安全事件频发，为我们国网络安全保护工作敲响了警钟；随着网络安全形势日益严峻，“等保2.0”体系应运而生；等级保护是防御风险的一项必要手段；开展等级保护工作是网络安全工作中必须履行的安全保护义务，是信息化发展的根本保障；关键信息基础设施是网络安全等级保护的重点；国内关键信息基础设施的保护仍存在亟需解决的问题；强化关键信息基础设施保护能力，加大保护力度是当务之急。

作者：刘志磊 来源：网络空间安全之路

01  安全事件频发，为网络防护敲响警钟

近期，美国最大的成品油管道运营商Colonial Pipeline 受到勒索软件攻击的网络安全事件成为焦点，黑客通过非法软件控制其电脑系统和数据，使得Colonial Pipeline被迫关闭其位于美国东部沿海各州供油的关键燃油网络，该事件的发生导致美国宣布进入国家紧急状态，并迅速引起美国政府以及各界的高度关注。路透社报道称“美国政府全力帮助受到黑客攻击的燃油管道运营商Colonial恢复”，作为有报告的最具破坏性的数字勒索事件之一，促使美国立法者要求加强对美国关键能源基础设施的保护，以防止遭受黑客攻击。这是典型的针对关键信息基础设施进行攻击的网络安全事件，产生的影响不言而喻，也为我们国家监管部门及关键信息基础设施运营单位的网络安全保护工作敲响了警钟。

02  等级保护是防御风险的必要手段

2017年6月1日，《网络安全法》正式施行，标示着我国将网络安全提升至国家战略新高度，相关要求也具备法律效力。其中第二十一条中规定“国家实行网络安全等级保护制度”、第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”对于网络运营者来说，开展等级保护工作不再是一项可有可无的工作，而是成为网络安全工作中必须履行的安全保护义务。当下网络攻击事件愈演愈烈，从谋取个人利益的攻击行为转变到国与国之间的较量，网络空间逐步变为新的战场，一旦网络空间中承载着金融、能源、交通、水利、医疗卫生等关系国计民生的信息通信基础设施受到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益。所以关键信息基础设施运营者，有义务识别网络中潜在的安全风险，并不断提高网络安全防护能力、识别高危风险能力、监测预警能力、应急处置能力及备份恢复能力，即使发生重大安全事件也能采取妥当应对措施。关键信息基础设施行业与领域作为国家关键业务的重中之重，其运营者更应责无旁贷担负起本行业与领域关键信息基础设施网络安全的保护责任，无论从法律中的要求，还是经验来讲，等级保护无疑是防御风险的一项必要手段。

03  安全形势日益严峻，“等保2.0”体系应运而生

网络安全等级保护制度是国家网络安全保障工作的基本制度，其不是新事物，是计算机信息系统安全等级保护制度的升级版。1994年，《中华人民共和国计算机信息系统安全保护条例》明确规定“计算机信息系统实行安全等级保护”。2003年-2007年期间，国家连续出台了多项开展信息安全等级保护工作的指导性文件与要求。2008年到2012年之间，若干国家等级保护安全标准陆续出台，推动了安全等级保护制度的建设，即我们网络安全工作过程中所称之 “等保1.0”体系。简单来说，“等保1.0“体系以信息系统为对象，确立了五级安全保护等级，并从信息系统安全等级保护的定级方法、基本要求、实施过程、测评工作等方面入手，形成了一套相对完整的、有明确标准的，且涵盖了制度与技术要求的等级保护规范体系。然而，随着网络安全形势日益严峻，“等保1.0”体系逐渐难以持续应对不容乐观的网络安全新时代，于是“等保2.0”体系应运而生。

2017年，《网络安全法》首次提出“网络安全等级保护制度”的概念，并明确相关具体要求。2018年，《网络安全等级保护条例（征求意见稿）》（以下简称“《等级保护条例》”）提出“国家实行网络安全等级保护制度，对网络实施分等级保护、分等级监管”，并阐述了相关工作原则、网络等级、技术要求等内容。《等级保护条例》更新了由《信息安全等级保护管理办法》建立的信息安全等级保护制度，标志着国家对信息安全技术与网络安全保护迈入2.0时代。随后，2019年，若干国家标准陆续出台，推动了安全等级保护制度的建设。可以说，2017年以来，以《网络安全法》生效为标志，围绕《等级保护条例》为核心的一系列法律法规及国家标准，共同组成并开启了“等保2.0”体系。

