展階段。但相比歐美等關(guān)鍵基礎(chǔ)設(shè)施保護起步最早的國家，并結(jié)合我國網(wǎng)絡(luò)安全客觀現(xiàn)狀而言，實際上目前我國正處于關(guān)鍵信息基礎(chǔ)設(shè)施保護新發(fā)展階段中的初級階段。主要表現(xiàn)為：

　　國家針對關(guān)基保護配套的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》陸續(xù)出臺，在邊界識別、保護要求、控制措施、保障指標(biāo)、應(yīng)急體系、檢查評估、測試評價，以及供應(yīng)鏈安全、數(shù)據(jù)安全、信息共享、監(jiān)測預(yù)警等方面開展了標(biāo)準(zhǔn)研制工作，標(biāo)志著在關(guān)基保護法律法規(guī)層面日趨成熟，但實質(zhì)性的關(guān)基保護體系建設(shè)工作尚未全面鋪開，運營者針對法律、標(biāo)準(zhǔn)中提到的安全技術(shù)、安全管理要求尚未落實到位，安全防護措施層面距離“重中之重”的安全要求和防護級別仍有較大的差距。運營者針對如何準(zhǔn)確識別關(guān)基方面仍面臨一定的困惑，尤其是自身的基礎(chǔ)設(shè)施識別、邊界的認定、重要數(shù)據(jù)識別等仍處于初級階段。部分的工控企業(yè)，涉及到業(yè)務(wù)生產(chǎn)連續(xù)性的考慮，短期內(nèi)無法更新迭代現(xiàn)有安全防護措施為法律標(biāo)準(zhǔn)要求的內(nèi)容。部分重要行業(yè)雖有一定的應(yīng)對網(wǎng)絡(luò)威脅的能力，但應(yīng)對網(wǎng)絡(luò)戰(zhàn)級別的實戰(zhàn)能力仍顯著不足，面對APT、零日漏洞的發(fā)現(xiàn)能力弱，整體聯(lián)防聯(lián)控、網(wǎng)絡(luò)對抗反制能力仍處于初級階段。

　　現(xiàn)實威脅常態(tài)化

　　關(guān)鍵信息基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)安全保護的重中之重，勢必會受到敵對國家、黑客組織的高度關(guān)注。近年來各國關(guān)基受到破壞的現(xiàn)實案例屢見不鮮，影響巨大。2020年美國SolarWinds 遭遇國家級 APT 團伙高度復(fù)雜的供應(yīng)鏈攻擊，超過 18000 家客戶全部受到影響，可任由攻擊者完全操控。2021年美國主要燃油、燃氣管道運營商科洛尼爾管道運輸公司（Colonial Pipeline）的 IT 網(wǎng)絡(luò)遭遇勒索軟件攻擊，使整個美國東南部出現(xiàn)汽油短缺現(xiàn)象等現(xiàn)實案例都對我國的關(guān)鍵信息基礎(chǔ)設(shè)施保護帶來了極大的啟示和預(yù)警作用。

　　我國的關(guān)鍵信息基礎(chǔ)設(shè)施面臨的現(xiàn)實威脅也不容樂觀，敵對國家已將我國作為網(wǎng)絡(luò)空間最主要的戰(zhàn)略對手，有國家背景的勢力、組織對我關(guān)鍵信息基礎(chǔ)設(shè)施、重要網(wǎng)絡(luò)和大數(shù)據(jù)平臺大肆進行攻擊、竊密。通過國家相關(guān)部門監(jiān)測發(fā)現(xiàn)，國內(nèi)大量重要行業(yè)部門、研究機構(gòu)等長期被攻擊和入侵，軍工和高科技單位工作人員郵箱被攻擊導(dǎo)致重要數(shù)據(jù)泄露，針對關(guān)基的勒索病毒事件頻發(fā)，突顯了我國關(guān)鍵信息基礎(chǔ)設(shè)施正面臨常態(tài)化的持續(xù)的現(xiàn)實網(wǎng)絡(luò)威脅。未來隨著我國綜合國力的不斷提升，國際地緣政治形勢緊張、新冠疫情的持續(xù)發(fā)展，敵對國家對我國的貿(mào)易戰(zhàn)、科技戰(zhàn)、輿論戰(zhàn)等常態(tài)化發(fā)展，都是威脅我國關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域網(wǎng)絡(luò)安全的重要因素，對關(guān)基工作的安全防護有著極大的挑戰(zhàn)。

