隨著我國綜合國力的提升,，面臨的國際形勢越發(fā)嚴峻,，網(wǎng)絡(luò)威脅日益嚴重，給關(guān)鍵信息基礎(chǔ)設(shè)施保護工作帶來了更大的挑戰(zhàn),。國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施安全作為網(wǎng)絡(luò)安全保護的重中之重,，需要結(jié)合當下的時代背景、網(wǎng)絡(luò)空間特點從多個角度綜合考慮,。一是明確目前保護工作所處的階段,，綜合考慮關(guān)基的動態(tài)變化帶來的威脅和安全挑戰(zhàn)，了解安全保護的難點,；二是梳理當前國內(nèi)關(guān)基安全保護相關(guān)要求,，明確常態(tài)化保護和特殊時期保護的重點；三是從政府機構(gòu),、保護工作部門,、關(guān)基運營者、檢測機構(gòu)等多角度提出建議要點,，以更好地保護國家關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全,。

　　保護工作面臨的現(xiàn)實挑戰(zhàn)

　　保護階段初級化

　　2017年6月1日《網(wǎng)絡(luò)安全法》的正式實施，標志著我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全進入了一個新的發(fā)展階段,。但相比歐美等關(guān)鍵基礎(chǔ)設(shè)施保護起步最早的國家,，并結(jié)合我國網(wǎng)絡(luò)安全客觀現(xiàn)狀而言，實際上目前我國正處于關(guān)鍵信息基礎(chǔ)設(shè)施保護新發(fā)展階段中的初級階段,。主要表現(xiàn)為：

　　國家針對關(guān)基保護配套的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》陸續(xù)出臺,，在邊界識別、保護要求,、控制措施,、保障指標、應(yīng)急體系,、檢查評估,、測試評價，以及供應(yīng)鏈安全,、數(shù)據(jù)安全,、信息共享、監(jiān)測預(yù)警等方面開展了標準研制工作,，標志著在關(guān)基保護法律法規(guī)層面日趨成熟,，但實質(zhì)性的關(guān)基保護體系建設(shè)工作尚未全面鋪開，運營者針對法律,、標準中提到的安全技術(shù),、安全管理要求尚未落實到位，安全防護措施層面距離“重中之重”的安全要求和防護級別仍有較大的差距,。運營者針對如何準確識別關(guān)基方面仍面臨一定的困惑,，尤其是自身的基礎(chǔ)設(shè)施識別,、邊界的認定、重要數(shù)據(jù)識別等仍處于初級階段,。部分的工控企業(yè),，涉及到業(yè)務(wù)生產(chǎn)連續(xù)性的考慮，短期內(nèi)無法更新迭代現(xiàn)有安全防護措施為法律標準要求的內(nèi)容,。部分重要行業(yè)雖有一定的應(yīng)對網(wǎng)絡(luò)威脅的能力,，但應(yīng)對網(wǎng)絡(luò)戰(zhàn)級別的實戰(zhàn)能力仍顯著不足，面對APT,、零日漏洞的發(fā)現(xiàn)能力弱,，整體聯(lián)防聯(lián)控、網(wǎng)絡(luò)對抗反制能力仍處于初級階段,。

　　現(xiàn)實威脅常態(tài)化

　　關(guān)鍵信息基礎(chǔ)設(shè)施作為網(wǎng)絡(luò)安全保護的重中之重,，勢必會受到敵對國家、黑客組織的高度關(guān)注,。近年來各國關(guān)基受到破壞的現(xiàn)實案例屢見不鮮,，影響巨大。2020年美國SolarWinds 遭遇國家級 APT 團伙高度復(fù)雜的供應(yīng)鏈攻擊,，超過 18000 家客戶全部受到影響,，可任由攻擊者完全操控。2021年美國主要燃油,、燃氣管道運營商科洛尼爾管道運輸公司（Colonial Pipeline）的 IT 網(wǎng)絡(luò)遭遇勒索軟件攻擊,，使整個美國東南部出現(xiàn)汽油短缺現(xiàn)象等現(xiàn)實案例都對我國的關(guān)鍵信息基礎(chǔ)設(shè)施保護帶來了極大的啟示和預(yù)警作用。

