安全事件頻發(fā)，為我們國網絡安全保護工作敲響了警鐘焕盟；隨著網絡安全形勢日益嚴峻秋秤，“等保2.0”體系應運而生；等級保護是防御風險的一項必要手段脚翘；開展等級保護工作是網絡安全工作中必須履行的安全保護義務灼卢，是信息化發(fā)展的根本保障；關鍵信息基礎設施是網絡安全等級保護的重點来农；國內關鍵信息基礎設施的保護仍存在亟需解決的問題鞋真；強化關鍵信息基礎設施保護能力，加大保護力度是當務之急沃于。

免費領取學習資料
2021年全套網絡安全資料包及最新面試題(滲透工具涩咖，環(huán)境搭建、HTML繁莹，PHP檩互，MySQL基礎學習，信息收集咨演，SQL注入,XSS闸昨，CSRF，暴力破解等等）

01 ****安全事件頻發(fā)薄风，為網絡防護敲響警鐘

近期饵较，美國最大的成品油管道運營商Colonial Pipeline 受到勒索軟件攻擊的網絡安全事件成為焦點，黑客通過非法軟件控制其電腦系統(tǒng)和數(shù)據(jù)遭赂，使得Colonial Pipeline被迫關閉其位于美國東部沿海各州供油的關鍵燃油網絡循诉，該事件的發(fā)生導致美國宣布進入國家緊急狀態(tài)，并迅速引起美國政府以及各界的高度關注嵌牺。路透社報道稱“美國政府全力幫助受到黑客攻擊的燃油管道運營商Colonial恢復”打洼，作為有報告的最具破壞性的數(shù)字勒索事件之一，促使美國立法者要求加強對美國關鍵能源基礎設施的保護逆粹，以防止遭受黑客攻擊募疮。這是典型的針對關鍵信息基礎設施進行攻擊的網絡安全事件，產生的影響不言而喻僻弹，也為我們國家監(jiān)管部門及關鍵信息基礎設施運營單位的網絡安全保護工作敲響了警鐘阿浓。

image

02 ****等級保護是防御風險的必要手段

2017年6月1日，《網絡安全法》正式施行蹋绽，標示著我國將網絡安全提升至國家戰(zhàn)略新高度芭毙，相關要求也具備法律效力筋蓖。其中第二十一條中規(guī)定“國家實行網絡安全等級保護制度”、第三十一條規(guī)定“國家對公共通信和信息服務退敦、能源粘咖、交通、水利侈百、金融瓮下、公共服務、電子政務等重要行業(yè)和領域钝域，以及其他一旦遭到破壞讽坏、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全例证、國計民生路呜、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上织咧，實行重點保護胀葱。”對于網絡運營者來說烦感，開展等級保護工作不再是一項可有可無的工作巡社，而是成為網絡安全工作中必須履行的安全保護義務。當下網絡攻擊事件愈演愈烈手趣，從謀取個人利益的攻擊行為轉變到國與國之間的較量晌该，網絡空間逐步變?yōu)樾碌膽?zhàn)場，一旦網絡空間中承載著金融绿渣、能源朝群、交通、水利中符、醫(yī)療衛(wèi)生等關系國計民生的信息通信基礎設施受到破壞姜胖、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全淀散、國計民生和公共利益右莱。所以關鍵信息基礎設施運營者，有義務識別網絡中潛在的安全風險档插，并不斷提高網絡安全防護能力慢蜓、識別高危風險能力、監(jiān)測預警能力郭膛、應急處置能力及備份恢復能力晨抡，即使發(fā)生重大安全事件也能采取妥當應對措施。關鍵信息基礎設施行業(yè)與領域作為國家關鍵業(yè)務的重中之重，其運營者更應責無旁貸擔負起本行業(yè)與領域關鍵信息基礎設施網絡安全的保護責任耘柱，無論從法律中的要求如捅，還是經驗來講，等級保護無疑是防御風險的一項必要手段调煎。

