以安全企业角度出发解读《关键信息基础设施安全保护条例》

2021年9月1日，《关键信息基础设施安全保护条例》正式实施，为保护工作提供法治保障。关键信息基础设施涉及通信、能源、交通、金融等重要行业和领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益和公民合法权益。保障关键信息基础设施安全刻不容缓。

《全球关键信息基础设施网络安全状况分析报告》显示，全球关键信息基础设施已经或正在遭遇大量来外部、内部的网络攻击，安全态势严峻。关键信息基础设施是企业的命脉，《关键信息基础设施安全保护条例》进一步健全了关键信息基础设施安全保护法律制度体系，同时规范了运营者网络安全保护制度和责任制、关键信息基础设施安全保护，以及重大网络安全事件的处置能力。《关键信息基础设施安全保护条例》对企业有哪些方面的影响？企业该怎样落实条例中所提到的新要求？针对条例所引发的问题，嘶吼专访了企业代表天融信科技集团解决方案中心副总经理谢琴、威努特江浙皖技术负责人吕浪，站在安全供应商角度，从五个与企业高度相关的问题入手，对《关键信息基础设施安全保护条例》的正式实施进行了解读。

一、从安全企业的视角出发，对关键信息基础设施安全保护的措施与建议

天融信科技集团解决方案中心副总经理谢琴认为：关键信息基础设施关乎国家安全、国计民生和公共利益，关键信息基础设施的保护意义重大，不仅需要运营者、保护工作部门和监管机构多方面的协同分工，也需要网络安全产业能够提供良好的技术支撑。总的来说，我们对关键信息基础设施安全保护的建议，就是通过“网络安全基础能力底座建设，综合网络安全防御能力提升以及网络安全态势监管能力加强”这三个方面的举措来实现关键信息基础设施安全的总体目标。具体包括以下方面：

首先是夯实网络安全基础能力底座。要严格落实网络安全三同步要求，以及等级保护2.0的相关要求，能够综合运用网络安全保护的技术和管理措施，来构建网络安全的基础能力体系。把基础网络、信息系统、数据资源全部纳入保护范围，并全面覆盖所涉及的通用技术场景和新技术、新应用场景。技术方面依照“一个中心，三重防护”的纵深防御框架进行建设；管理方面要加强包括组织、制度、流程等方面的工作，同时建议辅以专业的管控平台、技术工具和专家服务提供支撑。

其次是持续提升动态综合网络安全防御能力。基于持续风险监控和动态安全防御的理念，从关键信息基础设施安全保护的识别认定、安全防护、检测评估、监测预警、技术对抗和事件处置六个环节分别入手。重点工作包括以下部分：一是加强网络空间的资产测绘和风险暴露面识别，二是增强数据全生命周期的安全防护和管控，三是进行持续性的风险评估和信任管理，四是网络安全监测预警和联动处置，五是威胁情报共享和利用，六是网络威胁诱捕和网络攻击溯源反制，七是高级持续性威胁监测和防御，八是网络安全专业人才培养和攻防实战演练。通过不断强化常态化运营，结合实战化对抗的能力，最终形成一个能力齐备、运行高效的动态综合网络安全防御体系。

最后要进一步加强行业、区域网络安全监测预警和应急处置能力。主要通过支撑监管机构和保护工作部门来实现。建设关键信息基础设施安全态势感知平台，通过采集关键信息基础设施相关安全数据，并利用大数据存储分析技术对各类安全数据进行关联分析和深度挖掘，帮助监管机构和保护工作部门及时掌握关键信息基础设施的运行状况、安全态势，对发现的威胁和隐患进行预警通报，对重大安全事件的应急处置进行指挥调度。

二、《关键信息基础设施安全保护条例》对企业的日常安全工作的要求

威努特江浙皖技术负责人吕浪认为：识别、认定关键信息基础设施是开展安全保护工作的前提。企业一旦被认定为关键信息基础设施的运营者，就需要强化和落实运营者的主体责任。运营者需要依照本条例和有关的法律、法规、行政和国家强制性标准要求，在网络安全等级保护基础上采取技术保护措施和其他一些必要的措施来应对网络安全事件，防范网络攻击和违法犯罪的活动，保障关键信息基础设施的安全、稳定，维护数据的完整性、保密性和可用性。

根据本条例在第三章的规定，对于运营者日常安全工作中的影响包括：网络安全工作的三同步；网络安全保护制度的建立；建立网络安全考核制度和评价体系；制定网络安全保护计划，周期性的定期开展网络安全监测、检测和分析、评估；同时开展网络安全教育；强调个人信息和数据安全保护、治理；安全事件需要向主管部门进行及时上报等。