　　我國的關(guān)鍵信息基礎(chǔ)設(shè)施面臨的現(xiàn)實威脅也不容樂觀,，敵對國家已將我國作為網(wǎng)絡(luò)空間最主要的戰(zhàn)略對手,，有國家背景的勢力、組織對我關(guān)鍵信息基礎(chǔ)設(shè)施,、重要網(wǎng)絡(luò)和大數(shù)據(jù)平臺大肆進行攻擊,、竊密。通過國家相關(guān)部門監(jiān)測發(fā)現(xiàn),，國內(nèi)大量重要行業(yè)部門,、研究機構(gòu)等長期被攻擊和入侵，軍工和高科技單位工作人員郵箱被攻擊導(dǎo)致重要數(shù)據(jù)泄露,，針對關(guān)基的勒索病毒事件頻發(fā),，突顯了我國關(guān)鍵信息基礎(chǔ)設(shè)施正面臨常態(tài)化的持續(xù)的現(xiàn)實網(wǎng)絡(luò)威脅。未來隨著我國綜合國力的不斷提升,，國際地緣政治形勢緊張,、新冠疫情的持續(xù)發(fā)展，敵對國家對我國的貿(mào)易戰(zhàn)、科技戰(zhàn),、輿論戰(zhàn)等常態(tài)化發(fā)展,，都是威脅我國關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域網(wǎng)絡(luò)安全的重要因素，對關(guān)基工作的安全防護有著極大的挑戰(zhàn),。

　　技術(shù)發(fā)展動態(tài)化

　　國家關(guān)鍵信息基礎(chǔ)設(shè)施的運作高度依賴信息技術(shù)系統(tǒng),，這些系統(tǒng)具有高度復(fù)雜性和動態(tài)性,，技術(shù)多樣且位置分散,，這種復(fù)雜性增加了識別、管理和保護關(guān)鍵信息基礎(chǔ)設(shè)施的難度,。云計算,、大數(shù)據(jù)的廣泛應(yīng)用帶來了數(shù)據(jù)的集中，同時基于這些數(shù)據(jù)衍生的價值數(shù)據(jù)變成了保護的重點,，增加了安全風險,，對安全保護能力提出了更高的要求。IPV6的規(guī)模部署和5G的應(yīng)用,，為物聯(lián)網(wǎng),、車聯(lián)網(wǎng)、智能設(shè)備帶來了新的未知風險,。行業(yè)層面以國家電力關(guān)鍵信息基礎(chǔ)設(shè)施為例,，以火電、水電為主的發(fā)電為主的電力時代已經(jīng)發(fā)展到側(cè)重新能源風光發(fā)電的新型電力系統(tǒng)時代,，在新的技術(shù)體系下,，發(fā)電、輸電,、變電,、配電、用電等環(huán)節(jié)都改變了原有的技術(shù)架構(gòu)和應(yīng)用環(huán)境,，面臨的內(nèi)外部威脅也發(fā)生了巨大變化,。

　　此外，在當下工業(yè)互聯(lián)網(wǎng)時代,，關(guān)鍵基礎(chǔ)設(shè)施使用的系統(tǒng)和網(wǎng)絡(luò)也經(jīng)常與包括互聯(lián)網(wǎng)在內(nèi)的其他內(nèi)部和外部系統(tǒng)及網(wǎng)絡(luò)相互關(guān)聯(lián),，這也加劇了安全風險?；A(chǔ)平臺的更迭,、漏洞的頻發(fā)、攻擊技術(shù)的突飛猛進等都為關(guān)鍵信息基礎(chǔ)設(shè)施保護帶來了挑戰(zhàn),。安全需要與技術(shù)發(fā)展齊頭并進,，安全要為發(fā)展做支撐，就勢必要適應(yīng)技術(shù)發(fā)展的動態(tài)，不斷衍生新的保護手段和措施,。

　　新發(fā)展階段下的保護重點

　　扎實推進基礎(chǔ)防護

　　關(guān)鍵信息基礎(chǔ)設(shè)施保護仍處于新發(fā)展階段中的初級階段,，安全保護體系尚未有效建立，信息資產(chǎn)類型呈多樣化,，載體分布廣,、數(shù)據(jù)源眾多，關(guān)基識別存在困難,，進而影響保護工作的有效開展,。初級階段是一個長期的過程，是需要劃分為不同階段的過程,。要做好現(xiàn)階段下的關(guān)基保護工作,，必須扎實推進基礎(chǔ)防護，筑牢關(guān)基保護工作的安全底座,。

　　一方面國家層面要充分借鑒發(fā)達國家在關(guān)基保護工作方面的做法,，結(jié)合我國國情進一步完善現(xiàn)有關(guān)基保護政策法規(guī)體系及標準，完善關(guān)基保護在時間層級,、法律層級,、體系層級的頂層設(shè)計，夯實基礎(chǔ)防護的法治基礎(chǔ)和理論基礎(chǔ),，加大國家級,、行業(yè)級網(wǎng)絡(luò)安全信息共享、完善監(jiān)測預(yù)警制度,、應(yīng)急處置,、定期檢查與整改機制，使得運營者的日常保護工作“有法可依,、有規(guī)可循”,。