04  构建安全防护架构，强化网络防御体系

开展网络安全等级保护工作是保护我们信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的体现。根据网络安全保护对象在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络安全保护对象分为五个安全保护等级。在此过程中我们根据保护对象所对应的安全保护等级，依照法律、行政法规的规定和国家标准的强制性要求，通过安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心五个方面基本技术措施和安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理五个方面基本管理措施的有效落地与实施，进一步建成“一中心、三防护”的基础网络安全防护架构，为我们的网络与业务系统提供立体、纵深的安全保障防御体系，同时强化了我们日常网络安全工作的安全管理体系与运维体系，实现了管理制度的标准化、规范化和流程化及安全事件的全程全周期管理，可切实保护网络与信息系统安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。

05  关键信息基础设施保护是重中之重

2014年2月27日，中央网络安全和信息化领导小组召开第一次会议，正式提出“关键信息基础设施”这个概念，习近平总书记指示，“要抓紧制定互联网信息内容管理、国家关键信息基础设施保护等方面的专项法规，解决工作急需”，随后下发的文件中提到，建设网络强国，要有良好的信息基础设施；形成实力雄厚的信息经济，要完善关键信息基础设施保护等法律法规等。

关键信息基础设施关系国家重大利益、人民生命财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施、信息系统和数据资源。关键信息基础设施是网络安全等级保护的重点，网络安全等级保护制度涵盖关键信息基础设施保护。目前国家关键信息基础设施已纳入网络安全等级保护制度进行管理，在网络安全等级保护相关要求的基础上，提出更高的要求。目前关键信息基础设施保护标准体系，如：关键信息基础设施保护条例，关键信息基础设施安全保护要求、关键信息基础设施安全控制要求、关键信息基础设施安全控制评估方法等正在起草制定中。

06  国内关基保护中存在的问题

当前我国高度重视对关键信息基础设施的保护，但作为从业者我们发现国内关键信息基础设施的保护仍存在亟需解决的问题，面临严峻的挑战，具体为：

1、保护范围划分不明晰

为了保护关键信息基础设施，我国在2016年出台了《网络安全法》。不过其中只说明了关键保护范围，却没有清晰划分公共服务、重要行业的具体范围以及判定标准。此外，指导文件大多为知识方向上的禁止与指导，缺少明确的要求，有必要不断完善和落实细则措施。

2、元件多需进口，创新能力仍待提升

对于国家的网络安全保护工作来说，稳定的设备物资供应链意义重大。当前我国网络安全所用基础设施和产品大多依赖进口，不少信息系统的服务商也是使用国外技术标准的外企。我国在核心元件的控制能力以及技术创新水平上还需迎头赶上。以长足发展的角度来看，唯有不断提高我国产品的自主开发能力、创新能力，才能够掌握主动权，减少外界威胁，规避安全隐患。

3、缺乏完善的评估机制与恢复系统

当前业界缺少统一的评估安全问题标准以及脆弱性的评估机制，且遇到问题后难以及时恢复安全。重点工作环节的缺失，将带来安全风险与隐患，难以有效保障评估制度的落实和制定。

4、风险监测预警能力较弱

各个机构的配合力和协调能力相对薄弱，有关部门与行业机构对于关键信息基础设施保护能力有待加强。在网络快速发展的今天，网络恶意攻击和入侵事件已不是偶然和个例，由此可见建立预警系统、应急体系十分重要。虽然我国目前高度重视关键信息基础设施保护，但仍欠缺应对大型攻击的能力，预警监测系统还需进一步完善。

07  新形势下提升关基保护能力是当务之急

关键信息基础设施行业与领域在新形势下要重点关注整体防御、主动防御，加强行业与领域的综合保障能力，提升关键信息基础设施应对安全风险的能力。强化关键信息基础设施保护力度，运营者应落实以下要求:

一是关注行业与领域的关键业务链安全，依据相关标准，对关键信息基础设施的检测评估应先梳理行业的关键业务。如数据业务是移动运营商的关键业务之一，主要为手机上网用户提供2G/3G/4G/5G的上网业务，从数据产生到传输再到接收的完整业务链中可能会涉及到的所有系统及设备间的级联风险，如数据业务会涉及本地分组域、全国分组域、国际分组域系统，以及计费系统等。关基运营者应根据其业务特点，分析业务链中涉及的系统或设备自身存在的安全隐患会造成何种影响，同时分析关键节点及边界安全防护存在的不足，可能波及的影响范围和程度，如计费系统自身存在风险是否会波及到分组域系统的正常运营，一旦发生安全事件是否会对国家安全、社会稳定和民众利益造成影响。通过对业务链的梳理和各个环节安全隐患的分析评估，综合研判关键信息基础设施面临的风险影响范围和程度。

