上篇文章 《【关保专题】关键信息基础设施安全防护工作关键点总结（一)》 总结了关键信息基础设施的等保合规建设和技术措施要求关键点，本文将进一步分析《关基保护要求》管理措施要求和强化全局安全防护两方面内容的防护工作关键点。

  《等级保护要求》对管理制度和安全策略提出了基础要求，《关基保护要求》在其基础上对管理制度和安全策略提出了动态调整的要求，有效支撑动态防御安全建设。

  《关基保护要求》新增制定网络安全保护计划，定期对网络安全保护计划的合理性和适用性进行论证和审定，对存在不足或需要改进的网络安全保护计划进行修订，可有效健全本组织的安全管理制度，指导关键信息基础设施运营者与时俱进的开展安全建设工作。

  相比之前的监督管理要求，《关基保护要求》在安全管理机构方面，新增了成立网络安全工作委员会或领导小组，并明白准确地提出了将领导班子成员作为首席网络安全官，专职管理或分管关键信息基础设施安全保护工作的要求。

  安全管理机构为运营者提供网络安全保障，是运营者网络安全生存发展的基础，因此要设置专门的网络安全管理机构，明确机构负责人及岗位，建立并实施网络安全考核及监督问责机制。同时，还要明确网络安全管理责任人，保障运营者的网络安全，有效防范和减少网络安全事故的发生。

  为了防止关键信息基础设施存储、处理的数据资源被窃取、泄露从而危害国家和社会安全，须对专门安全管理机构负责人和关键岗位人员安全背景审查，开展安全背景审查可申请公安机关、国家安全机关协助，如《关基保护条例》第十四条规定“运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。”符合安全背景审查要求的安全管理机构负责人和关键岗位人员方能上岗。

  《关基保护要求》响应《中华人民共和国网络安全法》第三十四条、《关基保护条例》第十五条（五）规定，要求定期对关键信息基础设施从业人员进行网络安全教育、技术培养和训练和技能考核，每人每年教育培训时长不可以少于30个学时。

  运营者与关键信息基础设施从业人员明确安全保密职责和义务，签订安全保密协议，可以约束从业人员不得随意泄漏保密内容，防止人为泄密。

  网络安全技术措施与关键信息基础设施主体工程同步规划、同步建设、同步使用的“三同步”要求对应《中华人民共和国网络安全法》第三十三条、《关基保护条例》第十二条内容，在系统生命周期各阶段明确责任部门及安全职责，在全过程中推行安全建设同步开展，强化安全工作前移，降低运维阶段的服务压力。

  关键信息基础设施的全部运营、维护、技术上的支持都必须在境内实施，若需要境外远程访问、维护、调试等操作的，应符合我国相关规定。

  运营者与关键信息基础设施运维人员明确安全保密职责和义务，签订安全保密协议，可以约束运维人员不得随意泄漏保密内容，防止人为泄密。

  国家深刻意识到建立安全可靠的关键信息基础设施供应链事关国家产业安全、经济安全和社会长治久安。2020年4月27日，国家互联网信息办公室等12个部门联合发布了《网络安全审查办法》，要求关键信息基础设施运营者采购网络产品和服务，影响或可能会影响国家安全的，应进行网络安全审查。审查办法作为落实《网络安全法》第三十五条提出的网络安全审查制度的重要制度文件，将着重关注关键信息基础设施采购网络产品和服务可能带来的国家安全风险，确保关键信息基础设施供应链安全。

  关键信息基础设施供应链安全涉及了网络产品和服务从无到有再到废弃的整个生命周期，不仅包含传统的生产、仓储、销售、交付等供应链环节，还延伸到产品的设计、开发、集成等生命周期，以及交付后的安装、运维等过程。《关基保护要求》针对供应链安全防护的要求，是在保障我国关键信息基础设施供应链安全，维护国家安全的道路上迈出了重要的一步。

  构建和完善供应链安全管理策略与制度体系是关键信息基础设施供应链安全保护的基础，为供应链安全保护提供强有力的支撑依据。通过制定供应链安全管理策略与制度，运营者能更加全面地了解供应链中存在的风险，并采取对应的措施来管理和控制，以此来降低风险带来的损失。

  明确关键信息基础设施需要国家检验测试认证设备和产品的范围，供应商在提供产品时应注意网络关键设备和网络安全专用产品目录设备必须持有相关国家检测认证，且在有效期内。

  本项要求更侧重于设施安全检测，在设备使用前检验测试可能存在的漏洞，进而对漏洞深入分析并解决可以轻松又有效提升设备和产品的安全性。针对设备和产品的安全检测和漏洞发现，漏洞挖掘平台能够最终靠未知漏洞挖掘、安全性及协议健壮性测试，深度挖掘工控设备或系统的各类已知、未知漏洞，并生成测试报告，清晰定位问题并提供测试报文便于问题回溯，能显著提升系统的安全性。

  《关基保护要求》在产品服务采购方面也进行了补充和扩展，为运营者提供了更多具体可执行的操作要求，大大增强了采购环节的安全性。年度采购清单能够在一定程度上帮助企业优化供应链，选择正真适合的供应商，建立长期稳定的合作伙伴关系，提高供应链的效率和稳定性。

  选择稳定、有保障的供应方，确保供应商符合采购标准和要求，防范出现因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险，保护关键信息基础设施供应链安全稳定。政府大力推动国产化设备的科学技术创新和研发，着力推动国产化系统建设，通过国产化技术开发，提升产品质量和技术水平，加强供应链的安全建设，更符合国内安全要求并有效保障网络安全。

