一場突如其來的新冠疫情，深刻改變了各國民眾的生活方式，在這場全球性的公共衛(wèi)生危機中，人們的生活、工作都不同程度地從線下轉(zhuǎn)為線上，從現(xiàn)實世界向網(wǎng)絡(luò)世界轉(zhuǎn)換。與此同時，網(wǎng)絡(luò)空間當中的關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢也愈趨嚴峻復雜，持續(xù)性威脅、網(wǎng)絡(luò)勒索、數(shù)據(jù)竊取等事件頻發(fā)，危害經(jīng)濟社會穩(wěn)定運行。

為保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全，維護國家網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間主權(quán)和國家安全、保障經(jīng)濟社會健康發(fā)展、維護公共利益和公民合法權(quán)益，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）應運而生，并于7月30日正式發(fā)布，于2021年9月1日開始正式施行，引發(fā)業(yè)內(nèi)集中關(guān)注。廣電計量信息化服務(wù)專家以一問一答的形式，為大家詳細解讀《條例》傳遞出的重要信息：

Q：什么是關(guān)鍵信息基礎(chǔ)設(shè)施？

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

Q：關(guān)鍵信息基礎(chǔ)設(shè)施包括什么？

1.公共通信和信息服務(wù)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)；提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；廣播電臺、電視臺、通信社等新聞單位。

2.公共服務(wù)：衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)。

3.電子政務(wù)：政府機關(guān)。

4.其他重要信息系統(tǒng)：遭到破壞或者數(shù)據(jù)泄露，可能危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，例如大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位。

a.網(wǎng)站類，如縣級（含）以上黨政機關(guān)網(wǎng)站，重點新聞網(wǎng)站或者日均訪問超過100萬人次的網(wǎng)站等；

b.平臺類，如注冊用戶數(shù)超過 1000 萬，或活躍用戶（每日至少登陸一次）數(shù)超過100萬，或日均成交訂單額或交易額超過 1000 萬元的網(wǎng)絡(luò)服務(wù)平臺可定為關(guān)鍵信息基礎(chǔ)設(shè)施；

c.生產(chǎn)業(yè)務(wù)類，如地市級以上政府機關(guān)面向公眾服務(wù)的業(yè)務(wù)系統(tǒng)，或與醫(yī)療、安防、消防、應急指揮、生產(chǎn)調(diào)度、交通指揮等相關(guān)的城市管理系統(tǒng)，或規(guī)模超過 1500 個標準機架的數(shù)據(jù)中心等。

Q：政府部門的職責及分工是什么？

1.國家網(wǎng)信部門：負責統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

2.國務(wù)院公安部門：負責指導監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

3.國務(wù)院電信主管部門及其他有關(guān)部門：依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責范圍內(nèi)負責關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和監(jiān)督管理工作。

4.省級人民政府有關(guān)部門：依據(jù)各自職責對關(guān)鍵信息基礎(chǔ)設(shè)施實施安全保護和監(jiān)督管理。

Q：為什么要加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護？

1.網(wǎng)絡(luò)空間軍備競賽愈演愈烈，多國關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)面臨重大風險。世界主要國家和地區(qū)將關(guān)鍵基礎(chǔ)設(shè)施立法作為網(wǎng)絡(luò)安全立法中的重中之重，并將其作為國家網(wǎng)絡(luò)安全戰(zhàn)略的核心內(nèi)容。

美國：從克林頓政府時期開始加強關(guān)鍵信息基礎(chǔ)設(shè)施防護，各屆政府不斷接力優(yōu)化，逐漸演變形成一項綜合戰(zhàn)略。2017年特朗普發(fā)布《增強聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全總統(tǒng)行政令》，2021年7月拜登簽發(fā)《關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)空間安全的國家安全備忘錄》，均就加強關(guān)鍵基礎(chǔ)設(shè)施的安全防護提出相關(guān)要求和措施。

