專家介紹

　　周民，國家信息中心副主任，正高級工程師，電子政務專家咨詢委員會、國家關鍵基礎設施專家委員會委員，長期從事數(shù)字政府、信息安全建設管理工作，主持國家電子政務外網(wǎng)、全國信用信息共享平臺等一批國家重大工程項目，主持科技部、國社科、國自科等多項重大研究課題。

　　關鍵信息基礎設施安全保護是網(wǎng)絡安全保護的重中之重，對于維護國家安全、經(jīng)濟健康發(fā)展、維護社會穩(wěn)定和社會公共利益具有重要的意義。2021年9月1日《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）正式實施以來，我國關鍵信息基礎設施安全保護工作翻開新的篇章。各行業(yè)主管部門積極推進關鍵信息基礎設施認定工作，各關鍵信息基礎設施運營單位嚴格按照《條例》要求開展和落實保護工作。國家電子政務外網(wǎng)作為電子政務領域重要基礎設施，積極推動關鍵信息基礎設施認定，圍繞合規(guī)體系、供應鏈安全和全局性統(tǒng)籌等方面，開展了一系列成效顯著的安全保護，并提出了未來持續(xù)加強關鍵信息基礎設施安全保護的思路。

　　一、《條例》正式實施是新形勢下保障國家安全的重要舉措，在加強各單位重視程度和指導保護工作落實方面取得顯著成效。

　　1、《條例》正式實施是推進關鍵信息基礎設施安全保護的急切需要，對保障國家安全意義重大。

　　近年來，烏克蘭斷電、科諾尼爾網(wǎng)絡勒索、太陽風供應鏈攻擊、孟加拉央行被竊等重大網(wǎng)絡安全事件凸顯各國關鍵信息基礎設施面臨的安全威脅在急劇增加?！岸頌鯖_突”揭示網(wǎng)絡戰(zhàn)成為現(xiàn)代戰(zhàn)爭的重要手段，關鍵信息基礎設施已是網(wǎng)絡戰(zhàn)的首要攻擊目標。在未來，針對金融、能源、電力、通信、交通等行業(yè)關鍵信息基礎設施的新型攻擊手段層出不窮、強度持續(xù)加劇，隨時有可能爆發(fā)重大安全事件，導致惡劣影響和巨大損失。我國是全球遭受網(wǎng)絡安全威脅最嚴重的國家之一，我國關鍵信息基礎設施也面臨嚴峻的風險考驗。黨的十八大以來，以習近平同志為核心的黨中央高度重視關鍵信息基礎設施安全保護工作，就加強關鍵信息基礎設施安全保護做出了一系列重大決策部署。《條例》的出臺實施是落實黨中央決策部署和總體國家安全觀，切實推進關鍵信息基礎設施保護體系建設的里程碑。

　　2、《條例》正式實施是我國數(shù)字經(jīng)濟轉型“統(tǒng)籌安全和發(fā)展”的重要保障。

　　當前，正處于新一輪科技革命和產(chǎn)業(yè)變革期，為主動順應經(jīng)濟社會數(shù)字化轉型趨勢、充分釋放數(shù)字化發(fā)展紅利，亟需驅動數(shù)字經(jīng)濟發(fā)展、數(shù)字社會建設、營造良好數(shù)字生態(tài)以及建立健全數(shù)據(jù)要素市場和治理體系，以加快數(shù)字化發(fā)展。面對數(shù)字經(jīng)濟時代日益突出的網(wǎng)絡安全威脅和風險，需堅持“統(tǒng)籌發(fā)展和安全”，以發(fā)展促安全、以安全保發(fā)展?！稐l例》的正式實施將加強對關鍵信息基礎設施、重要數(shù)據(jù)的安全保護，提升全社會網(wǎng)絡安全水平，為數(shù)字化發(fā)展營造安全可靠環(huán)境，同時，《條例》也是保障創(chuàng)新政府治理理念和方式落地、數(shù)字治理新格局形成，以及推進國家治理體系和治理能力現(xiàn)代化的重要抓手。

　　3、《條例》實施以來，各行業(yè)保護部門和運營單位的重視程度、安全意識得到明顯提高，認定和保護工作取得顯著進展。

　　《條例》正式實施以來，各行業(yè)主管部門、關鍵信息基礎設施運營單位廣泛開展了網(wǎng)絡安全專項教育、知識培訓和《條例》解讀等工作，更深刻認識了關鍵信息基礎設施的關鍵地位和基礎性、全局性、支撐性作用，更深刻領悟了保證關鍵信息基礎設施安全對于維護國家網(wǎng)絡空間主權和國家安全、保障經(jīng)濟社會健康發(fā)展、維護公共利益和保障公民人身和財產(chǎn)安全的重大意義。

