干货 | 关键信息基础设施的安全该如何保护？

一场突如其来的新冠疫情，深刻改变了各国民众的生活方式，在这场全球性的公共卫生危机中，人们的生活、工作都不同程度地从线下转为线上，从现实世界向网络世界转换。与此同时，网络空间当中的关键信息基础设施面临的网络安全形势也愈趋严峻复杂，持续性威胁、网络勒索、数据窃取等事件频发，危害经济社会稳定运行。

为保障关键信息基础设施的安全，维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益，《关键信息基础设施安全保护条例》（以下简称《条例》）应运而生，并于7月30日正式发布，于2021年9月1日开始正式施行，引发业内集中关注。广电计量信息化服务专家以一问一答的形式，为大家详细解读《条例》传递出的重要信息：

Q：什么是关键信息基础设施？

公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

Q：关键信息基础设施包括什么？

1.公共通信和信息服务：电信网、广播电视网、互联网等信息网络；提供云计算、大数据和其他大型公共信息网络服务的单位；广播电台、电视台、通信社等新闻单位。

2.公共服务：卫生医疗、教育、社保、环境保护、公用事业。

3.电子政务：政府机关。

4.其他重要信息系统：遭到破坏或者数据泄露，可能危害国家安全、国计民生、公共利益的重要网络设施、信息系统，例如大型装备、化工、食品药品等行业领域科研生产单位。

a.网站类，如县级（含）以上党政机关网站，重点新闻网站或者日均访问超过100万人次的网站等；

b.平台类，如注册用户数超过 1000 万，或活跃用户（每日至少登陆一次）数超过100万，或日均成交订单额或交易额超过 1000 万元的网络服务平台可定为关键信息基础设施；

c.生产业务类，如地市级以上政府机关面向公众服务的业务系统，或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统，或规模超过 1500 个标准机架的数据中心等。

Q：政府部门的职责及分工是什么？

1.国家网信部门：负责统筹协调关键信息基础设施安全保护工作。

2.国务院公安部门：负责指导监督关键信息基础设施安全保护工作。

3.国务院电信主管部门及其他有关部门：依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。

4.省级人民政府有关部门：依据各自职责对关键信息基础设施实施安全保护和监督管理。

Q：为什么要加强关键信息基础设施安全保护？

1.网络空间军备竞赛愈演愈烈，多国关键信息基础设施和重要信息系统面临重大风险。世界主要国家和地区将关键基础设施立法作为网络安全立法中的重中之重，并将其作为国家网络安全战略的核心内容。

美国：从克林顿政府时期开始加强关键信息基础设施防护，各届政府不断接力优化，逐渐演变形成一项综合战略。2017年特朗普发布《增强联邦政府网络与关键性基础设施网络安全总统行政令》，2021年7月拜登签发《关于改善关键基础设施控制系统网络空间安全的国家安全备忘录》，均就加强关键基础设施的安全防护提出相关要求和措施。

俄罗斯：为保护关键信息基础设施不仅颁布专门法律，同时在《刑法》和《刑事诉讼法》中增加“非法影响俄罗斯联邦关键信息基础设施”的章节，并配套修改了相关法律的个别条款。2021年7月普京签署了新版《俄罗斯联邦国家安全战略》，以加强关键信息基础设施保护。

欧盟：在最新的《欧盟安全联盟战略》中将增强关键信息基础设施的保护水平和恢复能力作为未来五年网络安全领域的核心工作。

2.全球范围内针对关键信息基础设施的供应链攻击、勒索攻击等安全事件日益增多，不断动摇经济社会运行的根基。数据显示，2020年全球勒索攻击次数同比增长150%以上。世界主要国家和地区纷纷把关键信息基础设施安全保护上升到维护国家安全的高度。

Q：从哪些方面强化和落实关键信息基础设施运营者主体责任？

1.岗位建设方面，要设置专门安全管理部门，履行信息安全保护职责，参与本单位与网络安全和信息化有关的决策，并对机构负责人和关键岗位人员进行安全背景审查。

2.责任要求方面，关键信息基础设施运营者实行“一把手负责制”，明确运营者主要负责人负总责，保障人财物投入。

3.人员招聘方面，不得雇佣受到刑事处罚的人员从事网络安全管理和网络运营关键岗位的工作。因为危害关键信息基础设施安全的相关人员，5年内不得从事网络安全管理和网络运营关键岗位的工作。

