我國《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱《條例》）已正式施行一周年,，關(guān)于《條例》推出并施行的價值和意義,，我們不再做過多的贅述，需要指出的是，盡管在2017年6月1日施行的《網(wǎng)絡(luò)安全法》中規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施提供者的相關(guān)義務(wù)和規(guī)則,，對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)運(yùn)營者的責(zé)任與義務(wù)也做出了特別規(guī)定，但總體而言,，《網(wǎng)絡(luò)安全法》的規(guī)定較為原則,，缺乏細(xì)化的措施。

　　相比之下,，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定的條款內(nèi)容則更加詳盡,、方法更具操行性、安全保護(hù)標(biāo)準(zhǔn)更嚴(yán)格,，而且對《網(wǎng)絡(luò)安全法》中規(guī)定安全檢測評估機(jī)制等進(jìn)行了創(chuàng)新,，能夠更大程度實(shí)現(xiàn)互聯(lián)網(wǎng)領(lǐng)域中關(guān)鍵基礎(chǔ)設(shè)施的安全穩(wěn)定運(yùn)行。

　　那么現(xiàn)在我們回過頭來看《條例》自2021年9月1日以來這一年,，相關(guān)行業(yè),、企業(yè)都發(fā)生了哪些積極的變化呢？而在具體落實(shí)方面又著重體現(xiàn)在哪里呢,？圍繞著這些話題,，我們特別邀請到了專注于工業(yè)互聯(lián)網(wǎng)安全的企業(yè)——長揚(yáng)科技的營銷咨詢部總經(jīng)理李莊來分享他們所觀察到的一些細(xì)節(jié)。

　　《條例》促進(jìn)國家整體

　　網(wǎng)絡(luò)安全戰(zhàn)略的深化落地

　　李莊表示,，通過《條例》的細(xì)則能夠明顯看到國家,、行業(yè)監(jiān)管部門、關(guān)基運(yùn)營者,、安全支撐企業(yè)等多方力量對關(guān)基網(wǎng)絡(luò)安全的重視程度不斷提升,，具體來看則主要體現(xiàn)在以下3點(diǎn)：

　　● 1、突出了重點(diǎn)保護(hù)對象,。從等保到關(guān)保,，保護(hù)對象從“全行業(yè)”重點(diǎn)突出了能源,、交通、水利,、公共通信和信息服務(wù),、金融、公共服務(wù),、電子政務(wù),、國防科技工業(yè)等行業(yè)；尤其是明確了以上企業(yè)的工業(yè)控制系統(tǒng),，作為影響國計民生的核心生產(chǎn)運(yùn)行系統(tǒng),，都被定義為關(guān)鍵信息基礎(chǔ)設(shè)施（critical information infrastructure,CII）進(jìn)行重點(diǎn)保護(hù)。

　　● 2,、明確了關(guān)基保護(hù)流程,。在網(wǎng)絡(luò)安全等級保護(hù)制度基礎(chǔ)上，著眼分析識別,、安全防護(hù),、檢測評估、監(jiān)測預(yù)警,、主動防御,、事件處置6大環(huán)節(jié)，圍繞網(wǎng)絡(luò)安全風(fēng)險全過程閉環(huán)管理,，建立網(wǎng)絡(luò)安全整體框架和規(guī)定動作,。

　　● 3、加強(qiáng)了主動防御體系,?；诘缺?.0主張的“一個中心、三重防護(hù)”的縱深防御思想,，增加了“主動防御,、監(jiān)測預(yù)警、事件處置”等要求,，加強(qiáng)對于各類安全攻擊行為的監(jiān)測,、分析、處置,、溯源,、協(xié)同、共享,、通報,、整改等指導(dǎo)要求，實(shí)現(xiàn)了對關(guān)基安全的立體化安全保障能力,，實(shí)現(xiàn)了安全管理的閉環(huán),。

　　從上述幾點(diǎn)可以看出,，這對于各行業(yè)的關(guān)基運(yùn)營者在實(shí)際落地《條例》的過程中起到了指導(dǎo)、明確,、強(qiáng)化的作用,，同時也促進(jìn)了國家整體網(wǎng)絡(luò)安全戰(zhàn)略的深化落地。

