《网络安全法》解读之关键信息基础设施的运行安全

关键信息基础设施非常重要，关系到国家安全、国计民生及公共利益。e 小安根据《网络安全法》的相关条款，对关键信息基础设施的运行安全进行总结，供大家参考。

第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

本条规定了关键信息基础设施的范围：关系国家重大利益、人民群众生命财产安全和社会生产生活秩序，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的网络设施、信息系统和数据资源等，属于关键信息基础设施。

以及明确与网络安全等级保护制度的关系——关键信息基础设置在网络安全等级保护制度的基础上，实行重点保护，且系统等级不低于三级，这是基础。

习近平总书记指出：我国网络安全保障和防护仍处于较低水平，不仅体现在硬件上，也体现在软件上，更体现在安全意识和安全标准上；网络属非传统领域，这方面的风险与威胁更具有杀伤力和破坏性，必须引起我们高度重视；我国关键信息基础设施防控还比较薄弱，各部门必须守土尽责，密切配合，完善预案，积极应对，切实强化国家关键信息基础设施防护，确保整个网络安全；坚决改变只重技术不重安全的做法，加快构建关键信息基础设施安全保障体系，实现全天候全方位感知和有效防护。

保护国家关键信息基础设施的指导思想：一是以最强大对手的网络攻击能力为标尺，举国家之力，强化保卫、保护、保障，打合成仗、整体仗，提升我国网络空间的攻防能力，同时充分发挥军队、公安机关的保卫职能作用，网络运营者加强保护，综合部门在机构、人员、编制、经费、工程项目等方面给于保障，形成合力；二是以网络安全等级保护为抓手，以信息通报为平台，以情报侦察为突破，以侦查打击为支撑，构建“侦攻防管控”一体化的国家关键信息基础设施综合防控体系，坚决打赢网上斗争；三是以网络安全案（事）件为主线，强化实时监测、通报预警、快速处置、追踪溯源、态势感知、情报信息、侦查打击、等级保护、指挥调度；四是关键信息基础设施综合防御能力、水平和技术，要针对最强大对手去设计、去提升、去创新，防御要专业化、集团化、集约化，攻防协同、打防协同、情报协同、能力协同；五是全面提升网上行动能力，包括情报侦察能力、进攻能力、实时监测能力、技术检测能力、通报预警能力、应急处置能力、追踪溯源能力、综合防御能力、态势感知能力、固证打击能力、技术反制能力、数据获取能力。

公安机关在国家关键信息基础设施安全中的职责任务主要有：一是保卫关键信息基础设施安全；二是监督、检查、指导关键信息基础设施安全保护工作；三是防范打击危害关键信息基础设施安全的违法犯罪活动。

第三十二条按照国务院规定的职责分工，负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划，指导和监督关键信息基础设施运行安全保护工作。

本条规定了负责关键信息基础设施安全保护工作的部门组织开展关键信息基础设施安全保护、监督和指导等工作。一是行业主管部门要组织制定并实施本行业、本领域关键信息基础设施安全规划，监督、指导本行业、本领域关键信息基础设施安全保护工作，落实主管责任。二是国家网信、公安、保密、密码、安全等部门，按照法律赋予的职责，根据任务分工，分别组织制定并实施关键信息基础设施安全保护规划，统筹协调，监督检查指导行业主管部门、网络运营者落实安全规划，开展关键信息基础设施安全保护各项工作，落实责任制，加强考核和督办。

第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

本条规定了关键信息基础设施的功能性能要求和“三同步”要求。重要行业部门建设关键信息基础设施时，着重考虑两个要素：一个是功能、性能要求；另一个是安全要求。建设关键信息基础设施投资较大，在规划设计阶段，要充分论证，以满足业务需求，保证业务的连续性和稳定性。同时，关键信息基础设施在规划设计阶段，一定要同步规划、同步设计安全技术措施和管理措施，安全保护设施与信息化设施同步建设、同步使用，确保关键信息基础设施的功能、性能正常发挥。为了保证该项规定的落实，业务部门和信息化部门在制定网络、系统建设方案时，一定要确定关键信息基础设施安全保护等级，根据其安全等级，按照国家标准和行业标准同步制定安全建设方案，聘请专家进行评审，方案通过后方可进行建设、运行。关键信息基础设施在上线之前，还要进行源代码检测、等级测评、风险评估，确保网络系统运行安全和数据、信息安全。

