久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

首先，要將CII從普遍的、一般的信息基礎(chǔ)設(shè)施中區(qū)分出來(lái)。在“指南”的檢查評(píng)估流程中明確了CII的范圍：調(diào)研和梳理檢查評(píng)估對(duì)象的關(guān)鍵業(yè)務(wù)，確定支撐關(guān)鍵業(yè)務(wù)運(yùn)行的基礎(chǔ)設(shè)施。這樣的基礎(chǔ)設(shè)施就是CII。同樣，相關(guān)學(xué)者在《關(guān)鍵信息基礎(chǔ)設(shè)施邊界識(shí)別刻不容緩》一文中提出的依關(guān)鍵業(yè)務(wù)來(lái)判斷CII，以及依業(yè)務(wù)鏈（信息流）來(lái)將相互聯(lián)系的CII“順藤摸瓜”排查出來(lái)，這都體現(xiàn)了從關(guān)鍵業(yè)務(wù)到CII的思想方法。而關(guān)鍵業(yè)務(wù)的確定，可從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)機(jī)構(gòu)的戰(zhàn)略任務(wù)、目標(biāo)使命中導(dǎo)出，這應(yīng)該是比較明確的。將關(guān)鍵業(yè)務(wù)從一般化的業(yè)務(wù)中剝離出來(lái)了，就能將CII從普通的信息基礎(chǔ)設(shè)施或基礎(chǔ)設(shè)施中分離出來(lái)，避免了“關(guān)鍵”與“非關(guān)鍵”混為一談。

根據(jù)“條例”中明確的“關(guān)鍵信息基礎(chǔ)設(shè)施范圍”，CII可區(qū)分為“網(wǎng)絡(luò)設(shè)施”與“信息系統(tǒng)”。筆者認(rèn)為二者并不平等，要區(qū)別對(duì)待，有所側(cè)重。網(wǎng)絡(luò)設(shè)施偏物理資產(chǎn)，信息系統(tǒng)偏軟件、數(shù)據(jù)等無(wú)形資產(chǎn)或虛擬資產(chǎn)。在此引用美國(guó)關(guān)鍵基礎(chǔ)設(shè)施（CI）保護(hù)中的提法，他們將CI分為Physical aspect（物理層面）和Cyber/Virtual aspect（網(wǎng)絡(luò)/虛擬層面），這與上述“網(wǎng)絡(luò)設(shè)施”和“信息系統(tǒng)”的分法有一定對(duì)應(yīng)關(guān)系。當(dāng)今社會(huì)，隨著信息網(wǎng)絡(luò)技術(shù)向傳統(tǒng)工業(yè)領(lǐng)域、金融領(lǐng)域等滲透和應(yīng)用，關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要性日益凸顯，網(wǎng)絡(luò)安全的形勢(shì)明顯比傳統(tǒng)物理安全嚴(yán)峻，關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全成為了一種新的影響國(guó)家安全的威脅隱患。因此，美國(guó)所講的CI保護(hù)和我國(guó)提出的CII保護(hù)更多的是對(duì)CI/CII網(wǎng)絡(luò)安全方面的保護(hù)，而非物理安全。物理安全并非不重要，而是因?yàn)閬?lái)自網(wǎng)絡(luò)空間對(duì)CI/CII的攻擊具有級(jí)聯(lián)性、隱蔽性，追根溯源難，其后果和治理難度遠(yuǎn)高于傳統(tǒng)的物理威脅。

事實(shí)上，從美國(guó)官方發(fā)布的大量文件看，幾乎全部側(cè)重于CI的網(wǎng)絡(luò)安全保護(hù)，時(shí)間越靠后越如此。通過(guò)全文學(xué)習(xí)“條例”不難發(fā)現(xiàn)，不僅明確提出“關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”，通篇談?wù)摰亩际荂II的網(wǎng)絡(luò)安全保護(hù)問(wèn)題，而不是突出其物理安全保護(hù)。包括在開(kāi)展CII安全檢測(cè)評(píng)估時(shí)也是委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)進(jìn)行技術(shù)檢測(cè)。從“指南”和“指標(biāo)體系”這兩部國(guó)標(biāo)的“規(guī)范性引用文件”來(lái)看，幾乎引用的都是信息安全方面的國(guó)家標(biāo)準(zhǔn)，如《信息安全技術(shù)信息安全等級(jí)保護(hù)基本要求》（GB/T 22239-2015）、《信息安全技術(shù)信息安全保障指標(biāo)體系及評(píng)價(jià)方法》（GB/T 31495.2-2015）等。這印證了網(wǎng)絡(luò)安全（信息安全）是我國(guó)開(kāi)展CII安全保護(hù)的重點(diǎn)，因此，在CII具體的保護(hù)對(duì)象上，應(yīng)側(cè)重“信息系統(tǒng)”。