　　另一方面是關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)結(jié)合自身業(yè)務(wù)，調(diào)整安全建設(shè)重點方向,，做到底數(shù)清晰,，健全安全保護機構(gòu)、職責明確,、保障有力,，在貫徹落實網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，有效落實本單位關(guān)鍵信息基礎(chǔ)設(shè)施涉及的關(guān)鍵崗位人員,、供應(yīng)鏈安全,、數(shù)據(jù)安全、應(yīng)急處事等重點安全保護措施,，同時也要充分利用原有的安全體系建設(shè)成果,，合理改造合理利用。

　　縱觀歷史發(fā)生的各類網(wǎng)絡(luò)安全事件或安全問題，絕大多數(shù)是因為基礎(chǔ)安全配置不當,、基礎(chǔ)漏洞未修復(fù),、基本訪問控制策略不嚴謹、基本應(yīng)急體系不完善等眾多基礎(chǔ)問題組合導(dǎo)致的,，所以關(guān)基保護應(yīng)借鑒和繼承網(wǎng)絡(luò)安全等級保護在國內(nèi)信息系統(tǒng)基礎(chǔ)防護方面發(fā)揮的巨大作用和先進經(jīng)驗,，促進運營者形成有基礎(chǔ)、有效力的防護體系,，將基礎(chǔ)安全工作落到實處,。

　　重點突出數(shù)據(jù)保護

　　關(guān)基安全是網(wǎng)絡(luò)安全保護的重中之重，那么數(shù)據(jù)安全可以說現(xiàn)階段下是關(guān)基保護的重中之重,。關(guān)基中承載的數(shù)據(jù)作為關(guān)鍵要素和重要戰(zhàn)略資源,，在國家經(jīng)濟發(fā)展和社會進步中發(fā)揮著基礎(chǔ)性和全局性作用,，一旦遭到泄露或破壞直接關(guān)乎危害國家安全,、國計民生、公共利益的嚴重程度,。近期滴滴事件給國內(nèi)關(guān)基運營者的數(shù)據(jù)安全保護工作帶了極大的震撼,。一是處罰力度空前，近乎現(xiàn)有法律制度下的頂格處罰,；二是違法違規(guī)持續(xù)時間長而不自知,；三是數(shù)據(jù)違規(guī)出境逃避監(jiān)管審查，其最主要的影響還是數(shù)據(jù)主權(quán)安全以及對國家安全,、公共利益安全帶來了極其嚴重的后果,。

　　所以在現(xiàn)階段下，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》的對數(shù)據(jù)安全的明確規(guī)定,，要做好數(shù)據(jù)安全重點保護須把握

　?。ㄒ唬┞男泻弦?guī)義務(wù)，運營者直接負責的主管人員（如黨委書記,、董事長,、總裁等）和其他直接責任人員，都應(yīng)該明確法律對數(shù)據(jù)安全保護的要求,，明確可能承擔的民事責任和刑事責任,。高度重視保護個人信息、數(shù)據(jù)安全和網(wǎng)絡(luò)安全,，盡快并持續(xù)開展合規(guī)檢查工作,，避免觸碰監(jiān)管紅線。

　?。ǘ┟灞締挝坏臄?shù)據(jù)家底,，不僅包括收集的數(shù)據(jù)，還應(yīng)包括數(shù)據(jù)共享、交換,、加工后的價值數(shù)據(jù),，判斷其重要性，評估其面臨的風險如有隱患,，須立即停止,、盡快整改。對于數(shù)據(jù)出境情況,、擬赴國境外外上市的,，除需做好全方位合規(guī)工作外，還應(yīng)提前做好主動向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查的準備,。

　?。ㄈ┳龊脭?shù)據(jù)安全保護配套措施，覆蓋本單位數(shù)據(jù)收集,、存儲,、使用、加工,、傳輸,、提供、公開等數(shù)據(jù)處理活動,。尤其是加強對數(shù)據(jù)量大,、多源、跨平臺流動的數(shù)據(jù),，增加數(shù)據(jù)流動性的安全風險監(jiān)測,，增加專職數(shù)據(jù)安全管理人員，在業(yè)務(wù)建設(shè)初期同步考慮數(shù)據(jù)安全,。全面了解國內(nèi)外針對數(shù)據(jù)的網(wǎng)絡(luò)攻擊和竊密技術(shù),，有效應(yīng)對智能化、專業(yè)化的數(shù)據(jù)竊取攻擊,。

