一場突如其來的新冠疫情，深刻改變了各國民眾的生活方式，在這場全球性的公共衛生危機中，人們的生活、工作都不同程度地從線下轉為線上，從現實世界向網絡世界轉換。與此同時，網絡空間當中的關鍵信息基礎設施面臨的網絡安全形勢也愈趨嚴峻復雜，持續性威脅、網絡勒索、數據竊取等事件頻發，危害經濟社會穩定運行。

為保障關鍵信息基礎設施的安全，維護國家網絡安全、網絡空間主權和國家安全、保障經濟社會健康發展、維護公共利益和公民合法權益，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）應運而生，并于7月30日正式發布，于2021年9月1日開始正式施行，引發業內集中關注。廣電計量信息化服務專家以一問一答的形式，為大家詳細解讀《條例》傳遞出的重要信息：

Q：什么是關鍵信息基礎設施？

公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

Q：關鍵信息基礎設施包括什么？

1.公共通信和信息服務：電信網、廣播電視網、互聯網等信息網絡；提供云計算、大數據和其他大型公共信息網絡服務的單位；廣播電臺、電視臺、通信社等新聞單位。

2.公共服務：衛生醫療、教育、社保、環境保護、公用事業。

3.電子政務：政府機關。

4.其他重要信息系統：遭到破壞或者數據泄露，可能危害國家安全、國計民生、公共利益的重要網絡設施、信息系統，例如大型裝備、化工、食品藥品等行業領域科研生產單位。

a.網站類，如縣級（含）以上黨政機關網站，重點新聞網站或者日均訪問超過100萬人次的網站等；

b.平臺類，如注冊用戶數超過 1000 萬，或活躍用戶（每日至少登陸一次）數超過100萬，或日均成交訂單額或交易額超過 1000 萬元的網絡服務平臺可定為關鍵信息基礎設施；

c.生產業務類，如地市級以上政府機關面向公眾服務的業務系統，或與醫療、安防、消防、應急指揮、生產調度、交通指揮等相關的城市管理系統，或規模超過 1500 個標準機架的數據中心等。

Q：政府部門的職責及分工是什么？

1.國家網信部門：負責統籌協調關鍵信息基礎設施安全保護工作。

2.國務院公安部門：負責指導監督關鍵信息基礎設施安全保護工作。

3.國務院電信主管部門及其他有關部門：依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。

4.省級人民政府有關部門：依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。

Q：為什么要加強關鍵信息基礎設施安全保護？

1.網絡空間軍備競賽愈演愈烈，多國關鍵信息基礎設施和重要信息系統面臨重大風險。世界主要國家和地區將關鍵基礎設施立法作為網絡安全立法中的重中之重，并將其作為國家網絡安全戰略的核心內容。

美國：從克林頓政府時期開始加強關鍵信息基礎設施防護，各屆政府不斷接力優化，逐漸演變形成一項綜合戰略。2017年特朗普發布《增強聯邦政府網絡與關鍵性基礎設施網絡安全總統行政令》，2021年7月拜登簽發《關于改善關鍵基礎設施控制系統網絡空間安全的國家安全備忘錄》，均就加強關鍵基礎設施的安全防護提出相關要求和措施。

俄羅斯：為保護關鍵信息基礎設施不僅頒布專門法律，同時在《刑法》和《刑事訴訟法》中增加“非法影響俄羅斯聯邦關鍵信息基礎設施”的章節，并配套修改了相關法律的個別條款。2021年7月普京簽署了新版《俄羅斯聯邦國家安全戰略》，以加強關鍵信息基礎設施保護。

歐盟：在最新的《歐盟安全聯盟戰略》中將增強關鍵信息基礎設施的保護水平和恢復能力作為未來五年網絡安全領域的核心工作。

2.全球范圍內針對關鍵信息基礎設施的供應鏈攻擊、勒索攻擊等安全事件日益增多，不斷動搖經濟社會運行的根基。數據顯示，2020年全球勒索攻擊次數同比增長150%以上。世界主要國家和地區紛紛把關鍵信息基礎設施安全保護上升到維護國家安全的高度。

Q：從哪些方面強化和落實關鍵信息基礎設施運營者主體責任？

1.崗位建設方面，要設置專門安全管理部門，履行信息安全保護職責，參與本單位與網絡安全和信息化有關的決策，并對機構負責人和關鍵崗位人員進行安全背景審查。

2.責任要求方面，關鍵信息基礎設施運營者實行“一把手負責制”，明確運營者主要負責人負總責，保障人財物投入。

3.人員招聘方面，不得雇傭受到刑事處罰的人員從事網絡安全管理和網絡運營關鍵崗位的工作。因為危害關鍵信息基礎設施安全的相關人員，5年內不得從事網絡安全管理和網絡運營關鍵崗位的工作。