二是提升关键信息基础设施的安全保障能力，通过对关键信息基础设施安全防护、识别高风险、监控预警、应急处置、灾备和恢复等能力的评估，提升关键信息基础设施的整体安全保障能力，具体要求包括如下几点：

提升安全防护能力。安全防护能力主要体现在安全设施保障层面、技术层面和管理层面。一是在安全设施保障层面需加强如防攻击、防病毒、防入侵等安全设备的准确投入。二是技术层面上需健全关键信息基础设施的身份鉴别机制，遵守安全配置规范，、合理配置设施安全策略，强化系统或补丁升级的及时性。三是在管理层面应建立和执行安全管理制度，提升人才培养和人才鼓励制度的完善性，改善人员的安全技能和安全教育效果，保障信息化和网络安全的发展的均衡性。通过安全设施、技术、管理等各层面的保障来提升行业的整体保护能力。

提升高风险识别能力。由于关键信息基础设施行业与领域承载着国家金融、能源、交通、水利、医疗卫生等关系国计民生的关键信息通信基础设施，直接威胁到国家安全、社会稳定和民众利益，所以基于合规性的检测方法基础上，关键信息基础设施同时应以行业关键业务为基础，重点识别可导致数据泄露或篡改、系统被控、跨域/跨行业/跨单位的攻击等能对关键业务造成严重影响的风险隐患。

提升监控预警能力。建立全面检测、快速响应机制，提升获取情报、精准预警的能力。建立态势感知中心，对监控设备的安全性进行评估，评估监测预警设备在数据采集、传输、分析和销毁的周期过程中是否存在信息泄露的风险；对通信行业关键信息基础设施运行状态、网络流量、人员操作、物理环境等方面的监控策略及策略运行效果进行评估，识别监测预警过程中潜在的安全风险。

提升应急处置联动能力。应急响应需支持关键信息基础设施企业级、行业级、国家级应急响应的公共联动，建立应急联动体系、应急处置的同时尽量减少对关键业务运行产生影响，整治应急组成员调度、软硬件设施调度、技术支撑力、以及其他应急处置的薄弱环节量，提升行业级、国家级应急联动能力。

提升灾备和恢复能力。制定灾备计划和建设恢复程序、备份和冗余，并对人员灾备恢复应急技能、恢复演练效果等方面进行检查评估，分析灾备冗余能力满足关键业务需求的程度，以及重要系统和数据库备份策略的合理性，提升企业在规定的恢复时间（RTO）和恢复点（RPO）范围内灾难恢复能力。

08  贯彻安全保护制度，构建安全防控体系

为深入贯彻党中央有关文件精神和《网络安全法》，实现网络安全等级保护制度和关键信息基础设施安全保护制度在重点行业、部门的全面落实，我认为关基运营者应做到以下几点：

一是需进一步深入贯彻实施国家网络安全等级保护制度，深化网络定级备案工作。工作过程中需全面梳理包括云计算、物联网、新型互联网、大数据、智能制造等新技术应用情况，科学确定安全保护等级，并定期开展网络安全等级测评，依据测评结果科学开展安全建设整改。尤其在网络建设和运营过程中需同步规划、同步建设、同步使用网络安全保护措施。强化安全责任落实。按照“谁主管谁负责、谁运营谁负责”的原则，厘清我们网络安全保护边界，建立网络安全等级保护工作责任制。加强供应链安全管理。加强网络关键人员的安全管理，采购、使用符合国家法律法规和有关标准规范要求的网络产品及服务。

二是实施关键信息基础设施安全保护制度。尤其针对国家公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的关键信息基础设施需进一步明确认定规则和组织认定，并对符合的相关对象纳入关键信息基础设施保护。在此过程中针对关键信息基础设施运营者需开展安全建设和安全评估，梳理网络资产，建立资产档案，强化核心岗位人员管理、整体防护、监测预警、应急处置、数据保护等重点保护措施，积极利用新技术开展网络安全保护。同时建立网络安全立体化监测体系，实现关键信息基础设施、重要网络的实时监测。健全完善网络安全考核评价制度，将网络安全工作纳入考核评价体系。

三是关键信息基础设施关系着国计民生，一旦遭受攻击，破坏力将通过关联的行业、领域逐渐传递，可造成不可预期的后果。因此作为关键信息基础设施运营者需针对当前网络安全态势及面临的威胁挑战，要深入贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度，安全保护对象实现新技术、新应用安全保护对象和安全保护领域的全覆盖；安全防护策略突出技术思维和立体防范，注重全方位主动防御、动态防御、整体防护和精准防护；安全防护能力以问题导向、实战引领、体系化作战，全力提升网络对抗能力。

作者：刘志磊