　　關(guān)基運(yùn)營者加強(qiáng)監(jiān)管與安全能力建設(shè)

　　國產(chǎn)化安全產(chǎn)品需求提升

　　《條例》的施行,，首先影響到的就是那些被劃定為關(guān)基單位的運(yùn)營者們,，同時也是網(wǎng)絡(luò)安全行業(yè)的甲方用戶群體,，在通過《條例》明確了自身的責(zé)任和義務(wù)之后,，結(jié)合其給出的關(guān)基保護(hù)重點(diǎn)建設(shè)方向，那么相比此前,，他們在行動上有著怎樣的變化呢,？

　　首先是在管理方面，《條例》施行后,，集團(tuán)型客戶明顯加強(qiáng)了對下屬生產(chǎn)企業(yè)的集中監(jiān)管,。

　　在《條例》的第十二條明確“安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè),、同步使用”這一要求,，對于集團(tuán)型客戶而言，在頂層規(guī)劃方面就進(jìn)行工控網(wǎng)絡(luò)安全總體設(shè)計,，從而指導(dǎo)集團(tuán)和下屬企業(yè)按照“統(tǒng)一規(guī)劃,、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一投資,、統(tǒng)一建設(shè),、統(tǒng)一管理、統(tǒng)一運(yùn)維（運(yùn)營）”的模式,，著手進(jìn)行工控網(wǎng)絡(luò)安全企業(yè)標(biāo)準(zhǔn)的設(shè)計編寫,，并通過構(gòu)建集團(tuán)測工控安全態(tài)勢感知平臺，做到“摸清家底,、認(rèn)清風(fēng)險,、找出漏洞、及時通報,、持續(xù)整改”,。

　　其次是在建設(shè)方面，關(guān)基運(yùn)營者開始普遍關(guān)注和加強(qiáng)對內(nèi)部組織,、人員網(wǎng)絡(luò)安全能力,。

　　根據(jù)《條例》第十五條“按照國家及行業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，制定本單位應(yīng)急預(yù)案,，定期開展應(yīng)急演練,，處置網(wǎng)絡(luò)安全事件”,、“組織網(wǎng)絡(luò)安全教育、培訓(xùn)”,；第二十五條“保護(hù)工作部門應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求,，建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案,，定期組織應(yīng)急演練,；指導(dǎo)運(yùn)營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置，并根據(jù)需要組織提供技術(shù)支持與協(xié)助”,。

　　因此,，關(guān)基運(yùn)營者除了相關(guān)管理制度的進(jìn)一步完善和加強(qiáng)的基礎(chǔ)上，還特別注重強(qiáng)化自身的網(wǎng)絡(luò)安全能力提升工作,，以適應(yīng)和滿足《條例》所提出的要求,，并以實(shí)戰(zhàn)化的角度出發(fā)，無論是自己獨(dú)立完成還是通過以采購專業(yè)第三方服務(wù)的方式來完成包括制定應(yīng)急預(yù)案,、開展應(yīng)急演練等工作,，提升“以攻促防”以盡可能地保證在遭受網(wǎng)絡(luò)攻擊后，能夠快速且有效地處置及相應(yīng),，保障關(guān)基設(shè)施的正常運(yùn)轉(zhuǎn),。

　　最后是在采購方面，用戶對于國產(chǎn)化的工控安全產(chǎn)品需求日益提升,。

　　根據(jù)《條例》第十九條提到的“運(yùn)營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”要求,，結(jié)合今年2月份新版《網(wǎng)絡(luò)安全審查辦法》的正式施行,，共同確保了關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全,，從而更好地維護(hù)國家安全,。從行業(yè)角度看，國家能源局,、水利部,、國鐵集團(tuán)等行業(yè)主管部門也在行業(yè)相關(guān)規(guī)劃中提出要進(jìn)行“安全自主可控”國產(chǎn)化替代要求。由于我國工業(yè)控制系統(tǒng)基礎(chǔ)弱,，大部分控制系統(tǒng)被國外壟斷,，在國內(nèi)外日益嚴(yán)峻的大背景下，工控行業(yè)需要逐漸改變過分依賴國外芯片,、操作系統(tǒng)的現(xiàn)狀,，避免出現(xiàn)因?yàn)椤翱ú弊印倍绊戧P(guān)基企業(yè)運(yùn)行安全的事件。