　　各關鍵行業(yè)結合本行業(yè)的特點、定位和發(fā)展布局，對關鍵信息基礎設施保護工作作出重要部署。以政務外網(wǎng)為例，按照《條例》要求落實了專職部門負責統(tǒng)籌推進保護工作，以保障政務外網(wǎng)關鍵核心業(yè)務運行安全、數(shù)據(jù)安全為目標，綜合考慮網(wǎng)絡設施、信息系統(tǒng)等的重要程度、遭到破壞的危害程度以及對其他行業(yè)和領域的關聯(lián)性影響，編制了認定工作方案和認定規(guī)則，并正積極推進落實。

　　二、從合規(guī)體系、供應鏈安全和全局性統(tǒng)籌等角度開展關鍵信息基礎設施安全保護工作

　　《條例》涵蓋內(nèi)容廣、涉及要求全，包括主體責任、認定原則、運營者責任義務、保障和促進措施以及法律責任等。推進《條例》落地實施，應堅持問題導向、結合實際、全局推進、突出重點。政務外網(wǎng)作為電子政務行業(yè)關鍵信息基礎設施，結合政務外網(wǎng)現(xiàn)狀和問題，探索從合規(guī)體系構建、供應鏈安全管理和全局性統(tǒng)籌等角度落實《條例》要求。

　  1、重點圍繞安全保護管理、安全保護自查、重要數(shù)據(jù)保護等方面，構建關鍵信息基礎設施合規(guī)體系。

　　政務外網(wǎng)嚴格貫徹落實《條例》要求，啟動建設關鍵信息基礎設施安全保護合規(guī)體系。

　　制定關鍵信息基礎設置安全保護管理工作方案

　　制定關鍵信息基礎設施安全保護管理工作方案，明確了包括管理責任部門、認定規(guī)則、安全規(guī)劃、安全標準、評價考核等一系列合規(guī)要求。

　　嚴格落實安全保護自查

　　嚴格落實安全保護自查，對擬認定的關鍵信息基礎設施提前完成等保備案工作，每年開展等保測評和關鍵信息基礎設施安全保護自查工作，并聚焦風險問題完成清查整改。

　　制定數(shù)據(jù)安全管理制度

　　制定數(shù)據(jù)安全管理制度，建立數(shù)據(jù)資產(chǎn)目錄、摸清家底，圍繞數(shù)據(jù)全生命周期實施數(shù)據(jù)分類分級管理，組織專業(yè)團隊開展數(shù)據(jù)安全檢測，著重關注重要數(shù)據(jù)的界定、識別，盯緊重要數(shù)據(jù)安全防護，嚴防重要數(shù)據(jù)泄露。

　　2、構建以防范網(wǎng)絡攻擊、斷供和人員違規(guī)為核心的供應鏈安全管理制度。

　　近年來，關鍵信息基礎設施面臨來自采購的產(chǎn)品、軟件和服務等供應鏈威脅的問題越來越突出，如供應鏈完整性威脅可能導致關鍵信息基礎設施被惡意篡改、違規(guī)控制；供應鏈數(shù)據(jù)安全威脅可能導致敏感數(shù)據(jù)泄露、濫用；供應鏈中斷威脅可能導致關鍵信息基礎設施交付中斷、不正當競爭、甚至業(yè)務中斷；供應鏈人員違規(guī)可能導致關鍵信息基礎設施被植入后門、惡意破壞以及敏感信息泄露等。

　　針對上述風險，政務外網(wǎng)構建了供應鏈安全管理制度，強化了供應鏈安全管理，加強審查使用的產(chǎn)品、軟件和人員服務。

　　嚴格落實測評認證

　　嚴格落實測評認證，建立軟硬件設備臺賬，系統(tǒng)上線前進行滲透測試和漏洞掃描，上線后定期開展測評整改。

　　建立服務供應商供應鏈安全管理制度

　　建立服務供應商供應鏈安全管理制度，簽署責任書或備忘錄，提高服務供應商安全責任意識、供應鏈安全風險管理能力和完善人員背景調(diào)查管理。

　　持續(xù)開展供應鏈安全自查檢查和評估工作

　　持續(xù)開展供應鏈安全自查檢查和評估工作，重點檢查采購安全可信的網(wǎng)絡產(chǎn)品和服務方面的組織保障、制度建設和執(zhí)行情況，開展供應鏈安全評估，降低供應鏈安全風險。

　　3、面向未來做好全局性統(tǒng)籌，做好關鍵信息基礎設施安全保護規(guī)劃。

　　政務外網(wǎng)關鍵信息基礎設施保護涉及各層級政府部門，需要構建高效的頂層協(xié)調(diào)機制，充分發(fā)揮國家網(wǎng)信部門的統(tǒng)籌協(xié)調(diào)和國務院公安部門的指導監(jiān)督作用，構建政府部門、關鍵信息基礎設施運營者以及社會各方面力量共同參與支持的安全保障體系，建立覆蓋政府、行業(yè)與企業(yè)的網(wǎng)絡安全信息共享機制、完善監(jiān)測預警和應急體系，從整體上防控關鍵信息基礎設施的網(wǎng)絡安全風險和開展對大規(guī)模攻擊的集中應急處置。