　　技術(shù)發(fā)展動態(tài)化

　　國家關(guān)鍵信息基礎(chǔ)設(shè)施的運作高度依賴信息技術(shù)系統(tǒng)，這些系統(tǒng)具有高度復(fù)雜性和動態(tài)性，技術(shù)多樣且位置分散，這種復(fù)雜性增加了識別、管理和保護關(guān)鍵信息基礎(chǔ)設(shè)施的難度。云計算、大數(shù)據(jù)的廣泛應(yīng)用帶來了數(shù)據(jù)的集中，同時基于這些數(shù)據(jù)衍生的價值數(shù)據(jù)變成了保護的重點，增加了安全風(fēng)險，對安全保護能力提出了更高的要求。IPV6的規(guī)模部署和5G的應(yīng)用，為物聯(lián)網(wǎng)、車聯(lián)網(wǎng)、智能設(shè)備帶來了新的未知風(fēng)險。行業(yè)層面以國家電力關(guān)鍵信息基礎(chǔ)設(shè)施為例，以火電、水電為主的發(fā)電為主的電力時代已經(jīng)發(fā)展到側(cè)重新能源風(fēng)光發(fā)電的新型電力系統(tǒng)時代，在新的技術(shù)體系下，發(fā)電、輸電、變電、配電、用電等環(huán)節(jié)都改變了原有的技術(shù)架構(gòu)和應(yīng)用環(huán)境，面臨的內(nèi)外部威脅也發(fā)生了巨大變化。

　　此外，在當(dāng)下工業(yè)互聯(lián)網(wǎng)時代，關(guān)鍵基礎(chǔ)設(shè)施使用的系統(tǒng)和網(wǎng)絡(luò)也經(jīng)常與包括互聯(lián)網(wǎng)在內(nèi)的其他內(nèi)部和外部系統(tǒng)及網(wǎng)絡(luò)相互關(guān)聯(lián)，這也加劇了安全風(fēng)險?；A(chǔ)平臺的更迭、漏洞的頻發(fā)、攻擊技術(shù)的突飛猛進等都為關(guān)鍵信息基礎(chǔ)設(shè)施保護帶來了挑戰(zhàn)。安全需要與技術(shù)發(fā)展齊頭并進，安全要為發(fā)展做支撐，就勢必要適應(yīng)技術(shù)發(fā)展的動態(tài)，不斷衍生新的保護手段和措施。

　　新發(fā)展階段下的保護重點

　　扎實推進基礎(chǔ)防護

　　關(guān)鍵信息基礎(chǔ)設(shè)施保護仍處于新發(fā)展階段中的初級階段，安全保護體系尚未有效建立，信息資產(chǎn)類型呈多樣化，載體分布廣、數(shù)據(jù)源眾多，關(guān)基識別存在困難，進而影響保護工作的有效開展。初級階段是一個長期的過程，是需要劃分為不同階段的過程。要做好現(xiàn)階段下的關(guān)基保護工作，必須扎實推進基礎(chǔ)防護，筑牢關(guān)基保護工作的安全底座。

　　一方面國家層面要充分借鑒發(fā)達國家在關(guān)基保護工作方面的做法，結(jié)合我國國情進一步完善現(xiàn)有關(guān)基保護政策法規(guī)體系及標(biāo)準(zhǔn)，完善關(guān)基保護在時間層級、法律層級、體系層級的頂層設(shè)計，夯實基礎(chǔ)防護的法治基礎(chǔ)和理論基礎(chǔ)，加大國家級、行業(yè)級網(wǎng)絡(luò)安全信息共享、完善監(jiān)測預(yù)警制度、應(yīng)急處置、定期檢查與整改機制，使得運營者的日常保護工作“有法可依、有規(guī)可循”。