　　對于由政策帶動的市場需求變化,，國內(nèi)的安全企業(yè)也在積極應(yīng)對,，在溝通中我們了解到,，目前長揚(yáng)工控安全防護(hù)產(chǎn)品已經(jīng)與業(yè)內(nèi)眾多生態(tài)伙伴實(shí)現(xiàn)產(chǎn)品兼容性互認(rèn)證，包括麒麟軟件,、統(tǒng)信軟件,；飛騰、龍芯,、申威,、海光、兆芯等CPU廠商,；長城,、曙光、寶德 ,、聯(lián)想,、浪潮等整機(jī)廠商。隨著時間的不斷推移,，我們有理由相信，無論是從國家的政策要求角度還是從實(shí)際的安全角度,，在技術(shù)上自主可控的國產(chǎn)化安全產(chǎn)品市場在未來必將迎來一個快速發(fā)展的時期,。

　　《條例》落地過程中仍存在的

　　四大現(xiàn)實(shí)問題與挑戰(zhàn)

　　基于上述內(nèi)容我們可以看出，《條例》施行一年以來,，對行業(yè)的促進(jìn)作用已經(jīng)顯現(xiàn),，也推動了關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)安全建設(shè)水平的提升，但同時,，我們也應(yīng)看到這期間所仍然存在的一些問題,。針對這一話題，李莊表示,，關(guān)鍵信息基礎(chǔ)設(shè)施是國家重要的戰(zhàn)略資源,，關(guān)系國家安全、國計民生和公共利益,，具有基礎(chǔ)性,、支撐性、全局性作用,，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全是國家網(wǎng)絡(luò)安全工作的重中之重,。在具體落地工作中，仍存在以下現(xiàn)實(shí)問題和挑戰(zhàn)：

　　● 1,、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)法律仍需完善,。關(guān)基保護(hù)要求基于等保高于等保，對于關(guān)基運(yùn)營者來說兩者要求都要滿足,，但《條例》細(xì)則中的《CII安全保護(hù)要求》和《CII安全檢查評估指南》仍未發(fā)布,，運(yùn)營者進(jìn)行關(guān)基保護(hù)落地缺少細(xì)化依據(jù),；

　　● 2、關(guān)基涉及的行業(yè)范圍廣,，業(yè)務(wù)眾多,，復(fù)雜度高。關(guān)鍵信息基礎(chǔ)設(shè)施涵蓋各行業(yè)的業(yè)務(wù)系統(tǒng)眾多且復(fù)雜度高,。目前在各行業(yè)關(guān)基業(yè)務(wù)識別認(rèn)定方面,，缺少統(tǒng)一的行業(yè)認(rèn)定標(biāo)準(zhǔn)和規(guī)范指引；

　　● 3,、關(guān)基保護(hù)工作開展時間相對較短,，運(yùn)營者自身各方意識有待加強(qiáng)。關(guān)基保護(hù)涉及到從“縱深防御”到“動態(tài)防御,、主動防御,、聯(lián)防聯(lián)控”的轉(zhuǎn)變，運(yùn)營者自身的安全意識認(rèn)知,、人員技術(shù)能力,、主動監(jiān)測能力、安全分析水平,、事件處置等軟能力方面仍需要進(jìn)一步加強(qiáng),。

　　● 4、安全方案和產(chǎn)品“實(shí)戰(zhàn)”能力不強(qiáng),。關(guān)基運(yùn)營者選用的安全方案和產(chǎn)品缺少在“以攻促防”場景下的實(shí)戰(zhàn)檢驗(yàn)?zāi)芰?，沒有發(fā)揮真正的防護(hù)作用，這一點(diǎn)主要體現(xiàn)在我國一年一度的大型攻防演練活動中,，依然會有大量的相關(guān)企業(yè)被攻陷,，暴露出嚴(yán)重的安全隱患。