三、《关键信息基础设施安全保护条例》中涉及数据保护方面，企业应如何落地

天融信科技集团解决方案中心副总经理谢琴为企业提供了五条具体建议：“关键信息基础设施保护条例里明确了运营者“维护数据的完整性、保密性和可用性“的总体义务，要求其成立专门安全管理机构，履行数据安全保护责任。如果发生重要数据泄露，将会追究相关方责任。由于关键信息基础设施所面对的数据量大、场景复杂，数据保护工作面临巨大挑战。结合关保《条例》、《网络安全法》和《数据安全法》相关要求，我们建议对于涉及重要数据收集、处理、交换业务的运营者应当做好以下保护工作：

一是建立健全数据安全治理体系。包括制定全流程的数据安全管理制度；明确数据安全负责人和管理机构，落实数据安全保护责任；组织开展数据安全教育培训；采取相应的技术措施和其他必要措施保障数据安全。

二是建立数据分类分级保护制度。各单位要根据自身的业务来制定分类分级的相关规则，并且采用适当的方法来开展数据分类分级的工作；梳理出重要数据目录，并且制定精细化的管控策略，加强对重要数据的保护。

三是建立数据安全风险监测预警机制。实现对数据安全风险信息的及时的获取、分析、研判和预警，发现问题立即采取补救措施，并积极与保护工作部门、监管机构加强沟通和配合。

四是建立数据安全应急处置机制。编制应急预案，定期演练。一旦发生事件，立即启动预案，采取相应的措施，按照规定向相关方进行信息的披露，并且要向上级保护工作部门进行报告。

五是定期开展数据安全风险评估，并向保护工作部门报送风险评估报告。”

四、企业面对以条例为基础的安全检测与评估时普遍的欠缺与不足

天融信科技集团解决方案中心副总经理谢琴：在关键信息基础设施所涉及的行业和领域的客户中，金融、能源、运营商等行业相对比较成熟，安全体系的建设相对比较完善。如今条例对运营者提出了更高的要求，基于我们之前所了解到的情况，某些企业确实还存在一些共性的问题，我们梳理了其中几条分享：

首先是三同步要求的实际落地问题。实际上个别企业在应用系统开发上线方面执行并不到位，因为各种原因不能充分进行安全缺陷分析评估和整改。这样一来在后期运行过程中经常会出现安全问题，补救起来所消耗的人力、物力、财力以及可能带来的影响都是巨大的。所以企业应当严格遵从三同步的要求，将安全贯穿从设计到开发到运营的整个应用系统生命周期。越在早期嵌入安全动作，越容易收敛安全漏洞，修复的成本也越低，当然在运行中就越少遭到攻击损害。

第二是安全制度与责任匹配的问题。大多数企业机构都已经建立了成体系的安全保护制度，但实际上很多企业还没有明确成立专门安全管理机构及任命安全管理机构的负责人，也没有真正在单位内实行一把手负责制。导致制度流于纸面，并没有真正得到有效地落地执行。

第三是应急演练的执行仍然不够到位。虽然多数企业制定了应急预案和演练脚本，但是实际上，很多企业并没有按照要求定期来进行演练，导致发生事件的时候，并不能按照预设好的剧本来进行及时地响应。

五、《关键信息基础设施安全保护条例》作用下运营者和服务商该怎样打配合

威努特江浙皖技术负责人吕浪指出：条例明确了运营者的责任和义务，运营者需要全面落实安全保护的主体责任，强调主要责任人对网络安全人才、物力的全面保障，我们能够为客户提供的网络安全保护计划是一部分，客户也应当执行以下一些措施：

第一点，在网络安全保护的启动期，严格遵循三同步的原则，按照纵深防御的基本理念开展网络安全整体规划，我们基于客户的一些自身的实际情况，会针对性地规划符合客户自身特色的网络安全能力全景图。

第二点，我们可以配合客户开展定期的网络安全监测、检测和风险评估，根据最终的评估结果进行动态化的调整安全策略和管理制度，并结合当时最新的技术措施进行实时的更新和完善。

第三点，在等级保护基础上，帮助客户梳理一些关键资产信息、业务信息和个人敏感数据等重要数据资源，针对于不同的业务系统进行分类、分级并加以保护。还需要去建立完善的安全考核体系，建立面向组织和面向个人的网络安全考核、评价机制和奖惩办法。

以上为采访原文。最后，感谢国内安全行业的领军者——天融信与威努特的专家解读。