　　另一方面是關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)結(jié)合自身業(yè)務(wù)，調(diào)整安全建設(shè)重點方向，做到底數(shù)清晰，健全安全保護機構(gòu)、職責(zé)明確、保障有力，在貫徹落實網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，有效落實本單位關(guān)鍵信息基礎(chǔ)設(shè)施涉及的關(guān)鍵崗位人員、供應(yīng)鏈安全、數(shù)據(jù)安全、應(yīng)急處事等重點安全保護措施，同時也要充分利用原有的安全體系建設(shè)成果，合理改造合理利用。

　　縱觀歷史發(fā)生的各類網(wǎng)絡(luò)安全事件或安全問題，絕大多數(shù)是因為基礎(chǔ)安全配置不當(dāng)、基礎(chǔ)漏洞未修復(fù)、基本訪問控制策略不嚴謹、基本應(yīng)急體系不完善等眾多基礎(chǔ)問題組合導(dǎo)致的，所以關(guān)基保護應(yīng)借鑒和繼承網(wǎng)絡(luò)安全等級保護在國內(nèi)信息系統(tǒng)基礎(chǔ)防護方面發(fā)揮的巨大作用和先進經(jīng)驗，促進運營者形成有基礎(chǔ)、有效力的防護體系，將基礎(chǔ)安全工作落到實處。

　　重點突出數(shù)據(jù)保護

　　關(guān)基安全是網(wǎng)絡(luò)安全保護的重中之重，那么數(shù)據(jù)安全可以說現(xiàn)階段下是關(guān)基保護的重中之重。關(guān)基中承載的數(shù)據(jù)作為關(guān)鍵要素和重要戰(zhàn)略資源，在國家經(jīng)濟發(fā)展和社會進步中發(fā)揮著基礎(chǔ)性和全局性作用，一旦遭到泄露或破壞直接關(guān)乎危害國家安全、國計民生、公共利益的嚴重程度。近期滴滴事件給國內(nèi)關(guān)基運營者的數(shù)據(jù)安全保護工作帶了極大的震撼。一是處罰力度空前，近乎現(xiàn)有法律制度下的頂格處罰；二是違法違規(guī)持續(xù)時間長而不自知；三是數(shù)據(jù)違規(guī)出境逃避監(jiān)管審查，其最主要的影響還是數(shù)據(jù)主權(quán)安全以及對國家安全、公共利益安全帶來了極其嚴重的后果。

　　所以在現(xiàn)階段下，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的對數(shù)據(jù)安全的明確規(guī)定，要做好數(shù)據(jù)安全重點保護須把握

　　（一）履行合規(guī)義務(wù)，運營者直接負責(zé)的主管人員（如黨委書記、董事長、總裁等）和其他直接責(zé)任人員，都應(yīng)該明確法律對數(shù)據(jù)安全保護的要求，明確可能承擔(dān)的民事責(zé)任和刑事責(zé)任。高度重視保護個人信息、數(shù)據(jù)安全和網(wǎng)絡(luò)安全，盡快并持續(xù)開展合規(guī)檢查工作，避免觸碰監(jiān)管紅線。

　?。ǘ┟灞締挝坏臄?shù)據(jù)家底，不僅包括收集的數(shù)據(jù)，還應(yīng)包括數(shù)據(jù)共享、交換、加工后的價值數(shù)據(jù)，判斷其重要性，評估其面臨的風(fēng)險如有隱患，須立即停止、盡快整改。對于數(shù)據(jù)出境情況、擬赴國境外外上市的，除需做好全方位合規(guī)工作外，還應(yīng)提前做好主動向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查的準(zhǔn)備。

　　（三）做好數(shù)據(jù)安全保護配套措施，覆蓋本單位數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開等數(shù)據(jù)處理活動。尤其是加強對數(shù)據(jù)量大、多源、跨平臺流動的數(shù)據(jù)，增加數(shù)據(jù)流動性的安全風(fēng)險監(jiān)測，增加專職數(shù)據(jù)安全管理人員，在業(yè)務(wù)建設(shè)初期同步考慮數(shù)據(jù)安全。全面了解國內(nèi)外針對數(shù)據(jù)的網(wǎng)絡(luò)攻擊和竊密技術(shù)，有效應(yīng)對智能化、專業(yè)化的數(shù)據(jù)竊取攻擊。

