一場(chǎng)突如其來的新冠疫情，深刻改變了各國(guó)民眾的生活方式，在這場(chǎng)全球性的公共衛(wèi)生危機(jī)中，人們的生活、工作都不同程度地從線下轉(zhuǎn)為線上，從現(xiàn)實(shí)世界向網(wǎng)絡(luò)世界轉(zhuǎn)換。與此同時(shí)，網(wǎng)絡(luò)空間當(dāng)中的關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢(shì)也愈趨嚴(yán)峻復(fù)雜，持續(xù)性威脅、網(wǎng)絡(luò)勒索、數(shù)據(jù)竊取等事件頻發(fā)，危害經(jīng)濟(jì)社會(huì)穩(wěn)定運(yùn)行。

為保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全，維護(hù)國(guó)家網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間主權(quán)和國(guó)家安全、保障經(jīng)濟(jì)社會(huì)健康發(fā)展、維護(hù)公共利益和公民合法權(quán)益，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱《條例》）應(yīng)運(yùn)而生，并于7月30日正式發(fā)布，于2021年9月1日開始正式施行，引發(fā)業(yè)內(nèi)集中關(guān)注。廣電計(jì)量信息化服務(wù)專家以一問一答的形式，為大家詳細(xì)解讀《條例》傳遞出的重要信息：

Q：什么是關(guān)鍵信息基礎(chǔ)設(shè)施？

公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

Q：關(guān)鍵信息基礎(chǔ)設(shè)施包括什么？

1.公共通信和信息服務(wù)：電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)；提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；廣播電臺(tái)、電視臺(tái)、通信社等新聞單位。

2.公共服務(wù)：衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)。

3.電子政務(wù)：政府機(jī)關(guān)。

4.其他重要信息系統(tǒng)：遭到破壞或者數(shù)據(jù)泄露，可能危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)，例如大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位。

a.網(wǎng)站類，如縣級(jí)（含）以上黨政機(jī)關(guān)網(wǎng)站，重點(diǎn)新聞網(wǎng)站或者日均訪問超過100萬人次的網(wǎng)站等；

b.平臺(tái)類，如注冊(cè)用戶數(shù)超過 1000 萬，或活躍用戶（每日至少登陸一次）數(shù)超過100萬，或日均成交訂單額或交易額超過 1000 萬元的網(wǎng)絡(luò)服務(wù)平臺(tái)可定為關(guān)鍵信息基礎(chǔ)設(shè)施；

c.生產(chǎn)業(yè)務(wù)類，如地市級(jí)以上政府機(jī)關(guān)面向公眾服務(wù)的業(yè)務(wù)系統(tǒng)，或與醫(yī)療、安防、消防、應(yīng)急指揮、生產(chǎn)調(diào)度、交通指揮等相關(guān)的城市管理系統(tǒng)，或規(guī)模超過 1500 個(gè)標(biāo)準(zhǔn)機(jī)架的數(shù)據(jù)中心等。

Q：政府部門的職責(zé)及分工是什么？

1.國(guó)家網(wǎng)信部門：負(fù)責(zé)統(tǒng)籌協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

2.國(guó)務(wù)院公安部門：負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

3.國(guó)務(wù)院電信主管部門及其他有關(guān)部門：依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作。

4.省級(jí)人民政府有關(guān)部門：依據(jù)各自職責(zé)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理。

Q：為什么要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)？

1.網(wǎng)絡(luò)空間軍備競(jìng)賽愈演愈烈，多國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)面臨重大風(fēng)險(xiǎn)。世界主要國(guó)家和地區(qū)將關(guān)鍵基礎(chǔ)設(shè)施立法作為網(wǎng)絡(luò)安全立法中的重中之重，并將其作為國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的核心內(nèi)容。

美國(guó)：從克林頓政府時(shí)期開始加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)，各屆政府不斷接力優(yōu)化，逐漸演變形成一項(xiàng)綜合戰(zhàn)略。2017年特朗普發(fā)布《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵性基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全總統(tǒng)行政令》，2021年7月拜登簽發(fā)《關(guān)于改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)空間安全的國(guó)家安全備忘錄》，均就加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)提出相關(guān)要求和措施。

俄羅斯：為保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施不僅頒布專門法律，同時(shí)在《刑法》和《刑事訴訟法》中增加“非法影響俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施”的章節(jié)，并配套修改了相關(guān)法律的個(gè)別條款。2021年7月普京簽署了新版《俄羅斯聯(lián)邦國(guó)家安全戰(zhàn)略》，以加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)。

歐盟：在最新的《歐盟安全聯(lián)盟戰(zhàn)略》中將增強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)水平和恢復(fù)能力作為未來五年網(wǎng)絡(luò)安全領(lǐng)域的核心工作。

