近日，全国信息安全标准化技术委员会召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》（报批稿）（以下简称《基本要求》）试点工作启动会。本次试点工作选取电信、广电、能源、交通、金融、卫生健康等行业的12家单位作为标准应用试点单位。《基本要求》定义关键信息基础设施是公共通信和信息服务、能源、交通、水利、金融、公共服务和电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息设施。关键信息基础设施网络安全保护应遵循重点保护、整体防护、动态风控、协同参与的基本原则,建立网络安全综合防御体系。重点保护是指关键信息基础设施网络安全保护应首先符合网络安全等级保护政策及GB/T 22239-2019等标准相关要求，在此基础上加强关键信息基础设施关键业务的安全保护。整体防护是指基于关键信息基础设施承载的业务，对业务所涉及的多个网络和信息系统（含工业控制系统）等进行全面防护。动态风控是指以风险管理为指导思想，根据关键信息基础设施所面临的安全风险对其安全控制措施进行调整，以及时有效的防范应对安全风险。

《中华人民共和国网络安全法》中规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

等级保护是普适性的制度，是关键信息基础设施保护的基础。关键信息基础设施须按照网络安全等级保护制度要求，开展定级备案、总体安全规划、安全设计与实施、安全运行与维护和等级测评等规定性工作。关键信息基础设施网络安全保护还包括识别认定、安全防护、检测评估、监测预警和事件处置等五个环节。关键信息基础设施网络安全保护应遵循重点保护、整体防护、动态风控和协同参与的基本原则,建立网络安全综合防御体系。

相较于等级保护2.0而言，关键信息基础设施网络安全保护增强了如下措施。如图所示：

一、优化实施流程

1．识别认定：运营者配合保护工作部门，按照相关规定开展关键信息基础设施识别和认定活动。围绕关键信息基础设施承载的关键业务，开展业务依赖性识别、风险识别等活动。本环节是开展安全防护、检测评估、监测预警和事件处置等环节工作的基础。

2．安全防护：运营者根据已识别的安全风险，实施安全管理制度、安全管理机构、安全管理人员、安全通信网络、安全计算环境、安全建设管理和安全运维管理等方面的安全控制措施，确保关键信息基础设施的运行安全。本环节在识别关键信息基础设施安全风险的基础上制定安全防护措施。

3．检测评估：为检验安全防护措施的有效性，发现网络安全风险隐患，运营者制定相应的检测评估制度，确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。

4．监测预警：运营者制定并实施网络安全监测预警和信息通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或实时发出安全警示。

5．事件处置：对网络安全事件进行处置，根据检测评估、监测预警环节发现的问题，运营者制定并实施适当的应对措施，恢复由于网络安全事件而受损的功能或服务。

二、强化技术能力

1．资产识别：实现对关键信息基础设施相关资产的自动化管理，根据关键业务链所依赖资产的实际情况实时动态更新。

2．互联安全：对不同局域网之间远程通信时采取安全防护措施，例如在通信前基于密码技术对通信的双方进行验证或认证。

3．安全审计：应加强网络审计措施，监测、记录系统运行状态、日常操作、故障维护和远程运维等，留存相关日志数据不少于12个月。

4．入侵防范：实现对新型网络攻击行为（如APT攻击）的入侵防范。具备系统主动防护能力，及时识别并阻断入侵和病毒行为。

5．数据安全：我国境内运营中收集和产生的个人信息和重要数据不得随意向境外泄露。如因业务需要，确需向境外提供数据的，应当按照国家相关规定和标准进行安全评估。如果法律、行政法规中另有规定的，因依照其相关规定执行。对数据的全生命周期进行安全管理，基于数据分类分级实现相应的数据安全保护。

6．自动化工具：应使用自动化工具来支持系统账户、配置、漏洞、补丁和病毒库等管理。对于漏洞、补丁，应在经过验证后及时修补。

7．监测预警：制定自身的监测预警和信息通报制度，确定网络安全预警分级标准，明确监测策略、监测内容和预警流程，对关键信息基础设施的网络安全风险进行监测预警。

三、 细化管理措施

1．建立适合本组织的网络安全保护计划，结合关键业务流的安全风险报告，明确关键信息基础设施网络安全保护工作的目标、安全策略、组织架构、管理制度、技术措施实施细则和资源保障等，形成文档并经审批后发布至相关人员。网络安全保护计划应至少每年修订一次，或发生重大变化时进行修订。

2．成立指导和管理网络安全工作的委员会或领导小组，由组织主要负责人担任其领导职务。设置专门的网络安全管理机构，建立首席网络安全官制度，建立并实施网络安全考核及监督问责机制。

3．对安全管理机构负责人和关键岗位人员进行安全背景和安全技能审查，符合要求人员才能上岗。关键岗位包括与关键业务系统直接相关的系统管理、网络管理和安全管理等岗位。关键岗位应专人负责，并配备2人以上共同管理。

4．运营者应建立网络安全教育培训制度，定期开展基于岗位的网络安全教育培训和技能考核。应规定适当的关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长，教育培训内容应包括网络安全相关制度和规定、网络安全保护技术和网络安全风险意识。

5．在上岗前对人员进行安全背景审查，当人员身份、安全背景等情况发生变化时，（例如取得非中国国籍）应根据情况重新进行安全背景审查。应在人员发生内部岗位调动时，重新评估调动人员对关键信息基础设施的逻辑和物理访问权限，修改访问权限并通知相关人员或角色。应在人员离岗时，及时终止离岗人员的所有访问权限，收回与身份认证相关的软硬件设备，进行离职面谈并通知相关人员或角色。

本文对关键信息基础设施网络安全保护试点行业的增强措施进行了初步解读，由于关键信息基础设施的多样性和复杂性，使得不同关键信息基础设施的重要性、以及维持其正常运行所需的资源也不尽相同。应充分发挥产、学、研在关键信息基础设施工作中的优势及作用，深度融合技术创新体系，随时关注技术发展动态，持续革新网络安全保护技术，才是确保关键信息基础设施安全的途径。

未完待续……