供應(yīng)鏈?zhǔn)侵笍墓?yīng)商到制造商，再到分銷商、零售商直至最終用戶的一個(gè)完整鏈條，體現(xiàn)了從原材料采購(gòu)到制造再到生產(chǎn)、銷售的完整周期。眾所周知，在信息技術(shù)、計(jì)算機(jī)技術(shù)領(lǐng)域我國(guó)面臨“缺芯少魂”的局面（中國(guó)工程院倪光南院士反復(fù)強(qiáng)調(diào)）。“芯”即芯片，“魂”即操作系統(tǒng)，以及工業(yè)基礎(chǔ)軟件和工業(yè)設(shè)計(jì)仿真軟件。這就決定了我國(guó)的CII面臨較大的供應(yīng)鏈風(fēng)險(xiǎn)，后門、漏洞、特洛伊木馬嚴(yán)重威脅CII安全。正因?yàn)榇耍皸l例”單設(shè)“產(chǎn)品與服務(wù)安全”章，針對(duì)采購(gòu)的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及外包開(kāi)發(fā)的系統(tǒng)、軟件等制定了相關(guān)制度，解決的就是供應(yīng)鏈安全問(wèn)題。如“運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)外包開(kāi)發(fā)的系統(tǒng)、軟件，接受捐贈(zèng)的網(wǎng)絡(luò)產(chǎn)品，在其上線應(yīng)用前進(jìn)行安全檢測(cè)”。不僅如此，“指南”提出要收集產(chǎn)品、服務(wù)供應(yīng)商的信息和產(chǎn)品服務(wù)供應(yīng)商相關(guān)人員的信息，包括組織架構(gòu)、崗位設(shè)置、人員姓名、手機(jī)、郵箱等。這些突破CII運(yùn)營(yíng)商的大門，沿著供應(yīng)鏈延伸的管理觸角，看似“管的寬”，實(shí)則告訴我們“供應(yīng)鏈就是風(fēng)險(xiǎn)鏈”，管不好供應(yīng)鏈的安全是不完善的安全。

所謂“產(chǎn)業(yè)鏈安全”是從CII運(yùn)營(yíng)商在整個(gè)產(chǎn)業(yè)鏈或行業(yè)中扮演的角色，以及不同行業(yè)間相互依賴關(guān)系的角度來(lái)反觀對(duì)自身CII安全的需求。說(shuō)白了，就是自己出了問(wèn)題會(huì)對(duì)外界有哪些影響。例如CII領(lǐng)域中的化工業(yè)，一般化工業(yè)分為化學(xué)品原材料生產(chǎn)、加工的上游行業(yè)，和化學(xué)品深加工以及經(jīng)銷、零售的下游行業(yè)。很顯然，一旦上游行業(yè)出問(wèn)題必將影響下游行業(yè)。又如，從不同行業(yè)相互依賴的角度看。化工業(yè)為污水凈化提供化學(xué)物質(zhì)消毒、為能源業(yè)和運(yùn)輸業(yè)提供化石燃料、為信息技術(shù)產(chǎn)業(yè)提供芯片和集成電路制造的原材料等。站在相互聯(lián)系的角度把這些問(wèn)題分析清楚了就明白確保自身和整個(gè)行業(yè)CII安全的高度重要性，從而制定針對(duì)性的保護(hù)措施。

在這個(gè)問(wèn)題上，美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院NIST為關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全制定的“網(wǎng)絡(luò)安全框架”（Cybersecurity Framework）也體現(xiàn)了對(duì)供應(yīng)鏈、產(chǎn)業(yè)鏈進(jìn)行整體管理的思想。“框架”將與關(guān)鍵基礎(chǔ)設(shè)施企業(yè)有關(guān)的供應(yīng)商、大客戶和企業(yè)的合作伙伴并稱為“stakeholders”——利益相關(guān)者，即將三者作為一個(gè)整體。例如“框架”就規(guī)定了“風(fēng)險(xiǎn)管理流程被建立、管理以及被企業(yè)的利益相關(guān)者同意”，“外部服務(wù)提供商的活動(dòng)被監(jiān)控以檢測(cè)潛在的網(wǎng)絡(luò)安全事件”，以及“企業(yè)在關(guān)鍵基礎(chǔ)設(shè)施和它的工業(yè)領(lǐng)域中的地位被辨識(shí)和理解”。這些規(guī)定都體現(xiàn)了“內(nèi)”和“外”的協(xié)調(diào)一致，即一個(gè)企業(yè)的網(wǎng)絡(luò)安全問(wèn)題既要考慮自身的需求，也要考慮外部（供應(yīng)鏈、產(chǎn)業(yè)鏈、行業(yè)領(lǐng)域）的需求，將二者統(tǒng)籌兼顧，并取得協(xié)調(diào)一致，它體現(xiàn)了圍繞供應(yīng)鏈安全和產(chǎn)業(yè)鏈安全的體系化保護(hù)思想。