2015年，国家两个重要部门联合开发运行了一个网站，支撑在互联网上开展某项业务工作，但网站没有定级，也没有按照国家标准制定安全建设方案，缺少基本的安全技术措施和管理措施，从网上收集重要敏感信息并明文存储，致使网站上线后，被有关部门在安全检测中攻入网站后台，获取大量重要数据。该网站被及时关闭、下线，开展整改。在有关部门指导下，重新开展网站定级，制定网站安全建设方案，排除了从网站直接收集用户信息的做法，经等级测评、风险评估合格后，网站重新上线，确保了网站运行安全和数据安全。这个案例说明，某些重要单位缺乏网络安全意识，对国家网络安全等级保护制度缺乏了解掌握，没有开展定级、备案、等级测评、安全建设等等级保护工作，更没有落实“三同步”要求。

第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务：

（一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位的人员进行安全背景审查；

（二）定期对从业人员进行网络安全教育、技术培训和技能考核；

（三）对重要系统和数据库进行容灾备份；

（四）制定网络安全事件应急预案，并定期进行演练；

（五）法律、行政法规规定的其他义务。

本条规定了关键信息基础设施运营者应落实的重点措施。关键信息基础设施运营者除落实本法第二十一条规定的措施外，还要落实几项重点措施。一是建立完善领导体系，成立专门的网络安全管理机构，明确专门负责网络安全的领导，确保政令畅通。二是对负责人、管理员、运维人员等关键岗位人员进行背景审查，确保关键岗位、部门的人员可靠。三是建设或利用合作单位培训、训练环境，采取网上网下等多种形式，对关键岗位人员、从业人员进行意识教育、网络安全技术培训及攻防对抗演练，提高网络安全业务能力和实战能力。四是对有关岗位人员进行分级分类管理，分类考核，将考核成绩纳入年终考评。五是对重要系统和数据库进行容灾备份，包括同城、异地方式及冷备、热备方式，保证系统运行安全、数据和信息安全。六是制定网络安全事件应急预案，备建队伍、装备，建立与有关部门、企业的配合机制，并定期进行演练，以检验预案的有效性和针对性。六是落实《国家安全法》《反恐怖主义法》《中华人民共和国计算机信息系统安全保护条例》等法律、行政法规规定的其他义务。

第三十五条关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

本条规定了非常态的网络产品和服务的国家安全审查机制。2015年出台的《国家安全法》确立了国家安全审查制度。在采购网络产品和服务时，如果影响国家安全，用户按照世界贸易组织规则，可以按照国家安全例外原则，对采购的产品和服务进行限制。关键信息基础设施安全涉及国家安全，因此，关键信息基础设施运营者在采购网络产品和服务时，对可能影响国家安全的，应当由国家网信部门会同国务院有关部门组织开展国家安全审查，审查通过的，方可采购。本条规定了国家安全审查机制是非常态化的，只有在可能影响国家安全的特殊情况下才能启动，不是对网络产品和服务开展的常态的网络安全认证和检测。

第三十六条关键信息基础设施的运营者采购网络产品和服务，应当按照规定与提供者签订安全保密协议，明确安全和保密义务与责任。

本条规定了关键信息基础设施运营者、服务商在采购网络产品和服务时的安全责任和义务，防范外包服务安全，关注供应链安全。产品和服务是关键信息基础设施建设、运维中的重要内容，是供应链安全的核心，而供应链安全又是容易被用户疏忽的网络安全的重要内容。因此，关键信息基础设施运营者在采购网络产品和服务时：一要采购符合国家有关规定的网络产品和服务，慎重选择提供者；二要与网络产品和服务提供者签订安全保密协议，明确其安全保密责任和义务；三要采取有效措施，监督网络产品和服务提供者落实安全保密责任和义务。

2016年2月，公安机关接到一重要行业部门报案，称多家企业内部网络发现异常网络活动，立即立案侦查。2016年3月，案件侦破，犯罪嫌疑人被抓获。经审讯获知，犯罪嫌疑人利用对企业提供软件开发服务的机会，将大量木马植入重要系统，实时获取重要数据，进一步实施经济犯罪。该非法植入木马窃取重要数据案说明，关键信息基础设施运营者要关注网络供应链安全，要防范服务商、产品供应商利用服务机会窃取数据、信息，危害关键信息基础设施安全。