　　形成綜合聯(lián)動格局

　　依托行業(yè)保護部門和相關監(jiān)督管理部門的整體性安全保護決策和手段，形成“共同保護關鍵信息基礎設施安全”的綜合聯(lián)動格局。

　　合理分配網(wǎng)絡安全資源投入

　　合理分配網(wǎng)絡安全資源投入，在實施全方位保護的前提下，突出政務外網(wǎng)重要設施、部位、環(huán)節(jié)的重點保護。

　　三、未來持續(xù)加強關鍵信息基礎設施安全保護的思路

　　1、強化政務網(wǎng)絡公共設施建設，統(tǒng)籌建設關鍵信息基礎設施運行支撐能力。

　　強化政務網(wǎng)絡公共支撐能力

　　強化政務網(wǎng)絡公共支撐能力，進一步完善連接各行業(yè)、各層級公共網(wǎng)絡平臺，集約化推進國家公共設施共性能力建設，為關鍵信息基礎設施運行提供充分保障，實現(xiàn)統(tǒng)籌建設、統(tǒng)一部署和集約協(xié)同。

　　加強自主可控安全管理

　　加強自主可控安全管理，建立新技術、新應用安全評估機制，強化安全可靠技術和產(chǎn)品應用，從源頭上解決網(wǎng)絡安全重大隱患。

　　強化網(wǎng)絡安全產(chǎn)業(yè)支撐

　　強化網(wǎng)絡安全產(chǎn)業(yè)支撐，積極配合開展網(wǎng)絡安全技術應用試點示范，支持面向關鍵信息基礎設施的安全技術創(chuàng)新應用。

　　2、提升政務外網(wǎng)關鍵信息基礎設施網(wǎng)絡安全和數(shù)據(jù)安全防護能力

　　在基礎防護能力建設方面

　　在基礎防護能力建設方面，構建全方位的政務外網(wǎng)安全防御體系，在網(wǎng)絡側、互聯(lián)網(wǎng)接入側、應用側加強部署相應的安全防護措施，建立較強的邊界防護能力、終端防護能力、安全審計能力。

　　在安全監(jiān)測能力建設方面

　　在安全監(jiān)測能力建設方面，積極開展政務外網(wǎng)安全監(jiān)測類平臺建設，提供 7*24 小時的全方位安全監(jiān)測服務，逐步具備整網(wǎng)安全事件及時發(fā)現(xiàn)并處置的能力。

　　在數(shù)據(jù)安全保護能力建設方面

　　在數(shù)據(jù)安全保護能力建設方面，在促進數(shù)據(jù)共享使用的同時，推動政務外網(wǎng)數(shù)據(jù)安全保護能力建設，深入推廣數(shù)據(jù)訪問控制與權限管理、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)標識、數(shù)據(jù)審計等防護措施的建設和應用，提升數(shù)據(jù)安全交換功能和性能，加強數(shù)據(jù)容災備份設施建設，實現(xiàn)數(shù)據(jù)安全管控。同時，提升政務外網(wǎng)國產(chǎn)密碼一體化支撐能力，推進國產(chǎn)密碼在政務網(wǎng)絡、政務云、各業(yè)務系統(tǒng)、數(shù)據(jù)共享體系方面的規(guī)?；渴鸷吞娲掷m(xù)開展政務外網(wǎng)密碼應用安全性評估相關工作。

　　3、提升政務外網(wǎng)關鍵信息基礎設施協(xié)同處置能力。

　　構建協(xié)同處置機制和通道

　　構建覆蓋中央、省、市、縣四級的政務外網(wǎng)安全事件管理協(xié)同處置機制，明確工作范圍、職責、流程等內(nèi)容；建設政務外網(wǎng)安全事件管理平臺，及時收集、匯總、分析、共享各方網(wǎng)絡安全信息，為各級政務外網(wǎng)安全管理部門搭建跨地域、跨層級、跨系統(tǒng)的安全事件協(xié)同處置通道。

　　推動情報共享協(xié)同

　　依托國家網(wǎng)絡與信息安全信息通報機制，加強國家電子政務外網(wǎng)網(wǎng)絡信息安全通報預警力量建設，推進與網(wǎng)信、公安、保密等主管部門和主流安全廠商網(wǎng)絡安全威脅情報共享協(xié)同，聯(lián)合機構、院校、廠商深度挖掘分析，形成具有政務外網(wǎng)特色的威脅情報信息庫，支撐政務外網(wǎng)安全事件管理協(xié)同處置機制能力建設。

　　通過應急演練提升協(xié)同處置能力

　　建設政務外網(wǎng)安全應急演練平臺，為各級政務外網(wǎng)安全管理部門搭建演練環(huán)境，提升政務外網(wǎng)安全事件協(xié)同處置能力。

更多信息可以來這里獲取==>>電子技術應用-AET<<