　　逐步實現(xiàn)綜合防控

　　關(guān)基保護工作不是單兵作戰(zhàn),，單打獨斗能夠取勝的。要堅持“綜合協(xié)調(diào),、分工負責,、依法保護”的原則，做到共同保護的要求,。從現(xiàn)實角度講,，關(guān)基保護需要一個區(qū)別于以往的綜合防控體系。從綜合協(xié)作角度,，要形成國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施保護的良好生態(tài),，形成跨行業(yè),、跨部門、跨地區(qū)的立體化網(wǎng)絡(luò)安全監(jiān)測預(yù)警體系,，加強網(wǎng)絡(luò)安全態(tài)勢感知,、通報預(yù)警和事件發(fā)現(xiàn)處置能力，加強威脅情報共享和保護經(jīng)驗分享,。要突出融合,，加強產(chǎn)業(yè)界網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和資源整合利用，堅持促進發(fā)展與依法管理相統(tǒng)一,，共同維護國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全,。各地區(qū)、各部門應(yīng)該有清醒的認識,，看清關(guān)基保護工作的隱匿性,、復(fù)雜性，高效落實中央的決策部署,，明確構(gòu)建國家網(wǎng)絡(luò)安全綜合防控系統(tǒng)的新目標,，采取“實戰(zhàn)化、體系化,、常態(tài)化”的新理念,，落實“動態(tài)防御、主動防御,、縱深防御、精準防護,、整體防控,、聯(lián)防聯(lián)控”的新舉措，實現(xiàn)國家網(wǎng)絡(luò)安全綜合防御能力和水平上升一個新高度,。

　　未來亟需落地的保護建議

　　自上而下高效貫通

　　要全面加快推動自上而下高效貫通安全保護機制建設(shè),，結(jié)合行業(yè)重要業(yè)務(wù)特點和安全保護需求，對關(guān)基進行準確識別,，明確各行業(yè),，尤其是關(guān)鍵信息基礎(chǔ)設(shè)施所涉及行業(yè)的“關(guān)鍵、信息,、基礎(chǔ)”特性,。

　　此外要從關(guān)基運營者、保護工作部門,、政府機構(gòu)等多角度需采取措施以更好地保護國家基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全,，包括政府部門需要完善關(guān)鍵信息基礎(chǔ)設(shè)施重點保護的政策制定與解讀，以更好地引導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施所有者和運營者體系化開展保護工作,。完善網(wǎng)絡(luò)安全責任制,、網(wǎng)絡(luò)安全監(jiān)督指導(dǎo)和監(jiān)測預(yù)警機制,，建立網(wǎng)絡(luò)安全保護生態(tài)，形成一體化的網(wǎng)絡(luò)安全綜合防控體系,。

　　行業(yè)主管部門應(yīng)牽頭建立行業(yè)安全標準,，在充分借鑒現(xiàn)有標準基礎(chǔ)之上，聚焦國家關(guān)鍵信息基礎(chǔ)設(shè)施重要行業(yè),、重點領(lǐng)域,，在關(guān)鍵環(huán)節(jié)、關(guān)鍵業(yè)務(wù)場景,、關(guān)鍵網(wǎng)絡(luò)產(chǎn)品和服務(wù)等方面,，進一步細化規(guī)范和推進關(guān)鍵信息基礎(chǔ)設(shè)施安全政策和法律法規(guī)落地，指導(dǎo)并支持關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營者常態(tài)化開展具體保護工作的落實,。

　　運營者層面形成本單位黨委統(tǒng)籌領(lǐng)導(dǎo),、各部門分工負責、社會力量多方參與的網(wǎng)絡(luò)安全工作格局,，安全措施落實有效有序,，守好安全底線，同時為國家跨部門,、跨地區(qū)和行業(yè)的立體化網(wǎng)絡(luò)安全監(jiān)測體系和預(yù)警平臺,，提供數(shù)據(jù)支撐，應(yīng)急演練常態(tài)化開展,，使得網(wǎng)絡(luò)安全重大事件得到有效防范,、遏制和處置。