2.全球范圍內(nèi)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈攻擊、勒索攻擊等安全事件日益增多，不斷動(dòng)搖經(jīng)濟(jì)社會(huì)運(yùn)行的根基。數(shù)據(jù)顯示，2020年全球勒索攻擊次數(shù)同比增長(zhǎng)150%以上。世界主要國(guó)家和地區(qū)紛紛把關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)上升到維護(hù)國(guó)家安全的高度。

Q：從哪些方面強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者主體責(zé)任？

1.崗位建設(shè)方面，要設(shè)置專門安全管理部門，履行信息安全保護(hù)職責(zé)，參與本單位與網(wǎng)絡(luò)安全和信息化有關(guān)的決策，并對(duì)機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查。

2.責(zé)任要求方面，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者實(shí)行“一把手負(fù)責(zé)制”，明確運(yùn)營(yíng)者主要負(fù)責(zé)人負(fù)總責(zé)，保障人財(cái)物投入。

3.人員招聘方面，不得雇傭受到刑事處罰的人員從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。因?yàn)槲：﹃P(guān)鍵信息基礎(chǔ)設(shè)施安全的相關(guān)人員，5年內(nèi)不得從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營(yíng)關(guān)鍵崗位的工作。

4.安全檢測(cè)和評(píng)估方面，定期開展安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，履行安全事件和威脅報(bào)告義務(wù)。

5.安全合規(guī)方面，落實(shí)網(wǎng)絡(luò)安全審查要求。

6.安全監(jiān)控方面，強(qiáng)化監(jiān)測(cè)預(yù)警和信息共享等。

Q：關(guān)鍵信息基礎(chǔ)設(shè)施與安全保護(hù)措施該如何關(guān)聯(lián)？

同步規(guī)劃、同步建設(shè)、同步使用。強(qiáng)調(diào)業(yè)務(wù)系統(tǒng)和安全建設(shè)必須同步進(jìn)行，杜絕“重業(yè)務(wù)，輕安全”的現(xiàn)象，強(qiáng)調(diào)安全措施在安全運(yùn)維中迭代，杜絕“重建設(shè)，輕運(yùn)維”的現(xiàn)象。

Q：針對(duì)“漏洞探測(cè)、滲透性測(cè)試”等活動(dòng)有哪些特殊規(guī)定？

《條例》第三十一條規(guī)定：“未經(jīng)國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門批準(zhǔn)或者保護(hù)工作部門、運(yùn)營(yíng)者授權(quán)，任何個(gè)人和組織不得對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施漏洞探測(cè)、滲透性測(cè)試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動(dòng)。對(duì)基礎(chǔ)電信網(wǎng)絡(luò)實(shí)施漏洞探測(cè)、滲透性測(cè)試等活動(dòng)，應(yīng)當(dāng)事先向國(guó)務(wù)院電信主管部門報(bào)告。”

《條例》相比過去所有信息安全法律，首次提出可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的具體活動(dòng)，包括“漏洞探測(cè)、滲透性測(cè)試”。此類活動(dòng)可能是不法分子針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行的漏洞探測(cè)，一旦被不法分子發(fā)現(xiàn)安全漏洞并掌握，則會(huì)給國(guó)家安全、國(guó)計(jì)民生、公共利益帶來威脅。因此《條例》直接規(guī)定禁止未經(jīng)授權(quán)或批準(zhǔn)的此類行為。

?信息安全管理體系建設(shè)服務(wù)

廣電計(jì)量依據(jù)安全等級(jí)保護(hù)2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求，協(xié)助客戶搭建信息安全管理體系：

1.安全管理人員

人員錄用，人員離崗，安全意識(shí)教育和培訓(xùn)，外部人員訪問管理

2.安全建設(shè)管理

安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、服務(wù)供應(yīng)商選擇

3.安全管理機(jī)構(gòu)

崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查

4.安全管理制度

安全策略、管理制度、制定和發(fā)布、評(píng)審和修訂

5.安全運(yùn)維管理

環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、配置管理、密碼管理、變更管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理、數(shù)據(jù)安全管理制度、個(gè)人信息數(shù)據(jù)分級(jí)防護(hù)管理規(guī)定、資產(chǎn)分類管理辦法

可為您帶來如下收益：

1.建立、健全單位信息安全管理制度體系；

2.確保各項(xiàng)信息工作安全合規(guī)；

3.規(guī)范管理流程、明細(xì)職責(zé)分工。

什么是ISMS信息安全管理體系？

即組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過程、核查表（Checklists）等要素的集合。

信息安全管理體系是按照ISO/IEC 27001標(biāo)準(zhǔn)《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》的要求進(jìn)行建立的，由組織機(jī)構(gòu)單位按照信息安全管理體系相關(guān)標(biāo)準(zhǔn)的要求，制定信息安全管理方針和策略，采用風(fēng)險(xiǎn)管理的方法進(jìn)行信息安全管理計(jì)劃、實(shí)施、評(píng)審檢查、改進(jìn)的信息安全管理執(zhí)行的工作體系。