此外，在制度設(shè)計(jì)方面，“指南”提出安全管理制度要成體系化建設(shè)，這個(gè)“體系”包含：日常工作規(guī)范、安全配置標(biāo)準(zhǔn)、業(yè)務(wù)連續(xù)性計(jì)劃、應(yīng)急預(yù)案等。這也是體系化保護(hù)思想的體現(xiàn)。

所謂“硬安全”是指具有可測(cè)指標(biāo)或有承載實(shí)體的對(duì)象安全，“軟安全”是指人員思想意識(shí)、規(guī)章制度的建立與落實(shí)等看不見(jiàn)、難以測(cè)度的安全事宜。國(guó)標(biāo)“指標(biāo)體系”中有多個(gè)可測(cè)的指標(biāo)，如安全漏洞數(shù)量、有害程序事件數(shù)、網(wǎng)絡(luò)攻擊事件數(shù)、信息破壞事件數(shù)等10余項(xiàng)，還有安全管理人才隊(duì)伍情況（通過(guò)統(tǒng)計(jì)從業(yè)人員網(wǎng)絡(luò)安全培訓(xùn)規(guī)模、通過(guò)網(wǎng)絡(luò)安全資質(zhì)測(cè)試的從業(yè)人員數(shù)量來(lái)計(jì)算）、攻擊破壞防護(hù)能力情況（通過(guò)統(tǒng)計(jì)通過(guò)系統(tǒng)安全測(cè)評(píng)和建立了網(wǎng)絡(luò)信任體系的信息系統(tǒng)數(shù)來(lái)計(jì)算）、安全監(jiān)測(cè)能力（通過(guò)統(tǒng)計(jì)建立安全監(jiān)測(cè)預(yù)警體系和開(kāi)展風(fēng)險(xiǎn)評(píng)估的系統(tǒng)數(shù)量來(lái)計(jì)算）等。這些安全指標(biāo)都是客觀、量化、可測(cè)的，有看得見(jiàn)的數(shù)量、摸得著的系統(tǒng)，能操作的軟件，屬于硬安全指標(biāo)。然而，影響CII安全的因素不止這些，還有人員的安全意識(shí)、安全責(zé)任落實(shí)情況、安全標(biāo)準(zhǔn)執(zhí)行情況、安全發(fā)展規(guī)劃制定情況以及關(guān)鍵崗位人員背景審查情況等，這些都是偏主觀、見(jiàn)于思想和難以量化的。對(duì)這些指標(biāo)的檢查需要檢查方、安全管理負(fù)責(zé)人深入研究、長(zhǎng)期觀察，及采用問(wèn)卷調(diào)查、談心談話等方法。如“指南”提出的“安全意識(shí)測(cè)試”采用發(fā)放安全意識(shí)調(diào)查問(wèn)卷、測(cè)試安全常識(shí)掌握情況，和向相關(guān)人員發(fā)送無(wú)害的釣魚(yú)郵件、釣魚(yú)短信等方式檢測(cè)其安全意識(shí)。此外，在CII安全保護(hù)中還應(yīng)注意外防與內(nèi)防相結(jié)合。外防即我們經(jīng)常講的防御來(lái)自外部網(wǎng)絡(luò)或從外界侵入的惡意攻擊、病毒植入、拒絕服務(wù)攻擊等。內(nèi)防則是對(duì)單位內(nèi)部的從業(yè)人員利用職務(wù)和所掌握的資源優(yōu)勢(shì)從事有害CII安全的行為的防范。“條例”、“指南”、“指標(biāo)體系”均提出“要對(duì)關(guān)鍵崗位人員進(jìn)行安全背景審查”的要求。此外還應(yīng)采用授權(quán)管理、訪問(wèn)控制的技術(shù)措施，貫徹權(quán)限最低、職責(zé)分離的原則，以及建立健全機(jī)房出入記錄、網(wǎng)絡(luò)安全日志留存、人員離職審查等制度，加強(qiáng)對(duì)人員行為的監(jiān)管。

來(lái)源：網(wǎng)信軍民融合