　　統(tǒng)籌兼顧突出重點

　　關(guān)鍵信息基礎(chǔ)設(shè)施保護工作需要統(tǒng)籌兼顧,、全面推進,；針對一個運營者來說，要實現(xiàn)國家要求和行業(yè)要求的統(tǒng)籌,，實現(xiàn)具體措施和安全實際的統(tǒng)籌,，實現(xiàn)安全投入和安全產(chǎn)出的統(tǒng)籌。從保護角度而言安全無小事,，在實際工作中有可能就是因為一個關(guān)鍵設(shè)備的補丁沒打,、開啟了一個多余服務(wù)、一個不合理的網(wǎng)絡(luò)暴露面,，就可能被惡意利用而導(dǎo)致網(wǎng)絡(luò)整體失陷,，所以在某種程度上保護工作確實需要面面俱到，尤其是基礎(chǔ)防護工作,。但同時也要分清主次,、重點突出。要明確保護邊界,、現(xiàn)階段保護重點,，不能過保護或做無效的保護,。

　　關(guān)于關(guān)基保護應(yīng)該重點突出的具體做法，目前除了《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》外,，可重點參考《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》,。保護要求主要是在國家網(wǎng)絡(luò)安全等級保護制度基礎(chǔ)上，借鑒我國相關(guān)部門在重要行業(yè)和領(lǐng)域開展網(wǎng)絡(luò)安全保護工作的成熟經(jīng)驗,，吸納國內(nèi)外在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護方面的舉措,，結(jié)合我國現(xiàn)有網(wǎng)絡(luò)安全保障體系等成果，從分析識別,、安全防護,、檢測評估、監(jiān)測預(yù)警,、主動防御,、事件處置等方面，提出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求,，采取必要措施保護關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)運行,，及其重要數(shù)據(jù)不受破壞，切實加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護,。

　　在日常實踐中,，要注意以下幾點：

　　第一，要立足本單位網(wǎng)絡(luò)安全實際,，分清輕重緩急,。根據(jù)各項保護工作所處的客觀地位來決定和評估哪項工作在現(xiàn)實中確實能夠牽動全局，哪項工作必要性緊迫性最高,，以此來投入建設(shè),，果斷應(yīng)對。

　　第二,，正確處理全局和重點的關(guān)系。例如在抓好數(shù)據(jù)安全重點工作的同時,，不可忽視數(shù)據(jù)支撐環(huán)境的安全工作,，明確數(shù)據(jù)安全管理作為整體網(wǎng)絡(luò)安全管理的一個重要組成，明確加強數(shù)據(jù)安全建設(shè)的同時也是對整體網(wǎng)絡(luò)安全的加強,。要根據(jù)保護工作重點目標與其他工作的內(nèi)在聯(lián)系,，把各項保護工作一起搞上去，使主次配合,，統(tǒng)籌兼顧,，而不要顧此失彼、搞單打一,。

　　風險評估持續(xù)保障

　　網(wǎng)絡(luò)安全的威脅來源和攻擊手段不斷變化,，依靠裝幾個安全設(shè)備和安全軟件就想永保安全的想法已不合時宜,，需要樹立動態(tài)、綜合的防護理念,。關(guān)基的動態(tài)特性,，使得它很難用固定標準或方法去保護，未來亟需通過風險評估不斷找出威脅源,，不斷迭代安全措施,，并檢驗安全措施有效性。

　　具體來講一是需要通過風險評估促進關(guān)鍵信息基礎(chǔ)設(shè)施運營者開展保護體系建設(shè)和重點保護措施的落實,，做到分重點保護,，明確保護對象范圍，厘清保護責任和保護主體,；二是需要通過風險評估找出可能導(dǎo)致關(guān)基業(yè)務(wù)停擺,、生產(chǎn)事故、重要數(shù)據(jù)失竊,、泄露,、破壞的安全隱患，降低關(guān)鍵基礎(chǔ)設(shè)施一旦遭受攻擊后可能帶來的惡劣影響,，尤其是涉及到國家政治安全,、經(jīng)濟安全、以及民生安全的關(guān)鍵業(yè)務(wù),、重要數(shù)據(jù)和個人信息,，一旦被惡意利用將直接影響國家安全；三是需要通過風險評估促進關(guān)鍵信息基礎(chǔ)設(shè)施安全防御體系的改進提升,，檢驗當前的安全防護措施是否有效,，防護體系是否可以滿足當下的網(wǎng)絡(luò)安全形勢，最終達到“以評促建”,，提升整體安全防御體系的目的,。風險評估作為動態(tài)發(fā)現(xiàn)關(guān)基風險的有效手段，需要一以貫之的在關(guān)基建設(shè)的全生命周期持續(xù)發(fā)揮作用,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<