4.安全檢測和評估方面，定期開展安全檢測和風險評估，履行安全事件和威脅報告義務。

5.安全合規方面，落實網絡安全審查要求。

6.安全監控方面，強化監測預警和信息共享等。

Q：關鍵信息基礎設施與安全保護措施該如何關聯？

同步規劃、同步建設、同步使用。強調業務系統和安全建設必須同步進行，杜絕“重業務，輕安全”的現象，強調安全措施在安全運維中迭代，杜絕“重建設，輕運維”的現象。

Q：針對“漏洞探測、滲透性測試”等活動有哪些特殊規定？

《條例》第三十一條規定：“未經國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權，任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。對基礎電信網絡實施漏洞探測、滲透性測試等活動，應當事先向國務院電信主管部門報告。”

《條例》相比過去所有信息安全法律，首次提出可能危害關鍵信息基礎設施安全的具體活動，包括“漏洞探測、滲透性測試”。此類活動可能是不法分子針對關鍵信息基礎設施進行的漏洞探測，一旦被不法分子發現安全漏洞并掌握，則會給國家安全、國計民生、公共利益帶來威脅。因此《條例》直接規定禁止未經授權或批準的此類行為。

?信息安全管理體系建設服務

廣電計量依據安全等級保護2.0管理要求及數據安全法中數據安全制度要求，協助客戶搭建信息安全管理體系：

1.安全管理人員

人員錄用，人員離崗，安全意識教育和培訓，外部人員訪問管理

2.安全建設管理

安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、服務供應商選擇

3.安全管理機構

崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查

4.安全管理制度

安全策略、管理制度、制定和發布、評審和修訂

5.安全運維管理

環境管理、資產管理、介質管理、配置管理、密碼管理、變更管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理、數據安全管理制度、個人信息數據分級防護管理規定、資產分類管理辦法

可為您帶來如下收益：

1.建立、健全單位信息安全管理制度體系；

2.確保各項信息工作安全合規；

3.規范管理流程、明細職責分工。

什么是ISMS信息安全管理體系？

即組織在整體或特定范圍內建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合。

信息安全管理體系是按照ISO/IEC 27001標準《信息技術 安全技術 信息安全管理體系要求》的要求進行建立的，由組織機構單位按照信息安全管理體系相關標準的要求，制定信息安全管理方針和策略，采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執行的工作體系。

?安全測試服務

廣電計量可提供信息收集、權限提升、溢出測試、注入攻擊、跨站攻擊、后門程序檢查、登錄體系測試、權限體系測試、命令執行攻擊、反序列化攻擊、文件包含漏洞、文件上傳漏洞、路徑遍歷與文件讀取等安全測試服務。

可為您帶來如下收益：

1.評估網站中存在的安全隱患、安全漏洞；

2.發現網站存在的深層次安全隱患；

3.驗證網站現有安全措施的防護強度；

4.評估網站被入侵的可能性，并在入侵者發起攻擊；

5.前封堵可能被利用的攻擊途徑。

什么是安全測試？

挑選重要網站或信息系統進行安全測試，模擬黑客的攻擊方法對系統和網絡進行非破壞性質的攻擊性測試，在保證整個安全測試過程都在可以控制和調整的范圍之內盡可能的獲取目標信息系統的管理權限以及敏感信息，并將入侵的過程和細節產生報告給用戶，由此證實用戶系統所存在的安全威脅和風險，并及時提醒安全管理員完善安全策略。

攻擊手段涵蓋現有的和最前沿的安全攻擊方法，滲透測試并不影響系統的正常運作和業務應用。

?風險（安全）評估服務

廣電計量可提供風險安全評估服務，通過信息資產的識別與賦值、威脅評估、弱點評估、現有安全措施評估、綜合風險分析等若干環節，對信息系統的安全風險進行風險分析，并協助客戶對風評過程中發現的問題進行整改，整改完成后測試是否整改完畢。

可為您帶來如下收益：

1.清晰地展現信息系統當前的安全現狀；

2.提供公正、客觀、翔實的數據作為決策參考；

3.為組織下一步控制和降低安全風險、改善安全狀況、實施信息系統的風險管理提供依據。

什么是風險安全評估？

風險（安全）評估是對信息系統和IT基礎設施進行安全風險評估，包括明確風險評估范圍、識別重要資產、識別脆弱性和威脅、現有安全控制措施、應用系統漏洞掃描、分析和計算風險狀況、制定不可接受風險處置方案和風險評估報告和總結。

?應急演練服務

廣電計量可結合客戶實際情況，協助客戶做好網絡安全事件應對處置，建立健全單位應急演練預案。

可為您帶來如下收益：

1.滿足單位本身自我檢查要求

2.滿足主管部門聯合檢查要求

3.滿足監管部門合規審查要求

什么是應急演練？

指各行業主管部門、各級政府及其部門、企事業單位、社會團體等組織相關單位及人員，依據有關網絡安全應急預案，開展應對網絡安全事件的活動。