俄羅斯：為保護關(guān)鍵信息基礎(chǔ)設(shè)施不僅頒布專門法律，同時在《刑法》和《刑事訴訟法》中增加“非法影響俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施”的章節(jié)，并配套修改了相關(guān)法律的個別條款。2021年7月普京簽署了新版《俄羅斯聯(lián)邦國家安全戰(zhàn)略》，以加強關(guān)鍵信息基礎(chǔ)設(shè)施保護。

歐盟：在最新的《歐盟安全聯(lián)盟戰(zhàn)略》中將增強關(guān)鍵信息基礎(chǔ)設(shè)施的保護水平和恢復能力作為未來五年網(wǎng)絡(luò)安全領(lǐng)域的核心工作。

2.全球范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的供應鏈攻擊、勒索攻擊等安全事件日益增多，不斷動搖經(jīng)濟社會運行的根基。數(shù)據(jù)顯示，2020年全球勒索攻擊次數(shù)同比增長150%以上。世界主要國家和地區(qū)紛紛把關(guān)鍵信息基礎(chǔ)設(shè)施安全保護上升到維護國家安全的高度。

Q：從哪些方面強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責任？

1.崗位建設(shè)方面，要設(shè)置專門安全管理部門，履行信息安全保護職責，參與本單位與網(wǎng)絡(luò)安全和信息化有關(guān)的決策，并對機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查。

2.責任要求方面，關(guān)鍵信息基礎(chǔ)設(shè)施運營者實行“一把手負責制”，明確運營者主要負責人負總責，保障人財物投入。

3.人員招聘方面，不得雇傭受到刑事處罰的人員從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。因為危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的相關(guān)人員，5年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運營關(guān)鍵崗位的工作。

4.安全檢測和評估方面，定期開展安全檢測和風險評估，履行安全事件和威脅報告義務(wù)。

5.安全合規(guī)方面，落實網(wǎng)絡(luò)安全審查要求。

6.安全監(jiān)控方面，強化監(jiān)測預警和信息共享等。

Q：關(guān)鍵信息基礎(chǔ)設(shè)施與安全保護措施該如何關(guān)聯(lián)？

同步規(guī)劃、同步建設(shè)、同步使用。強調(diào)業(yè)務(wù)系統(tǒng)和安全建設(shè)必須同步進行，杜絕“重業(yè)務(wù)，輕安全”的現(xiàn)象，強調(diào)安全措施在安全運維中迭代，杜絕“重建設(shè)，輕運維”的現(xiàn)象。

Q：針對“漏洞探測、滲透性測試”等活動有哪些特殊規(guī)定？

《條例》第三十一條規(guī)定：“未經(jīng)國家網(wǎng)信部門、國務(wù)院公安部門批準或者保護工作部門、運營者授權(quán)，任何個人和組織不得對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動。對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測、滲透性測試等活動，應當事先向國務(wù)院電信主管部門報告。”

《條例》相比過去所有信息安全法律，首次提出可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的具體活動，包括“漏洞探測、滲透性測試”。此類活動可能是不法分子針對關(guān)鍵信息基礎(chǔ)設(shè)施進行的漏洞探測，一旦被不法分子發(fā)現(xiàn)安全漏洞并掌握，則會給國家安全、國計民生、公共利益帶來威脅。因此《條例》直接規(guī)定禁止未經(jīng)授權(quán)或批準的此類行為。

?信息安全管理體系建設(shè)服務(wù)

廣電計量依據(jù)安全等級保護2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求，協(xié)助客戶搭建信息安全管理體系：

1.安全管理人員

人員錄用，人員離崗，安全意識教育和培訓，外部人員訪問管理

2.安全建設(shè)管理

安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、服務(wù)供應商選擇

3.安全管理機構(gòu)

崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查

4.安全管理制度

安全策略、管理制度、制定和發(fā)布、評審和修訂

5.安全運維管理

環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、配置管理、密碼管理、變更管理、設(shè)備維護管理、漏洞和風險管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理、數(shù)據(jù)安全管理制度、個人信息數(shù)據(jù)分級防護管理規(guī)定、資產(chǎn)分類管理辦法