第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

本条规定了对关键信息基础设施运营者的数据留存和提供的要求。大数据涉及国家安全的方方面面，其广泛应用带来的安全挑战日渐凸显，应切实采取措施，加强对关键信息基础设施和大数据安全的监管和防护。国家将出台关键信息基础设施数据对外提供的安全评估办法，有关部门将对关键信息基础设施运营者的数据留存和提供进行监督、检查，以确保重要数据安全符合国家法律法规和有关标准要求。数据保护的主要环节包括数据采集、存储、处理、应用、流动、提供和销毁。大数据的基本特征是体量大、种类多、聚合快、价值高，受到破坏、泄露或篡改会对国家安全、社会秩序或公共利益造成严重影响，因此，大数据安全保护的原则是以数据为核心，以数据保护环节为主线，落实不同安全保护等级的数据在保护环节中的基本要求。

在我国境内运营中收集和产生的个人信息和重要数据，应当在境内存储。因业务需要，确需向境外提供的，应当进行安全评估。个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。行业主管部门负责本行业数据出境安全评估工作，定期组织开展本行业数据出境安全检查。

网络运营者应在数据出境前，自行组织对数据出境进行安全评估，并对评估结果负责。数据出境安全评估应重点评估以下内容：数据出境的必要性；涉及个人信息情况，包括个人信息的数量、范围、类型、敏感程度，以及个人信息主体是否同意其个人信息出境等；涉及重要数据情况，包括重要数据的数量、范围、类型及其敏感程度等；数据接收方的安全保护措施、能力和水平，以及所在国家和地区的网络安全环境等；数据出境及再转移后被泄露、毁损、篡改、滥用等风险；数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险。

第三十八条关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

本条规定了关键信息基础设施运营者开展安全检测评估的规定。安全检测评估活动主要包括等级测评、风险评估、渗透测试等第三方检测机构的技术服务活动。关键信息基础设施运营者开展检测评估，分为两种方式。一种方式是自行检测评估，利用自己的技术力量开展，属于自评估性质；另一种方式是委托网络安全服务机构开展评估，是按照国家有关要求实施。对于后一种方式，关键信息基础设施运营者要按照国家网络安全等级保护制度要求，聘请符合有关要求的第三方测评机构，对第三级以上网络系统，每年应开展一次等级测评、风险评估工作。这两种方式不能混淆，不能相互替代，都要开展。

2014年8月1日，浙江温州有线数字电视网被黑客攻击，影响50万用户、30万台机顶盒，电视屏幕上出现大量违法信息和图片，造成了严重的政治影响。案发原因是有线数字电视网与互联网非法连接，说明网络运营者网络安全管理不规范，既缺乏监测手段，也没有及时开展安全检测并及时发现非法外联。

第三十九条国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施：

（一）对关键信息基础设施的安全风险进行抽查检测，提出改进措施，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估；

（二）定期组织关键信息基础设施的运营者进行网络安全应急演练，提高应对网络安全事件的水平和协同配合能力；

（三）促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享；

（四）对网络安全事件的应急处置与网络功能的恢复等，提供技术支持和协助。

本条规定了关键信息基础设施保护中应当统筹协调采取的措施。国家网信部门应当统筹协调有关部门积极支持，网络安全职能部门、行业主管部门、信息安全企业等充分发挥作用，形成合力，支持关键信息基础设施运营者对关键信息基础设施的安全保护采取安全监测、通报预警、态势感知、风险评估、应急演练、信息共享、应急处置等措施，建立关键信息基础设施综合防御体系，提高综合防御能力。

关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。在此我们应该明确一点，即使你的系统安全水平高过等级保护对应等级，也就是即使你加强了防护，等级保护工作还是要做的，因为关键基础设施的保护是在等级保护的基础上进行的，满足等级保护是基本安全要求也是前提，特殊的地方需要安全加固，增强保护也是理所当然的。在满足前提的条件下，只能高于等级保护的要求，不能低于等级保护的要求的。

国家关键信息基础设施的保护，离不开等级保护的这个基本国策的支撑。如何把国家关键信息基础设施的信息系统的网络安全等级保护做好，是摆在我们面前的一个挑战，我们将继续为大家分享等级保护方面的专业知识，共同捍卫国家网络安全！

（文章来源：鼎信信息安全测评）

注：内容均来源于互联网，版权归作者所有，如有侵权，请联系告知，我们将尽快处理。