03 ****安全形勢日益嚴峻镜遣，“等保2.0”體系應運而生

網絡安全等級保護制度是國家網絡安全保障工作的基本制度，其不是新事物汛蝙，是計算機信息系統(tǒng)安全等級保護制度的升級版烈涮。1994年，《中華人民共和國計算機信息系統(tǒng)安全保護條例》明確規(guī)定“計算機信息系統(tǒng)實行安全等級保護”窖剑。2003年-2007年期間，國家連續(xù)出臺了多項開展信息安全等級保護工作的指導性文件與要求戈稿。2008年到2012年之間西土，若干國家等級保護安全標準陸續(xù)出臺，推動了安全等級保護制度的建設鞍盗，即我們網絡安全工作過程中所稱之 “等保1.0”體系需了。簡單來說，“等保1.0“體系以信息系統(tǒng)為對象般甲，確立了五級安全保護等級肋乍，并從信息系統(tǒng)安全等級保護的定級方法、基本要求敷存、實施過程墓造、測評工作等方面入手，形成了一套相對完整的锚烦、有明確標準的觅闽，且涵蓋了制度與技術要求的等級保護規(guī)范體系。然而涮俄，隨著網絡安全形勢日益嚴峻蛉拙，“等保1.0”體系逐漸難以持續(xù)應對不容樂觀的網絡安全新時代，于是“等保2.0”體系應運而生彻亲。

image

2017年孕锄，《網絡安全法》首次提出“網絡安全等級保護制度”的概念，并明確相關具體要求苞尝。2018年畸肆，《網絡安全等級保護條例（征求意見稿）》（以下簡稱“《等級保護條例》”）提出“國家實行網絡安全等級保護制度，對網絡實施分等級保護野来、分等級監(jiān)管”恼除，并闡述了相關工作原則、網絡等級、技術要求等內容豁辉×钜埃《等級保護條例》更新了由《信息安全等級保護管理辦法》建立的信息安全等級保護制度，標志著國家對信息安全技術與網絡安全保護邁入2.0時代徽级。隨后气破，2019年，若干國家標準陸續(xù)出臺餐抢，推動了安全等級保護制度的建設现使。可以說旷痕，2017年以來碳锈，以《網絡安全法》生效為標志，圍繞《等級保護條例》為核****心****的一系列法律法規(guī)及國家標準欺抗，共同組成并開啟了“等保2.0”體系售碳。

04 ****構建安全防護架構，強化網絡防御體系

開展網絡安全等級保護工作是保護我們信息化發(fā)展绞呈、維護網絡安全的根本保障贸人，是網絡安全保障工作中國家意志的體現(xiàn)。根據(jù)網絡安全保護對象在國家安全佃声、經濟建設艺智、社會生活中的重要程度，以及其一旦遭到破壞圾亏、喪失功能或者數(shù)據(jù)被篡改十拣、泄露、丟失召嘶、損毀后父晶，對國家安全、社會秩序弄跌、公共利益以及相關公民甲喝、法人和其他組織的合法權益的危害程度等因素，網絡安全保護對象分為五個安全保護等級铛只。在此過程中我們根據(jù)保護對象所對應的安全保護等級埠胖，依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求淳玩，通過安全物理環(huán)境直撤、安全通信網絡、安全區(qū)域邊界蜕着、安全計算環(huán)境和安全管理中心五個方面基本技術措施和安全管理制度谋竖、安全管理機構红柱、安全管理人員、安全建設管理和安全運維管理五個方面基本管理措施的有效落地與實施蓖乘，進一步建成“一中心锤悄、三防護”的基礎網絡安全防護架構，為我們的網絡與業(yè)務系統(tǒng)提供立體嘉抒、縱深的安全保障防御體系零聚，同時強化了我們日常網絡安全工作的安全管理體系與運維體系，實現(xiàn)了管理制度的標準化些侍、規(guī)范化和流程化及安全事件的全程全周期管理隶症，可切實保護網絡與信息系統(tǒng)安全、穩(wěn)定運行岗宣，有效應對網絡安全事件蚂会，防范網絡違法犯罪活動，維護網絡數(shù)據(jù)的完整性狈定、保密性和可用性颂龙。