　　逐步實現(xiàn)綜合防控

　　關(guān)基保護工作不是單兵作戰(zhàn)，單打獨斗能夠取勝的。要堅持“綜合協(xié)調(diào)、分工負責(zé)、依法保護”的原則，做到共同保護的要求。從現(xiàn)實角度講，關(guān)基保護需要一個區(qū)別于以往的綜合防控體系。從綜合協(xié)作角度，要形成國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施保護的良好生態(tài)，形成跨行業(yè)、跨部門、跨地區(qū)的立體化網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系，加強網(wǎng)絡(luò)安全態(tài)勢感知、通報預(yù)警和事件發(fā)現(xiàn)處置能力，加強威脅情報共享和保護經(jīng)驗分享。要突出融合，加強產(chǎn)業(yè)界網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和資源整合利用，堅持促進發(fā)展與依法管理相統(tǒng)一，共同維護國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。各地區(qū)、各部門應(yīng)該有清醒的認識，看清關(guān)基保護工作的隱匿性、復(fù)雜性，高效落實中央的決策部署，明確構(gòu)建國家網(wǎng)絡(luò)安全綜合防控系統(tǒng)的新目標(biāo)，采取“實戰(zhàn)化、體系化、常態(tài)化”的新理念，落實“動態(tài)防御、主動防御、縱深防御、精準(zhǔn)防護、整體防控、聯(lián)防聯(lián)控”的新舉措，實現(xiàn)國家網(wǎng)絡(luò)安全綜合防御能力和水平上升一個新高度。

　　未來亟需落地的保護建議

　　自上而下高效貫通

　　要全面加快推動自上而下高效貫通安全保護機制建設(shè)，結(jié)合行業(yè)重要業(yè)務(wù)特點和安全保護需求，對關(guān)基進行準(zhǔn)確識別，明確各行業(yè)，尤其是關(guān)鍵信息基礎(chǔ)設(shè)施所涉及行業(yè)的“關(guān)鍵、信息、基礎(chǔ)”特性。

　　此外要從關(guān)基運營者、保護工作部門、政府機構(gòu)等多角度需采取措施以更好地保護國家基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全，包括政府部門需要完善關(guān)鍵信息基礎(chǔ)設(shè)施重點保護的政策制定與解讀，以更好地引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施所有者和運營者體系化開展保護工作。完善網(wǎng)絡(luò)安全責(zé)任制、網(wǎng)絡(luò)安全監(jiān)督指導(dǎo)和監(jiān)測預(yù)警機制，建立網(wǎng)絡(luò)安全保護生態(tài)，形成一體化的網(wǎng)絡(luò)安全綜合防控體系。

　　行業(yè)主管部門應(yīng)牽頭建立行業(yè)安全標(biāo)準(zhǔn)，在充分借鑒現(xiàn)有標(biāo)準(zhǔn)基礎(chǔ)之上，聚焦國家關(guān)鍵信息基礎(chǔ)設(shè)施重要行業(yè)、重點領(lǐng)域，在關(guān)鍵環(huán)節(jié)、關(guān)鍵業(yè)務(wù)場景、關(guān)鍵網(wǎng)絡(luò)產(chǎn)品和服務(wù)等方面，進一步細化規(guī)范和推進關(guān)鍵信息基礎(chǔ)設(shè)施安全政策和法律法規(guī)落地，指導(dǎo)并支持關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營者常態(tài)化開展具體保護工作的落實。

　　運營者層面形成本單位黨委統(tǒng)籌領(lǐng)導(dǎo)、各部門分工負責(zé)、社會力量多方參與的網(wǎng)絡(luò)安全工作格局，安全措施落實有效有序，守好安全底線，同時為國家跨部門、跨地區(qū)和行業(yè)的立體化網(wǎng)絡(luò)安全監(jiān)測體系和預(yù)警平臺，提供數(shù)據(jù)支撐，應(yīng)急演練常態(tài)化開展，使得網(wǎng)絡(luò)安全重大事件得到有效防范、遏制和處置。