  明确网络产品和服务提供者的安全责任和义务，要求提供者对网络产品和服务的关键点加强管理，要求提供者杜绝非法获取数据、操作系统或谋求不正当利益。与提供者签订安全保密协议，可以约束提供者对网络产品和服务的安全责任意识，明确安全责任和义务，大大降低供应链安全风险。

  网络产品和服务的提供者对网络产品和服务知识产权要求获得10年以上授权，或在网络产品和服务使用期内获得持续授权，在尊重和保护知识产权的同时，避免因知识产权或授权问题带来困扰，保护供应链中的关键信息不被盗窃或滥用，确保供应链的信息安全。

  通过源代码安全检查发现代码架构和编码中的安全漏洞，将业务软件的安全风险降低，形成一个安全的软件产品，找出潜在的漏洞和风险，防止供应链中的恶意代码、后门等安全问题对企业造成损失和危害，提高供应链安全性。

  随着互联网科技的迅猛发展，我们已迎来了数据大爆炸时代，运营者的生产经营活动、个人的私人生活已经与信息化、数据化密不可分，为维护国家主权、国家安全、国家利益以及维护全体公民和组织数据合法权益，我国相继颁布了《网络安全法》、《数据安全法》和《个人隐私信息保护法》，从法律层面保障数据安全。2021年9月1日，数据安全法正式施行，明确规定国家建立数据安全审查制度，2022年2月15日起施行修订后的《网络安全审查办法》，最大的目的是进一步保障网络安全和数据安全，维护国家安全。

  《关基保护要求》响应了《网络安全法》、《数据安全法》、《个人隐私信息保护法》、《网络安全审查办法》等法律和法规，针对关键信息基础设施的数据安全防护提出明确要求，对保障关键信息基础设施网络安全具备极其重大意义。

  近年来，全球数据安全威胁呈现多样化趋势，各类数据泄露、网络攻击、恶意软件、数据贩卖等问题层出不穷，极大危害到网络安全和社会利益，数据安全防护问题在全世界内引起了广泛关注。

  通过建立数据安全管理责任和评价考核制度，制定数据安全保护计划，实施数据安全技术防护等方式，采取必要措施确保数据处于有效保护和合法利用的状态和具备保障持续安全状态的能力，保证数据生产、存储、传输、访问、使用、销毁、公开等全过程的安全。

  《数据安全法》第二十一条规定：“国家建立数据分类分级保护制度，依据数据在经济社会持续健康发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”数据分类分级是数据安全治理的前提，是数据合规最核心的问题。只有对数据来进行有效分类分级，才能避免一刀切的控制方式，在数据安全管理上采用更加精细的措施，使数据在共享使用和安全使用之间获得平衡。

  “境内存储”指个人隐私信息和重要数据存储介质位于中国内地且其存储个人隐私信息不被境外主体以非公开方式读取，此项要求体现了对个人隐私信息和重要数据的重视。境内存储和重要数据保护能够尽可能的防止因数据跨境传输而被窃取或窜改、避免因数据损坏或丢失而导致数据的不完整、避免因网络问题或其他问题造成数据无法访问，保证数据的保密性、完整性、可用性。

  关键信息基础设施数据资源中往往包含大量的敏感和重要数据，一旦泄露或遭到非法利用，将会给运营者甚至是国家带来没有办法弥补的损失。想要实现敏感数据资产的保护和管理，可通过数据防泄漏系统对敏感数据流转进行监控审计以及阻断防护，同时重要数据可采取基于敏感内容感知的加密保护，保证数据流转使用的过程中的安全。

  容灾备份其实就是两个概念，容灾是为了在遭遇灾害时能保证信息系统正常运行，帮助运营者实现业务连续性的目标，备份是为了应对灾难来临时造成的数据丢失问题。容灾备份可通过容灾备份一体机或其他备份设备通过远程镜像、快照和互连等技术，在相隔较远的异地，建立两套或多套功能相同的系统，互相之间能够直接进行健康状态监视和功能切换，当一处系统因意外（如火灾、地震等）停止工作时，整个应用系统能切换到另一处，使得该系统功能能继续正常工作。

  在数据安全方面，应参考《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》、《中华人民共和国个人隐私信息保护法》等法律和法规，构建基于数据分类分级的、覆盖数据全生存周期的安全防护体系，可部署数据库审计系统监控数据的多重状态和通信内容，不仅仅可以对数据库所面临的风险进行多方位的评估，还能够最终靠审计功能对数据库所有操作进行审计，提供事后追查机制。

  关键信息基础设施安全防护是在网络安全等级保护制度基础上对关键信息基础设施实行重点保护，根本在于提升运营者的网络安全管控能力和自身的安全保护能力。运营者的网络安全管控能力侧重于关基管理体系机制的构建，而关基自身的安全保护能力侧重于关基应采取的技术措施和管理措施。因此关基运营者应贯彻落实网络安全等级保护制度，建立和完善技术措施和管理措施，构建关键信息基础设施管理体系机制，提升关键信息基础设施的安全防护能力。

  北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创造新兴事物的能力成为全世界六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

  威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、人机一体化智能系统、军工等国家重要行业用户更好的提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线多家行业客户实现了业务安全合规运行。

  作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施互联网空间安全为己任，致力成为建设网络强国的中坚力量!