05 ****關鍵信息基礎設施保護是重中之重

2014年2月27日，中央網絡安全和信息化領導小組召開第一次會議纽什，正式提出“關鍵信息基礎設施”這個概念，習近平總書記指示躲叼，“要抓緊制定互聯(lián)網信息內容管理芦缰、國家關鍵信息基礎設施保護等方面的專項法規(guī)，解決工作急需”枫慷，隨后下發(fā)的文件中提到让蕾，建設網絡強國，要有良好的信息基礎設施或听；形成實力雄厚的信息經濟探孝，要完善關鍵信息基礎設施保護等法律法規(guī)等。

關鍵信息基礎設施關系國家重大利益誉裆、人民生命財產安全和社會生產生活秩序顿颅，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露足丢，可能嚴重危害國家安全粱腻、國計民生、公共利益的網絡設施斩跌、信息系統(tǒng)和數(shù)據(jù)資源绍些。關鍵信息基礎設施是網絡安全等級保護的重點，網絡安全等級保護制度涵蓋關鍵信息基礎設施保護耀鸦。目前國家關鍵信息基礎設施已納入網絡安全等級保護制度進行管理柬批，在網絡安全等級保護相關要求的基礎上，提出更高的要求。目前關鍵信息基礎設施保護標準體系，如：關鍵信息基礎設施保護條例蝗蛙，關鍵信息基礎設施安全保護要求蹈矮、關鍵信息基礎設施安全控制要求、關鍵信息基礎設施安全控制評估方法等正在起草制定中旋恼。

image.png

06 ****國內關基保護中存在的問題

當前我國高度重視對關鍵信息基礎設施的保護，但作為從業(yè)者我們發(fā)現(xiàn)國內關鍵信息基礎設施的保護仍存在亟需解決的問題奄容，面臨嚴峻的挑戰(zhàn)冰更，具體為：

1、保護范圍劃分不明晰

為了保護關鍵信息基礎設施昂勒，我國在2016年出臺了《網絡安全法》蜀细。不過其中只說明了關鍵保護范圍，卻沒有清晰劃分公共服務戈盈、重要行業(yè)的具體范圍以及判定標準奠衔。此外，指導文件大多為知識方向上的禁止與指導塘娶，缺少明確的要求归斤，有必要不斷完善和落實細則措施。

2刁岸、元件多需進口脏里，創(chuàng)新能力仍待提升

對于國家的網絡安全保護工作來說，穩(wěn)定的設備物資供應鏈意義重大虹曙。當前我國網絡安全所用基礎設施和產品大多依賴進口迫横，不少信息系統(tǒng)的服務商也是使用國外技術標準的外企。我國在核心元件的控制能力以及技術創(chuàng)新水平上還需迎頭趕上酝碳。以長足發(fā)展的角度來看矾踱，唯有不斷提高我國產品的自主開發(fā)能力、創(chuàng)新能力疏哗，才能夠掌握主動權呛讲，減少外界威脅，規(guī)避安全隱患沃斤。

3圣蝎、缺乏完善的評估機制與恢復系統(tǒng)

當前業(yè)界缺少統(tǒng)一的評估安全問題標準以及脆弱性的評估機制，且遇到問題后難以及時恢復安全衡瓶。重點工作環(huán)節(jié)的缺失徘公，將帶來安全風險與隱患，難以有效保障評估制度的落實和制定哮针。

4关面、風險監(jiān)測預警能力較弱

各個機構的配合力和協(xié)調能力相對薄弱坦袍，有關部門與行業(yè)機構對于關鍵信息基礎設施保護能力有待加強。在網絡快速發(fā)展的今天等太，網絡惡意攻擊和入侵事件已不是偶然和個例捂齐，由此可見建立預警系統(tǒng)、應急體系十分重要缩抡。雖然我國目前高度重視關鍵信息基礎設施保護奠宜，但仍欠缺應對大型攻擊的能力，預警監(jiān)測系統(tǒng)還需進一步完善瞻想。

07 ****新形勢下提升關基保護能力是當務之急

關鍵信息****基礎設施行業(yè)與領域在新形勢下要重點關注整體防御压真、主動防御，加強行業(yè)與領域的綜合保障能力蘑险，提升關鍵信息基礎設施應對安全風險的能力滴肿。強化關鍵信息基礎設施保護力度，運營者應落實以下要求:

一是關注行業(yè)與領域的關鍵業(yè)務鏈安全佃迄，依據(jù)相關標準泼差，對關鍵信息基礎設施的檢測評估應先梳理行業(yè)的關鍵業(yè)務。如數(shù)據(jù)業(yè)務是移動運營商的關鍵業(yè)務之一呵俏，主要為手機上網用戶提供2G/3G/4G/5G的上網業(yè)務堆缘，從數(shù)據(jù)產生到傳輸再到接收的完整業(yè)務鏈中可能會涉及到的所有系統(tǒng)及設備間的級聯(lián)風險，如數(shù)據(jù)業(yè)務會涉及本地分組域普碎、全國分組域套啤、國際分組域系統(tǒng)，以及計費系統(tǒng)等随常。關基運營者應根據(jù)其業(yè)務特點，分析業(yè)務鏈中涉及的系統(tǒng)或設備自身存在的安全隱患會造成何種影響萄涯，同時分析關鍵節(jié)點及邊界安全防護存在的不足绪氛，可能波及的影響范圍和程度，如計費系統(tǒng)自身存在風險是否會波及到分組域系統(tǒng)的正常運營涝影，一旦發(fā)生安全事件是否會對國家安全枣察、社會穩(wěn)定和民眾利益造成影響。通過對業(yè)務鏈的梳理和各個環(huán)節(jié)安全隱患的分析評估燃逻，綜合研判關鍵信息基礎設施面臨的風險影響范圍和程度序目。

二是提升關鍵信息基礎設施的安全保障能力，通過對關鍵信息基礎設施安全防護伯襟、識別高風險猿涨、監(jiān)控預警、應急處置姆怪、災備和恢復等能力的評估叛赚，提升關鍵信息基礎設施的整體安全保障能力澡绩，具體要求包括如下幾點：

提升安全防護能力。安全防護能力主要體現(xiàn)在安全設施保障層面俺附、技術層面和管理層面肥卡。一是在安全設施保障層面需加強如防攻擊、防病毒事镣、防入侵等安全設備的準確投入步鉴。二是技術層面上需健全關鍵信息基礎設施的身份鑒別機制，遵守安全配置規(guī)范璃哟，氛琢、合理配置設施安全策略，強化系統(tǒng)或補丁升級的及時性沮稚。三是在管理層面應建立和執(zhí)行安全管理制度艺沼，提升人才培養(yǎng)和人才鼓勵制度的完善性，改善人員的安全技能和安全教育效果蕴掏，保障信息化和網絡安全的發(fā)展的均衡性障般。通過安全設施、技術盛杰、管理等各層面的保障來提升行業(yè)的整體保護能力挽荡。

提升高風險識別能力。由于關鍵信息基礎設施行業(yè)與領域承載著國家金融即供、能源定拟、交通、水利逗嫡、醫(yī)療衛(wèi)生等關系國計民生的關鍵信息通信基礎設施青自，直接威脅到國家安全、社會穩(wěn)定和民眾利益驱证，所以基于合規(guī)性的檢測方法基礎上延窜，關鍵信息基礎設施同時應以行業(yè)關鍵業(yè)務為基礎，重點識別可導致數(shù)據(jù)泄露或篡改抹锄、系統(tǒng)被控逆瑞、跨域/跨行業(yè)/跨單位的攻擊等能對關鍵業(yè)務造成嚴重影響的風險隱患。

提升監(jiān)控預警能力伙单。建立全面檢測获高、快速響應機制，提升獲取情報吻育、精準預警的能力念秧。建立態(tài)勢感知中心，對監(jiān)控設備的安全性進行評估扫沼，評估監(jiān)測預警設備在數(shù)據(jù)采集出爹、傳輸庄吼、分析和銷毀的周期過程中是否存在信息泄露的風險；對通信行業(yè)關鍵信息基礎設施運行狀態(tài)严就、網絡流量总寻、人員操作、物理環(huán)境等方面的監(jiān)控策略及策略運行效果進行評估梢为，識別監(jiān)測預警過程中潛在的安全風險渐行。