　　統(tǒng)籌兼顧突出重點

　　關(guān)鍵信息基礎(chǔ)設(shè)施保護工作需要統(tǒng)籌兼顧、全面推進；針對一個運營者來說，要實現(xiàn)國家要求和行業(yè)要求的統(tǒng)籌，實現(xiàn)具體措施和安全實際的統(tǒng)籌，實現(xiàn)安全投入和安全產(chǎn)出的統(tǒng)籌。從保護角度而言安全無小事，在實際工作中有可能就是因為一個關(guān)鍵設(shè)備的補丁沒打、開啟了一個多余服務(wù)、一個不合理的網(wǎng)絡(luò)暴露面，就可能被惡意利用而導(dǎo)致網(wǎng)絡(luò)整體失陷，所以在某種程度上保護工作確實需要面面俱到，尤其是基礎(chǔ)防護工作。但同時也要分清主次、重點突出。要明確保護邊界、現(xiàn)階段保護重點，不能過保護或做無效的保護。

　　關(guān)于關(guān)基保護應(yīng)該重點突出的具體做法，目前除了《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》外，可重點參考《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》。保護要求主要是在國家網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上，借鑒我國相關(guān)部門在重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護工作的成熟經(jīng)驗，吸納國內(nèi)外在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護方面的舉措，結(jié)合我國現(xiàn)有網(wǎng)絡(luò)安全保障體系等成果，從分析識別、安全防護、檢測評估、監(jiān)測預(yù)警、主動防御、事件處置等方面，提出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求，采取必要措施保護關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)運行，及其重要數(shù)據(jù)不受破壞，切實加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護。

　　在日常實踐中，要注意以下幾點：

　　第一，要立足本單位網(wǎng)絡(luò)安全實際，分清輕重緩急。根據(jù)各項保護工作所處的客觀地位來決定和評估哪項工作在現(xiàn)實中確實能夠牽動全局，哪項工作必要性緊迫性最高，以此來投入建設(shè)，果斷應(yīng)對。

　　第二，正確處理全局和重點的關(guān)系。例如在抓好數(shù)據(jù)安全重點工作的同時，不可忽視數(shù)據(jù)支撐環(huán)境的安全工作，明確數(shù)據(jù)安全管理作為整體網(wǎng)絡(luò)安全管理的一個重要組成，明確加強數(shù)據(jù)安全建設(shè)的同時也是對整體網(wǎng)絡(luò)安全的加強。要根據(jù)保護工作重點目標(biāo)與其他工作的內(nèi)在聯(lián)系，把各項保護工作一起搞上去，使主次配合，統(tǒng)籌兼顧，而不要顧此失彼、搞單打一。

　　風(fēng)險評估持續(xù)保障

　　網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化，依靠裝幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜，需要樹立動態(tài)、綜合的防護理念。關(guān)基的動態(tài)特性，使得它很難用固定標(biāo)準(zhǔn)或方法去保護，未來亟需通過風(fēng)險評估不斷找出威脅源，不斷迭代安全措施，并檢驗安全措施有效性。

　　具體來講一是需要通過風(fēng)險評估促進關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展保護體系建設(shè)和重點保護措施的落實，做到分重點保護，明確保護對象范圍，厘清保護責(zé)任和保護主體；二是需要通過風(fēng)險評估找出可能導(dǎo)致關(guān)基業(yè)務(wù)停擺、生產(chǎn)事故、重要數(shù)據(jù)失竊、泄露、破壞的安全隱患，降低關(guān)鍵基礎(chǔ)設(shè)施一旦遭受攻擊后可能帶來的惡劣影響，尤其是涉及到國家政治安全、經(jīng)濟安全、以及民生安全的關(guān)鍵業(yè)務(wù)、重要數(shù)據(jù)和個人信息，一旦被惡意利用將直接影響國家安全；三是需要通過風(fēng)險評估促進關(guān)鍵信息基礎(chǔ)設(shè)施安全防御體系的改進提升，檢驗當(dāng)前的安全防護措施是否有效，防護體系是否可以滿足當(dāng)下的網(wǎng)絡(luò)安全形勢，最終達到“以評促建”，提升整體安全防御體系的目的。風(fēng)險評估作為動態(tài)發(fā)現(xiàn)關(guān)基風(fēng)險的有效手段，需要一以貫之的在關(guān)基建設(shè)的全生命周期持續(xù)發(fā)揮作用。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<