?安全測(cè)試服務(wù)

廣電計(jì)量可提供信息收集、權(quán)限提升、溢出測(cè)試、注入攻擊、跨站攻擊、后門程序檢查、登錄體系測(cè)試、權(quán)限體系測(cè)試、命令執(zhí)行攻擊、反序列化攻擊、文件包含漏洞、文件上傳漏洞、路徑遍歷與文件讀取等安全測(cè)試服務(wù)。

可為您帶來如下收益：

1.評(píng)估網(wǎng)站中存在的安全隱患、安全漏洞；

2.發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患；

3.驗(yàn)證網(wǎng)站現(xiàn)有安全措施的防護(hù)強(qiáng)度；

4.評(píng)估網(wǎng)站被入侵的可能性，并在入侵者發(fā)起攻擊；

5.前封堵可能被利用的攻擊途徑。

什么是安全測(cè)試？

挑選重要網(wǎng)站或信息系統(tǒng)進(jìn)行安全測(cè)試，模擬黑客的攻擊方法對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行非破壞性質(zhì)的攻擊性測(cè)試，在保證整個(gè)安全測(cè)試過程都在可以控制和調(diào)整的范圍之內(nèi)盡可能的獲取目標(biāo)信息系統(tǒng)的管理權(quán)限以及敏感信息，并將入侵的過程和細(xì)節(jié)產(chǎn)生報(bào)告給用戶，由此證實(shí)用戶系統(tǒng)所存在的安全威脅和風(fēng)險(xiǎn)，并及時(shí)提醒安全管理員完善安全策略。

攻擊手段涵蓋現(xiàn)有的和最前沿的安全攻擊方法，滲透測(cè)試并不影響系統(tǒng)的正常運(yùn)作和業(yè)務(wù)應(yīng)用。

?風(fēng)險(xiǎn)（安全）評(píng)估服務(wù)

廣電計(jì)量可提供風(fēng)險(xiǎn)安全評(píng)估服務(wù)，通過信息資產(chǎn)的識(shí)別與賦值、威脅評(píng)估、弱點(diǎn)評(píng)估、現(xiàn)有安全措施評(píng)估、綜合風(fēng)險(xiǎn)分析等若干環(huán)節(jié)，對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)分析，并協(xié)助客戶對(duì)風(fēng)評(píng)過程中發(fā)現(xiàn)的問題進(jìn)行整改，整改完成后測(cè)試是否整改完畢。

可為您帶來如下收益：

1.清晰地展現(xiàn)信息系統(tǒng)當(dāng)前的安全現(xiàn)狀；

2.提供公正、客觀、翔實(shí)的數(shù)據(jù)作為決策參考；

3.為組織下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況、實(shí)施信息系統(tǒng)的風(fēng)險(xiǎn)管理提供依據(jù)。

什么是風(fēng)險(xiǎn)安全評(píng)估？

風(fēng)險(xiǎn)（安全）評(píng)估是對(duì)信息系統(tǒng)和IT基礎(chǔ)設(shè)施進(jìn)行安全風(fēng)險(xiǎn)評(píng)估，包括明確風(fēng)險(xiǎn)評(píng)估范圍、識(shí)別重要資產(chǎn)、識(shí)別脆弱性和威脅、現(xiàn)有安全控制措施、應(yīng)用系統(tǒng)漏洞掃描、分析和計(jì)算風(fēng)險(xiǎn)狀況、制定不可接受風(fēng)險(xiǎn)處置方案和風(fēng)險(xiǎn)評(píng)估報(bào)告和總結(jié)。

?應(yīng)急演練服務(wù)

廣電計(jì)量可結(jié)合客戶實(shí)際情況，協(xié)助客戶做好網(wǎng)絡(luò)安全事件應(yīng)對(duì)處置，建立健全單位應(yīng)急演練預(yù)案。

可為您帶來如下收益：

1.滿足單位本身自我檢查要求

2.滿足主管部門聯(lián)合檢查要求

3.滿足監(jiān)管部門合規(guī)審查要求

什么是應(yīng)急演練？

指各行業(yè)主管部門、各級(jí)政府及其部門、企事業(yè)單位、社會(huì)團(tuán)體等組織相關(guān)單位及人員，依據(jù)有關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案，開展應(yīng)對(duì)網(wǎng)絡(luò)安全事件的活動(dòng)。