提升應急處置聯(lián)動能力。應急響應需支持關鍵信息基礎設施企業(yè)級铸董、行業(yè)級祟印、國家級應急響應的公共聯(lián)動，建立應急聯(lián)動體系粟害、應急處置的同時盡量減少對關鍵業(yè)務運行產生影響蕴忆，整治應急組成員調度、軟硬件設施調度悲幅、技術支撐力套鹅、以及其他應急處置的薄弱環(huán)節(jié)量，提升行業(yè)級汰具、國家級應急聯(lián)動能力卓鹿。

提升災備和恢復能力。制定災備計劃和建設恢復程序留荔、備份和冗余吟孙，并對人員災備恢復應急技能、恢復演練效果等方面進行檢查評估聚蝶，分析災備冗余能力滿足關鍵業(yè)務需求的程度杰妓，以及重要系統(tǒng)和數(shù)據(jù)庫備份策略的合理性，提升企業(yè)在規(guī)定的恢復時間（RTO）和恢復點（RPO）范圍內災難恢復能力碘勉。

image.png

08 ****貫徹安全保護制度稚失，構建安全防控體系

為深入貫徹黨中央有關文件精神和《網絡安全法》，實現(xiàn)網絡安全等級保護制度和關鍵信息基礎設施安全保護制度在重點行業(yè)恰聘、部門的全面落實，我認為關基運營者應做到以下幾點：

一是需進一步深入貫徹實施國家網絡安全等級保護制度吸占，深化網絡定級備案工作晴叨。工作過程中需全面梳理包括云計算、物聯(lián)網矾屯、新型互聯(lián)網兼蕊、大數(shù)據(jù)、智能制造等新技術應用情況件蚕，科學確定安全保護等級孙技，并定期開展網絡安全等級測評产禾，依據(jù)測評結果科學開展安全建設整改。尤其在網絡建設和運營過程中需同步規(guī)劃牵啦、同步建設亚情、同步使用網絡安全保護措施。強化安全責任落實哈雏。按照“誰主管誰負責楞件、誰運營誰負責”的原則，厘清我們網絡安全保護邊界裳瘪，建立網絡安全等級保護工作責任制土浸。加強供應鏈安全管理。加強網絡關鍵人員的安全管理彭羹，采購黄伊、使用符合國家法律法規(guī)和有關標準規(guī)范要求的網絡產品及服務。

二是實施關鍵信息基礎設施安全保護制度派殷。尤其針對國家公共通信和信息服務还最、能源、交通愈腾、水利憋活、金融、公共服務虱黄、電子政務悦即、國防科技工業(yè)等重要行業(yè)和領域的關鍵信息基礎設施需進一步明確認定規(guī)則和組織認定，并對符合的相關對象納入關鍵信息基礎設施保護橱乱。在此過程中針對關鍵信息基礎設施運營者需開展安全建設和安全評估辜梳，梳理網絡資產，建立資產檔案泳叠，強化核心崗位人員管理作瞄、整體防護、監(jiān)測預警危纫、應急處置宗挥、數(shù)據(jù)保護等重點保護措施，積極利用新技術開展網絡安全保護种蝶。同時建立網絡安全立體化監(jiān)測體系契耿，實現(xiàn)關鍵信息基礎設施、重要網絡的實時監(jiān)測螃征。健全完善網絡安全考核評價制度搪桂，將網絡安全工作納入考核評價體系。

三是關鍵信息基礎設施關系著國計民生盯滚，一旦遭受攻擊踢械，破壞力將通過關聯(lián)的行業(yè)酗电、領域逐漸傳遞，可造成不可預期的后果内列。因此作為關鍵信息基礎設施運營者需針對當前網絡安全態(tài)勢及面臨的威脅挑戰(zhàn)撵术，要深入貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度，安全保護對象實現(xiàn)新技術德绿、新應用安全保護對象和安全保護領域的全覆蓋荷荤；安全防護策略突出技術思維和立體防范，注重全方位主動防御移稳、動態(tài)防御蕴纳、整體防護和精準防護；安全防護能力以問題導向个粱、實戰(zhàn)引領古毛、體系化作戰(zhàn)，全力提升網絡對抗能力都许。