新闻资讯

关键信息基础设施安全保护体系建设初探

新闻来源：科兰美轩加密软件整理发布时间：2022年9月17日此新闻已被浏览 1751 次

2021年9月1日，《关键信息基础设施安全保护条例》（以下简称《条例》）的正式实施，标志着我国网络安全保护迈进了以关键信息基础设施安全保护为重点的新阶段，对保障国家安全、经济发展和社会稳定，以及推进信息化建设具有十分重要的意义。

2021年5月，美国最大成品油运输管道运营商Colonial Pipeline公司工控系统遭勒索病毒攻击导致停机，造成近100GB数据窃取及成品油运输管道运营中断。

全球多起基础设施和重要信息系统遭受网络攻击事件频发，引发了全球各国对加强关键信息基础设施安全保护的思考。

1．关键信息基础设施的界定

关键信息基础设施（又称CII），《条例》第二条就关键信息基础设施的范围进行了定义，同时在第二章“关键信息基础设施认定”中明确指出保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。

目前相关的认定标准如《CII要素识别指南》、《信息安全技术关键信息基础设施边界确定方法》等已经在制定中。根据法规文件及专家解读，关键信息基础设施认定规则主要考虑下列因素：

(1)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；

(2)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；

(3)对其他行业和领域的关联性影响。保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门。

2．各方职责的明确

对于关键信息基础设施的监管体系《条例》提出了分类分层的监管模式：

国家层面由国家网信部门（国家工业和信息化部）负责统筹协调，协调网络安全信息的共享以及各部门对关键信息基础设施的网络安全检查检测工作；国务院公安部门（公安部）负责指导监督工作，从保证国家安全角度出发，包括负责规则备案、汇总基础设施名单、收集重大网络安全事件和网络安全威胁信息、对基础设施进行网络安全检查检测等工作；国务院电信主管部门（国家工业和信息化部）负责行业关键信息基础设施安全保护和监督管理工作（如汇集基础电信网络实施漏洞探测、渗透性测试等活动情况）。

地方层面则由省级人民政府有关部门进行保护监督管理工作。

3．重点保护方法论

参照《信息安全技术关键信息基础设施安全保护要求（报批稿）》等标准，关键信息基础设施安全保护制度应建立在网络安全等级保护体系基础上，着眼分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等重点活动的建设，并围绕关键信息基础设施网络安全风险识别到处置进行闭环管理，其体系框架如图1所示。

(1)分析识别：围绕关键信息基础设施承载的业务，开展业务识别、资产识别、风险识别等活动，为后续环节开展工作打下基础；

(2)安全防护：根据已识别的相关信息从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全通信网络、安全计算环境、安全运维管理、供应链安全保护、数据安全防护等方面进行安全能力的建设加固；

(3)检测评估：对安全防护环节的安全措施有效性进行验证，定期开展相关活动；

(4)监测预警：制定实施网络安全监测预警制度，及时对安全事件做出响应；

(5)主动防御：在减少暴露面的同时，采取诱捕、溯源、干扰和阻断等措施主动发现网络攻击事件；

(6)事件处置：对网络安全事件进行报告和处置并采取相应的应对措施。

QQ空间腾讯微博微信 QQ好友新浪微博人人网复制网址一键分享分享到：

·上一条：科兰美轩加密软件中秋节放假通知 | ·下一条：《网络安全法》迎来修改，惩罚力度加大