干貨 | 關(guān)鍵信息基礎(chǔ)設(shè)施的安全該如何保護？

一場突如其來的新冠疫情，深刻改變了各國民眾的生活方式，在這場全球性的公共衛(wèi)生危機中，人們的生活、工作都不同程度地從線下轉(zhuǎn)為線上，從現(xiàn)實世界向網(wǎng)絡(luò)世界轉(zhuǎn)換。與此同時，網(wǎng)絡(luò)空間當(dāng)中的關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢也愈趨嚴(yán)峻復(fù)雜，持續(xù)性威脅、網(wǎng)絡(luò)勒索、數(shù)據(jù)竊取等事件頻發(fā)，危害經(jīng)濟社會穩(wěn)定運行。

為保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全，維護國家網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間主權(quán)和國家安全、保障經(jīng)濟社會健康發(fā)展、維護公共利益和公民合法權(quán)益，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）應(yīng)運而生，并于7月30日正式發(fā)布，于2021年9月1日開始正式施行，引發(fā)業(yè)內(nèi)集中關(guān)注。廣電計量信息化服務(wù)專家以一問一答的形式，為大家詳細解讀《條例》傳遞出的重要信息：

Q：什么是關(guān)鍵信息基礎(chǔ)設(shè)施？

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

Q：關(guān)鍵信息基礎(chǔ)設(shè)施包括什么？

1.公共通信和信息服務(wù)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)；提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；廣播電臺、電視臺、通信社等新聞單位。

2.公共服務(wù)：衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)。

3.電子政務(wù)：政府機關(guān)。

4.其他重要信息系統(tǒng)：遭到破壞或者數(shù)據(jù)泄露，可能危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，例如大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位。

a.網(wǎng)站類，如縣級（含）以上黨政機關(guān)網(wǎng)站，重點新聞網(wǎng)站或者日均訪問超過100萬人次的網(wǎng)站等；

b.平臺類，如注冊用戶數(shù)超過 1000 萬，或活躍用戶（每日至少登陸一次）數(shù)超過100萬，或日均成交訂單額或交易額超過 1000 萬元的網(wǎng)絡(luò)服務(wù)平臺可定為關(guān)鍵信息基礎(chǔ)設(shè)施；

c.生產(chǎn)業(yè)務(wù)類，如地市級以上政府機關(guān)面向公眾服務(wù)的業(yè)務(wù)系統(tǒng)，或與醫(yī)療、安防、消防、應(yīng)急指揮、生產(chǎn)調(diào)度、交通指揮等相關(guān)的城市管理系統(tǒng)，或規(guī)模超過 1500 個標(biāo)準(zhǔn)機架的數(shù)據(jù)中心等。

Q：政府部門的職責(zé)及分工是什么？

1.國家網(wǎng)信部門：負責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

2.國務(wù)院公安部門：負責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

3.國務(wù)院電信主管部門及其他有關(guān)部門：依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作。

4.省級人民政府有關(guān)部門：依據(jù)各自職責(zé)對關(guān)鍵信息基礎(chǔ)設(shè)施實施安全保護和監(jiān)督管理。

Q：為什么要加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護？

1.網(wǎng)絡(luò)空間軍備競賽愈演愈烈，多國關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)面臨重大風(fēng)險。世界主要國家和地區(qū)將關(guān)鍵基礎(chǔ)設(shè)施立法作為網(wǎng)絡(luò)安全立法中的重中之重，并將其作為國家網(wǎng)絡(luò)安全戰(zhàn)略的核心內(nèi)容。

美國：從克林頓政府時期開始加強關(guān)鍵信息基礎(chǔ)設(shè)施防護，各屆政府不斷接力優(yōu)化，逐漸演變形成一項綜合戰(zhàn)略。2017年特朗普發(fā)布《增強聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全總統(tǒng)行政令》，2021年7月拜登簽發(fā)《關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)空間安全的國家安全備忘錄》，均就加強關(guān)鍵基礎(chǔ)設(shè)施的安全防護提出相關(guān)要求和措施。