可為您帶來如下收益：

1.建立、健全單位信息安全管理制度體系；

2.確保各項信息工作安全合規(guī)；

3.規(guī)范管理流程、明細職責分工。

什么是ISMS信息安全管理體系？

即組織在整體或特定范圍內(nèi)建立信息安全方針和目標，以及完成這些目標所用方法的體系。它是直接管理活動的結(jié)果，表示成方針、原則、目標、方法、過程、核查表（Checklists）等要素的集合。

信息安全管理體系是按照ISO/IEC 27001標準《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》的要求進行建立的，由組織機構(gòu)單位按照信息安全管理體系相關(guān)標準的要求，制定信息安全管理方針和策略，采用風險管理的方法進行信息安全管理計劃、實施、評審檢查、改進的信息安全管理執(zhí)行的工作體系。

?安全測試服務(wù)

廣電計量可提供信息收集、權(quán)限提升、溢出測試、注入攻擊、跨站攻擊、后門程序檢查、登錄體系測試、權(quán)限體系測試、命令執(zhí)行攻擊、反序列化攻擊、文件包含漏洞、文件上傳漏洞、路徑遍歷與文件讀取等安全測試服務(wù)。

可為您帶來如下收益：

1.評估網(wǎng)站中存在的安全隱患、安全漏洞；

2.發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患；

3.驗證網(wǎng)站現(xiàn)有安全措施的防護強度；

4.評估網(wǎng)站被入侵的可能性，并在入侵者發(fā)起攻擊；

5.前封堵可能被利用的攻擊途徑。

什么是安全測試？

挑選重要網(wǎng)站或信息系統(tǒng)進行安全測試，模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡(luò)進行非破壞性質(zhì)的攻擊性測試，在保證整個安全測試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標信息系統(tǒng)的管理權(quán)限以及敏感信息，并將入侵的過程和細節(jié)產(chǎn)生報告給用戶，由此證實用戶系統(tǒng)所存在的安全威脅和風險，并及時提醒安全管理員完善安全策略。

攻擊手段涵蓋現(xiàn)有的和最前沿的安全攻擊方法，滲透測試并不影響系統(tǒng)的正常運作和業(yè)務(wù)應用。

?風險（安全）評估服務(wù)

廣電計量可提供風險安全評估服務(wù)，通過信息資產(chǎn)的識別與賦值、威脅評估、弱點評估、現(xiàn)有安全措施評估、綜合風險分析等若干環(huán)節(jié)，對信息系統(tǒng)的安全風險進行風險分析，并協(xié)助客戶對風評過程中發(fā)現(xiàn)的問題進行整改，整改完成后測試是否整改完畢。

可為您帶來如下收益：

1.清晰地展現(xiàn)信息系統(tǒng)當前的安全現(xiàn)狀；

2.提供公正、客觀、翔實的數(shù)據(jù)作為決策參考；

3.為組織下一步控制和降低安全風險、改善安全狀況、實施信息系統(tǒng)的風險管理提供依據(jù)。

什么是風險安全評估？

風險（安全）評估是對信息系統(tǒng)和IT基礎(chǔ)設(shè)施進行安全風險評估，包括明確風險評估范圍、識別重要資產(chǎn)、識別脆弱性和威脅、現(xiàn)有安全控制措施、應用系統(tǒng)漏洞掃描、分析和計算風險狀況、制定不可接受風險處置方案和風險評估報告和總結(jié)。

?應急演練服務(wù)

廣電計量可結(jié)合客戶實際情況，協(xié)助客戶做好網(wǎng)絡(luò)安全事件應對處置，建立健全單位應急演練預案。

可為您帶來如下收益：

1.滿足單位本身自我檢查要求

2.滿足主管部門聯(lián)合檢查要求

3.滿足監(jiān)管部門合規(guī)審查要求

什么是應急演練？

指各行業(yè)主管部門、各級政府及其部門、企事業(yè)單位、社會團體等組織相關(guān)單位及人員，依據(jù)有關(guān)網(wǎng)絡(luò)安全應急預案，開展應對網(wǎng)絡(luò)安全事件的活動。