4.安全检测和评估方面，定期开展安全检测和风险评估，履行安全事件和威胁报告义务。

5.安全合规方面，落实网络安全审查要求。

6.安全监控方面，强化监测预警和信息共享等。

Q：关键信息基础设施与安全保护措施该如何关联？

同步规划、同步建设、同步使用。强调业务系统和安全建设必须同步进行，杜绝“重业务，轻安全”的现象，强调安全措施在安全运维中迭代，杜绝“重建设，轻运维”的现象。

Q：针对“漏洞探测、渗透性测试”等活动有哪些特殊规定？

《条例》第三十一条规定：“未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。”

《条例》相比过去所有信息安全法律，首次提出可能危害关键信息基础设施安全的具体活动，包括“漏洞探测、渗透性测试”。此类活动可能是不法分子针对关键信息基础设施进行的漏洞探测，一旦被不法分子发现安全漏洞并掌握，则会给国家安全、国计民生、公共利益带来威胁。因此《条例》直接规定禁止未经授权或批准的此类行为。

Ø信息安全管理体系建设服务

广电计量依据安全等级保护2.0管理要求及数据安全法中数据安全制度要求，协助客户搭建信息安全管理体系：

1.安全管理人员

人员录用，人员离岗，安全意识教育和培训，外部人员访问管理

2.安全建设管理

安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、服务供应商选择

3.安全管理机构

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查

4.安全管理制度

安全策略、管理制度、制定和发布、评审和修订

5.安全运维管理

环境管理、资产管理、介质管理、配置管理、密码管理、变更管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理、数据安全管理制度、个人信息数据分级防护管理规定、资产分类管理办法

可为您带来如下收益：

1.建立、健全单位信息安全管理制度体系；

2.确保各项信息工作安全合规；

3.规范管理流程、明细职责分工。

什么是ISMS信息安全管理体系？

即组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表（Checklists）等要素的集合。

信息安全管理体系是按照ISO/IEC 27001标准《信息技术 安全技术 信息安全管理体系要求》的要求进行建立的，由组织机构单位按照信息安全管理体系相关标准的要求，制定信息安全管理方针和策略，采用风险管理的方法进行信息安全管理计划、实施、评审检查、改进的信息安全管理执行的工作体系。

Ø安全测试服务

广电计量可提供信息收集、权限提升、溢出测试、注入攻击、跨站攻击、后门程序检查、登录体系测试、权限体系测试、命令执行攻击、反序列化攻击、文件包含漏洞、文件上传漏洞、路径遍历与文件读取等安全测试服务。

可为您带来如下收益：

1.评估网站中存在的安全隐患、安全漏洞；

2.发现网站存在的深层次安全隐患；

3.验证网站现有安全措施的防护强度；

4.评估网站被入侵的可能性，并在入侵者发起攻击；

5.前封堵可能被利用的攻击途径。

什么是安全测试？

挑选重要网站或信息系统进行安全测试，模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，在保证整个安全测试过程都在可以控制和调整的范围之内尽可能的获取目标信息系统的管理权限以及敏感信息，并将入侵的过程和细节产生报告给用户，由此证实用户系统所存在的安全威胁和风险，并及时提醒安全管理员完善安全策略。

攻击手段涵盖现有的和最前沿的安全攻击方法，渗透测试并不影响系统的正常运作和业务应用。

Ø风险（安全）评估服务

广电计量可提供风险安全评估服务，通过信息资产的识别与赋值、威胁评估、弱点评估、现有安全措施评估、综合风险分析等若干环节，对信息系统的安全风险进行风险分析，并协助客户对风评过程中发现的问题进行整改，整改完成后测试是否整改完毕。

可为您带来如下收益：

1.清晰地展现信息系统当前的安全现状；

2.提供公正、客观、翔实的数据作为决策参考；

3.为组织下一步控制和降低安全风险、改善安全状况、实施信息系统的风险管理提供依据。

什么是风险安全评估？

风险（安全）评估是对信息系统和IT基础设施进行安全风险评估，包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。

Ø应急演练服务

广电计量可结合客户实际情况，协助客户做好网络安全事件应对处置，建立健全单位应急演练预案。

可为您带来如下收益：

1.满足单位本身自我检查要求

2.满足主管部门联合检查要求

3.满足监管部门合规审查要求

什么是应急演练？

指各行业主管部门、各级政府及其部门、企事业单位、社会团体等组织相关单位及人员，依据有关网络安全应急预案，开展应对网络安全事件的活动。