俄羅斯：為保護關(guān)鍵信息基礎(chǔ)設(shè)施不僅頒布專門法律，同時在《刑法》和《刑事訴訟法》中增加“非法影響俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施”的章節(jié)，并配套修改了相關(guān)法律的個別條款。2021年7月普京簽署了新版《俄羅斯聯(lián)邦國家安全戰(zhàn)略》，以加強關(guān)鍵信息基礎(chǔ)設(shè)施保護。

歐盟：在最新的《歐盟安全聯(lián)盟戰(zhàn)略》中將增強關(guān)鍵信息基礎(chǔ)設(shè)施的保護水平和恢復(fù)能力作為未來五年網(wǎng)絡(luò)安全領(lǐng)域的核心工作。

2.全球范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈攻擊、勒索攻擊等安全事件日益增多，不斷動搖經(jīng)濟社會運行的根基。數(shù)據(jù)顯示，2020年全球勒索攻擊次數(shù)同比增長150%以上。世界主要國家和地區(qū)紛紛把關(guān)鍵信息基礎(chǔ)設(shè)施安全保護上升到維護國家安全的高度。

Q：從哪些方面強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責(zé)任？

1.崗位建設(shè)方面，要設(shè)置專門安全管理部門，履行信息安全保護職責(zé)，參與本單位與網(wǎng)絡(luò)安全和信息化有關(guān)的決策，并對機構(gòu)負責(zé)人和關(guān)鍵崗位人員進行安全背景審查。

2.責(zé)任要求方面，關(guān)鍵信息基礎(chǔ)設(shè)施運營者實行“一把手負責(zé)制”，明確運營者主要負責(zé)人負總責(zé)，保障人財物投入。

3.人員招聘方面，不得雇傭受到刑事處罰的人員從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。因為危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的相關(guān)人員，5年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。

4.安全檢測和評估方面，定期開展安全檢測和風(fēng)險評估，履行安全事件和威脅報告義務(wù)。

5.安全合規(guī)方面，落實網(wǎng)絡(luò)安全審查要求。

6.安全監(jiān)控方面，強化監(jiān)測預(yù)警和信息共享等。

Q：關(guān)鍵信息基礎(chǔ)設(shè)施與安全保護措施該如何關(guān)聯(lián)？

同步規(guī)劃、同步建設(shè)、同步使用。強調(diào)業(yè)務(wù)系統(tǒng)和安全建設(shè)必須同步進行，杜絕“重業(yè)務(wù)，輕安全”的現(xiàn)象，強調(diào)安全措施在安全運維中迭代，杜絕“重建設(shè)，輕運維”的現(xiàn)象。

Q：針對“漏洞探測、滲透性測試”等活動有哪些特殊規(guī)定？

《條例》第三十一條規(guī)定：“未經(jīng)國家網(wǎng)信部門、國務(wù)院公安部門批準(zhǔn)或者保護工作部門、運營者授權(quán)，任何個人和組織不得對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動。對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測、滲透性測試等活動，應(yīng)當(dāng)事先向國務(wù)院電信主管部門報告?！?br />

《條例》相比過去所有信息安全法律，首次提出可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的具體活動，包括“漏洞探測、滲透性測試”。此類活動可能是不法分子針對關(guān)鍵信息基礎(chǔ)設(shè)施進行的漏洞探測，一旦被不法分子發(fā)現(xiàn)安全漏洞并掌握，則會給國家安全、國計民生、公共利益帶來威脅。因此《條例》直接規(guī)定禁止未經(jīng)授權(quán)或批準(zhǔn)的此類行為。

?信息安全管理體系建設(shè)服務(wù)

廣電計量依據(jù)安全等級保護2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求，協(xié)助客戶搭建信息安全管理體系：

1.安全管理人員

人員錄用，人員離崗，安全意識教育和培訓(xùn)，外部人員訪問管理

2.安全建設(shè)管理

安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、服務(wù)供應(yīng)商選擇

3.安全管理機構(gòu)

崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查

4.安全管理制度

安全策略、管理制度、制定和發(fā)布、評審和修訂

5.安全運維管理

環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、配置管理、密碼管理、變更管理、設(shè)備維護管理、漏洞和風(fēng)險管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運維管理、數(shù)據(jù)安全管理制度、個人信息數(shù)據(jù)分級防護管理規(guī)定、資產(chǎn)分類管理辦法

可為您帶來如下收益：

1.建立、健全單位信息安全管理制度體系；

2.確保各項信息工作安全合規(guī)；

3.規(guī)范管理流程、明細職責(zé)分工。

什么是ISMS信息安全管理體系？

即組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。

信息安全管理體系是按照ISO/IEC 27001標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》的要求進行建立的，由組織機構(gòu)單位按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，采用風(fēng)險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執(zhí)行的工作體系。

?安全測試服務(wù)

廣電計量可提供信息收集、權(quán)限提升、溢出測試、注入攻擊、跨站攻擊、后門程序檢查、登錄體系測試、權(quán)限體系測試、命令執(zhí)行攻擊、反序列化攻擊、文件包含漏洞、文件上傳漏洞、路徑遍歷與文件讀取等安全測試服務(wù)。

可為您帶來如下收益：

1.評估網(wǎng)站中存在的安全隱患、安全漏洞；

2.發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患；

3.驗證網(wǎng)站現(xiàn)有安全措施的防護強度；

4.評估網(wǎng)站被入侵的可能性，并在入侵者發(fā)起攻擊；

5.前封堵可能被利用的攻擊途徑。

什么是安全測試？

挑選重要網(wǎng)站或信息系統(tǒng)進行安全測試，模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性質(zhì)的攻擊性測試，在保證整個安全測試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標(biāo)信息系統(tǒng)的管理權(quán)限以及敏感信息，并將入侵的過程和細節(jié)產(chǎn)生報告給用戶，由此證實用戶系統(tǒng)所存在的安全威脅和風(fēng)險，并及時提醒安全管理員完善安全策略。

攻擊手段涵蓋現(xiàn)有的和最前沿的安全攻擊方法，滲透測試并不影響系統(tǒng)的正常運作和業(yè)務(wù)應(yīng)用。

?風(fēng)險（安全）評估服務(wù)

廣電計量可提供風(fēng)險安全評估服務(wù)，通過信息資產(chǎn)的識別與賦值、威脅評估、弱點評估、現(xiàn)有安全措施評估、綜合風(fēng)險分析等若干環(huán)節(jié)，對信息系統(tǒng)的安全風(fēng)險進行風(fēng)險分析，并協(xié)助客戶對風(fēng)評過程中發(fā)現(xiàn)的問題進行整改，整改完成后測試是否整改完畢。

可為您帶來如下收益：

1.清晰地展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀；

2.提供公正、客觀、翔實的數(shù)據(jù)作為決策參考；

3.為組織下一步控制和降低安全風(fēng)險、改善安全狀況、實施信息系統(tǒng)的風(fēng)險管理提供依據(jù)。

什么是風(fēng)險安全評估？

風(fēng)險（安全）評估是對信息系統(tǒng)和IT基礎(chǔ)設(shè)施進行安全風(fēng)險評估，包括明確風(fēng)險評估范圍、識別重要資產(chǎn)、識別脆弱性和威脅、現(xiàn)有安全控制措施、應(yīng)用系統(tǒng)漏洞掃描、分析和計算風(fēng)險狀況、制定不可接受風(fēng)險處置方案和風(fēng)險評估報告和總結(jié)。

?應(yīng)急演練服務(wù)

廣電計量可結(jié)合客戶實際情況，協(xié)助客戶做好網(wǎng)絡(luò)安全事件應(yīng)對處置，建立健全單位應(yīng)急演練預(yù)案。

可為您帶來如下收益：

1.滿足單位本身自我檢查要求

2.滿足主管部門聯(lián)合檢查要求

3.滿足監(jiān)管部門合規(guī)審查要求

什么是應(yīng)急演練？

指各行業(yè)主管部門、各級政府及其部門、企事業(yè)單位、社會團體等組織相關(guān)單位及人員，依據(jù)有關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案，開展應(yīng)對網(wǎng)絡(luò)安全事件的活動。