　　在我們看來,，上述這些問題和挑戰(zhàn)也并非是通過一個制度在短時間內(nèi)就能完全扭轉(zhuǎn)的,，隨著相關(guān)法律法規(guī)制度的不斷完善和細(xì)化，以及我國整體網(wǎng)絡(luò)安全能力的逐步提升,，這些問題和挑戰(zhàn)都將會一一化解,。

　　滿足《條例》要求需重點(diǎn)關(guān)注六方面

　　從關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)執(zhí)行落地的六個階段具體要求來看，“分析識別,、安全防護(hù),、檢測評估、監(jiān)測預(yù)警,、主動防御,、事件處置”是基于等保2.0“安全技術(shù)+安全管理”的增強(qiáng)要求。

　　那么如何既滿足等保合規(guī)要求，又符合關(guān)基保護(hù)要求呢,？李莊在這里也為關(guān)基行業(yè)的運(yùn)營者（企業(yè)）提出自己的建議——需重點(diǎn)關(guān)注以下6個方面：

　　●1,、分析識別：運(yùn)營者按照相關(guān)規(guī)定開展關(guān)鍵信息基礎(chǔ)設(shè)施分析和識別活動，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施承載的關(guān)鍵業(yè)務(wù),，開展業(yè)務(wù)依賴性識別,、關(guān)鍵資產(chǎn)識別、風(fēng)險識別等活動,。本環(huán)節(jié)是開展安全防護(hù),、檢測評估、監(jiān)測預(yù)警,、主動防御,、事件處置環(huán)節(jié)工作的基礎(chǔ)。

　　● 2,、安全防護(hù)：運(yùn)營者根據(jù)已識別的關(guān)鍵業(yè)務(wù)和資產(chǎn),、安全風(fēng)險，實(shí)施安全管理制度,、安全管理機(jī)構(gòu),、安全管理人員、安全通信網(wǎng)絡(luò),、安全計算環(huán)境,、安全建設(shè)管理、安全運(yùn)維管理等方面的安全控制措施,，確保關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全。本環(huán)節(jié)在識別關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險的基礎(chǔ)上制定安全防護(hù)措施,。

　　● 3,、檢測評估：為檢驗(yàn)安全防護(hù)措施的有效性，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患,，運(yùn)營者制定相應(yīng)的檢測評估制度,，確定檢測評估的流程及內(nèi)容等要素，并分析潛在安全風(fēng)險可能引起的安全事件,。

　　● 4,、 監(jiān)測預(yù)警：運(yùn)營者制定并實(shí)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度，針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅,，提前或及時發(fā)出安全警示,。建立威脅情報和信息共享機(jī)制，落實(shí)相關(guān)措施,，提高關(guān)鍵信息基礎(chǔ)設(shè)施主動防御能力,。

　　● 5、主動防御：運(yùn)營者以對安全行為的監(jiān)測發(fā)現(xiàn)為基礎(chǔ),，主動采取誘捕,、溯源,、干擾和阻斷等措施，及時精準(zhǔn)預(yù)警,，實(shí)時構(gòu)建彈性防御體系,，避免、轉(zhuǎn)移,、降低關(guān)鍵信息基礎(chǔ)設(shè)施面臨的風(fēng)險的安全措施,。提升對網(wǎng)絡(luò)威脅與攻擊行為的認(rèn)知和應(yīng)對能力。

　　● 6,、事件處置：對網(wǎng)絡(luò)安全事件進(jìn)行報告和處置,，并根據(jù)檢測評估、監(jiān)測預(yù)警環(huán)節(jié)發(fā)現(xiàn)的問題,，運(yùn)營者制定并實(shí)施適當(dāng)?shù)膽?yīng)對措施,，恢復(fù)由于網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

　　基于上述內(nèi)容,，運(yùn)營者需要構(gòu)建一套持續(xù),、動態(tài)的風(fēng)險管理方法，實(shí)現(xiàn)從關(guān)基認(rèn)定識別,、主動防御,、到安全風(fēng)險全過程監(jiān)測、分析,、處置,、改進(jìn)的運(yùn)營管理平臺和保障體系建設(shè)，以應(yīng)對動態(tài)的網(wǎng)絡(luò)安全威脅,，將網(wǎng)絡(luò)安全風(fēng)險控制在可接受的范圍,，確保企業(yè)自身關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行,。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<