落实《关保要求》之“ 如何做好安全防护 ”

一是建立包括风险管理制度、网络安全考核及监督问责制度、教育培训制度、人员管理制度、业务连续性管理及容灾备份制度、“三同步”制度（安全措施同步规划、同步建设、同步使用）、供应链安全管理制度等的安全管理制度体系。制定包含管理体系、技术体系、运营体系、保障体系等内容的网络安全保护规划，加强机构、编制、人员、经费、装备、科研、工程等的资源保障。网络安全保护规划应形成文档并经审批后发布至相关组织和人员。网络安全保护规划应至少每年修订一次，发生重大变化时应及时进行修订。

二是基于关键业务链、供应链等安全需求，建立完善安全策略，并根据关键信息基础设施所面临的安全风险和威胁变化及时进行相应调整。安全互联策略包括访问控制策略、安全审计策略、身份管理策略、入侵防范策略、数据安全防护策略、自动化机制策略（配置、漏洞、补丁、病毒库等）、供应链安全管理策略、安全运维策略等。

三是在确定安全规划、安全策略的基础上，细化制定一系列操作规范、流程和工单，保证规划和策略落到实处。

成立网络安全与信息化工作委员会或领导小组，由单位主要负责人担任领导职务。设置专门的网络安全管理机构，明确负责人及若干专门岗位，设置系统管理、网络管理、安全管理等关键岗位。

关键岗位应由专人负责，并配备2人以上共同管理。建立网络安全考核及监督问责机制，落实责任制。将安全管理机构主要人员纳入单位信息化决策体系，确保网络安全与信息化建设同步进行。

人是关键信息基础设施安全保护工作中最重要的要素。运营者要高度重视人才选拔和岗位安排。

一是对安全管理机构的负责人和关键岗位的人员进行安全背景审查，审查过程中应请公安机关和国家安全机关协助。对关键岗位的人员要进行安全技能考核，符合要求的方能上岗。

二是安排安全管理机构人员参加国家、行业或业界组织的网络安全大赛、论坛、研讨等相关活动，及时获取网络安全动态和知识，并传达给相关部门及人员。

三是建立网络安全教育培训制度，定期开展基于岗位的网络安全教育培训和技能考核，设置科学的年度培训时长。教育培训内容应包括网络安全相关法律、政策、制度、标准和规定，以及网络安全保护技术、管理制度、网络安全风险意识等。

 四是当安全管理机构负责人和关键岗位人员的身份、安全背景等发生变化（例如取得非中国国籍）时，应重新进行背景审查。当发生内部岗位调动时，应及时评估并调整调动人员的访问权限。当人员离岗时，应及时终止离岗人员的所有访问权限，收回与身份鉴别相关的软硬件设备，进行离职面谈，并通知相关人员或角色，确保人员变动后不发生危害网络安全的事件。

五是明确专门岗位人员的安全保密职责和义务，包括安全职责、奖惩机制、离岗后的脱密期限等，并与专门岗位人员签订安全保密协议。

一是互联安全。建立具有不同安全保护等级的系统、不同业务系统、不同区域及与其他运营者之间的安全互联策略。保持同一用户的用户身份、安全标记、访问控制策略等在具有不同安全保护等级的系统、不同业务系统、不同区域中的一致性。对不同局域网之间的远程通信，应采取身份验证或鉴别等安全防护措施（例如，设置基于密码技术的身份验证或鉴别设施，对通信双方进行验证）。

二是边界防护。在具有不同安全保护等级的系统、不同业务系统、不同区域及与其他运营者之间的互操作、数据交换和信息流向方面，设置严格的控制策略和机制，实施严格的控制措施。对未授权设备进行动态检测及管控，只允许通过运营者自身授权和安全评估的软硬件运行，防止网络入侵攻击。

三是安全审计。在边界设置网络审计措施，监测、记录信息系统运行状态、日常操作、故障维护、远程运维等，留存相关日志数据不少于12个月，以便对非法操作进行溯源和固证。

计算环境是信息系统的核心，包括主机、数据库、服务器、重要数据等重要资产。为了保障计算环境安全，运营者应从以下方面采取安全措施。

一是鉴别与授权。确定重要业务操作或异常用户操作行为，并形成清单；设置动态的身份鉴别措施，或者采用多因子身份鉴别等方式，实现对设备、用户、服务（或者应用）、数据的安全管控。对针对重要业务数据资源的操作，可采取基于安全标记等的技术措施实施严格的访问控制。

二是入侵防范。采用人工智能和大数据分析等技术，建设防范新型网络攻击行为（例如高级持续性威胁攻击）的管理和技术措施，及时识别并阻断网络入侵和病毒传播，提高信息系统的主动防护能力。

