国企如何提升关键信息基础设施安全保护能力？

智商欠费

2022-07-15

《关键信息基础设施安全保护条例》将于2021年9月1日起施行，制度的落实需要政、产、学、研、用各个层面的通力合作。那对于涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业的国企应该如何做呢？



一是强化意识，深刻认识关键信息基础设施安全保护工作的重要性。从事关键信息基础设施运营和保护工作的单位和个人应充分意识到，做好关键信息基础设施安全保护工作不仅事关自身系统安全和业务稳定运行，更关乎国计民生，要深刻认识到确保关键信息基础设施安全的极端重要性，站立高位、保持清醒、敢于担当、勇于作为，以国家网络安全为己任，严格落实相关法律、政策、制度的要求。

二是明晰底数，精准掌握关键信息基础设施安全运行情况。掌握关键信息基础设施安全运行的网络和数据资产信息，是国家主管监管部门和保护工作部门开展指导监督工作的重要前提；对于运营者而言，更是落实主体责任，加强防护工作的必要手段。一方面，应全面梳理关键信息基础设施网络产品和服务情况，在掌握关键信息基础设施网络资产的基础上，进一步梳理组件级的型号信息、配置设置信息等，支撑供应链网络攻击发生后的快速定位和准确研判。另一方面，应厘清关键信息基础设施承载的数据资产，梳理数据采集、加工、传输情况，分析数据流动条件和路径。此外，对于涉及控制类系统的关键信息基础设施，应在上述措施基础上，重点加强分析识别，最大限度地掌握触发或可能触发控制动作的协议、指令情况，以及可能触及核心控制设备、系统的数据流及具有操作权限的人员情况。

三是提升能力，全面加强关键信息基础设施安全防护。运营者应重点从脆弱性和风险隐患自查自纠、安全事件和威胁分析研判、极端极限情况下关键信息基础设施的持续稳定运行等能力入手，加强相应的手段建设，逐步培养网络安全专业人才队伍，注重防护措施有效性的检验评价，强化网络安全防护持续运营理念；对于网络安全学术界、企业、研究机构而言，应针对关键信息基础设施的特殊性、重要性，以风险识别、评估、防范、化解为关注重点，从理论、方法、技术多个层面加强研发攻关，为关键信息基础设施安全防护提供技术支撑。

四是全面贯通，合力推动关键信息基础设施安全保护工作。一方面，《条例》中的信息共享、监测预警、应急处置、检查检测等措施需要各有关部门进一步体系化、制度化、常态化推动完善；另一方面，《条例》中对运营者“采购网络产品和服务可能影响国家安全的”情况的相关要求与国家网络安全审查制度一脉相承，运营者应在落实网络安全审查、保障关键信息基础设施供应链安全的工作过程中进一步提升主动性。