三是设备配置和管理自动化。设置自动化工具、装备，支持系统账户、配置、漏洞、补丁、病毒库等的管理。在修复漏洞和打补丁时，应先验证、后实施。

关键信息基础设施投入运行后，为了保障其安全，运营者应保证关键信息基础设施的运维地点位于我国境内；确需在境外运维的，应按照我国相关规定执行。

运营者应与维护人员签订安全保密协议，确保人员安全可控。在运维过程中，运维人员应优先使用已登记备案的运维工具和装备；确需使用由维护人员带入关键信息基础设施内部的维护工具装备的，应在使用前通过恶意代码等安全检测，确保工具装备安全可控。

关键信息基础设施的供应链安全是安全工作的重要方面，也是网络安全防护的薄弱环节，需要引起高度重视。为了保障供应链安全，运营者应从以下方面采取安全措施。

一是制定供应链安全管理策略。无论是采购产品还是服务，都要对关键信息基础设施和数据开展全链条、全生命周期的供应链安全风险分析、识别；针对威胁风险，制定安全建设策略、风险管理策略、供应商选择和管理策略、产品开发采购策略、安全维护策略等，并采取相应措施确保策略落实到位。

二是建立供应链安全管理制度，落实供应链安全管理部门和安全责任人，加强对供应链安全管理资金、人员、权限等资源的保障。

三是加强产品在设计、研发、交付、使用、废弃等阶段，以及制造设备、工艺等方面的供应链安全风险排除，加强全链条安全管理，确保产品安全可控。

四是选择有实力、有能力、保障有力的供应商，防止由于政治、外交、贸易、经济等非技术因素导致产品和服务供应中断。同时，要在能提供相同产品的多个供应商中选择，以防范供应商锁定风险。

五是采购、使用的网络关键设备和网络安全专用产品，应通过国家规定的检测认证。需要获得销售许可的产品，应获得有关机构颁发的销售许可证。

六是采购、使用的网络产品和服务，应符合法律、行政法规的规定和相关国家标准的要求，在功能、性能方面不能偷工减料、弄虚作假。可能影响国家安全的网络产品和服务，应通过国家网络安全审查。当发现使用的网络产品和服务存在安全缺陷、漏洞等风险时，应及时采取措施消除风险隐患；涉及重大风险的，应按规定向公安机关等有关部门报告。

七是在采购网络产品和服务时，应与供应商签订安全保密等有关协议，协议内容应包括安全职责、保密内容、奖惩机制、有效期等；或者，要求供应商签署承诺书，明确供应商的安全责任和义务，由供应商承诺不非法获取用户数据、控制和操纵用户系统及设备，不利用用户对产品的依赖性谋取不正当利益，不强迫用户进行产品更新换代。

在关键信息基础设施安全保护中，保护核心数据、重要数据安全是重中之重。运营者应落实《网络安全法》《数据安全法》中有关数据安全的要求，并从以下方面采取安全措施：

一是在开展数据分类分级的基础上，针对数据的不同类型和级别，制定有针对性的数据安全保护策略，明确一系列数据安全保护措施。

二是制定数据安全保护规划，明确保护目标、任务、具体措施，实施一系列数据安全防护手段；建立并落实数据安全管理责任制和评价考核制度，开展数据安全风险评估。

三是制定数据安全事件应急预案并定期开展演练，加强力量、资源、装备、经费等方面的保障，做好随时处置重大数据安全事件的准备；当发生重大安全事件时，能及时有效处置并恢复，将损失降到最低。

四是将在我国境内运营过程中收集和产生的个人信息和重要数据存储在境内；因业务需要，确需向境外提供数据的，应按照国家相关规定和标准进行安全评估，或者通过有关部门组织的安全审查；法律、行政法规另有规定的，应依照其规定执行。

五是加强数据全生命安全管理，严格管控核心数据、重要数据在存储、使用、加工、传输、提供、公开等环节的安全风险。可以采取加密、脱敏、去标识化等手段，保护核心数据、重要数据、敏感数据安全。

六是建立重要数据容灾备份机制。应加强业务连续性管理，建立信息系统、数据库等容灾备份机制，对重要系统和数据库采取异地备份措施。对业务数据安全性要求高的可采取数据异地实时备份，对业务连续性要求高的可采取重要系统异地备份，从而保障业务的异地实时切换，确保关键信息基础设施一旦被攻击破坏可及时恢复和补救。

七是当关键信息基础设施废弃时，应按照相应的数据安全管理策略对其中存储的数据进行妥善处理，确保不危害核心数据、重要数据安全。

以上文章来源于关键信息基础设施安全保护联盟筹 ，作者郭启全