關鍵信息基礎設施是國家的重要資產，《網絡安全法》明確規定要對其實行重點保護。為落實法律要求，2017 年 7 月 10 日，國家互聯網信息辦公室發布了《關鍵信息基礎設施安全保護條例（征求意見稿）》，劃定了關鍵信息基礎設施的保護范圍，明確了各相關部門的安全保護職責，規定了安全保護的基本制度。當前，我國正加快構建關鍵信息基礎設施安全保護體系，與此同時，應把握好以下幾個要點。

?

?

一

界定關鍵信息基礎設施概念

?

這是對關鍵信息基礎設施進行安全保護的前提。

?

國際上有關鍵基礎設施和關鍵信息基礎設施兩個概念。關鍵基礎設施是指對國家至關重要的系統和資產，一旦遭受破壞或毀滅，將對國家安全、經濟命脈、公民的健康安全等造成嚴重損害。

?

關鍵信息基礎設施是指對關鍵基礎設施自身至關重要或者其運行必不可少的信息通信系統，這些系統處理、接收、存儲電子信息。

?

近年來，隨著信息技術的普及和廣泛應用，關鍵基礎設施保護重點從物理保護轉向網絡安全保護，關鍵基礎設施和關鍵信息基礎設施之間的界限日益模糊。我國《關鍵信息基礎設施安全保護條例（征求意見稿）》采用關鍵信息基礎設施的概念，是符合這一趨勢的。

?

二

明確關鍵信息基礎設施具體范疇

?

這是關鍵信息基礎設施安全保護的關鍵步驟。

?

要實施保護必須明確哪些設施是“關鍵的”、“應當予以重點保護的”。

?

從美歐的經驗看，識別認定關鍵信息基礎設施通常按照“關鍵領域—關鍵業務—支撐關鍵業務所需資源”的方法進行。確定關鍵領域的工作由政府主導， 多通過法律政策明確規定，如美國經過不斷調整和完善，2013 年第 21 號總統令《提高關鍵基礎設施的安全性和恢復力》確定了包括化工、商業設施、通信、關鍵制造等在內的 16 類關鍵領域。關鍵業務和支撐關鍵業務所需資源的識別認定，需要依據一定的標準和程序進行，美國、歐盟都建立了基于后果的識別認定標準。美國在識別認定方面主要考慮死亡情況、經濟損失、大規模撤離和國家安全影響四個方面。

?

我國《關鍵信息基礎設施安全保護條例（征求意見稿）》明確劃定了關鍵信息基礎設施范圍，但是對于這些范圍中包含哪些關鍵設施，還需要進一步明確。參考美歐的做法，可以發展基于安全事件影響或后果的識別認定標準，逐步建立行業的、國家的關鍵信息基礎設施清單。

?

?

三

制定關鍵信息基礎設施安全保護標準規范

?

從美國、歐盟等經驗看，標準規范是加強關鍵信息基礎設施安全保護的一項重要舉措。例如，美國 2013 年發布了關鍵基礎設施網絡安全框架，多方面加強網絡安全風險管理；今年 5 月又發布了《聯邦機構實施網絡安全框架指南》草案。

?

我國《網絡安全法》和《關鍵信息基礎設施安全保護條例（征求意見稿）》都明確規定要求運營者按照國家標準的強制性要求履行相關安全保護義務，但目前我國尚未建立關鍵信息基礎設施安全保護標準規范體系。應當結合國際國內現有網絡安全管理標準，制定相關標準規范，進一步明確和細化所有者和運營者的安全保護義務，促進其加強網絡安全風險管理。

?

四

提高態勢感知、應急響應和恢復能力

?

關鍵信息基礎設施是網絡防御的核心，建立有韌性的網絡防御體系是各國的戰略目標。

?

如美國 2003 年《網絡空間安全國家戰略》曾提出，要確保信息系統在受到攻擊的情況下還可以運行，并能很快恢復所有運行；第 21 號總統令《提高關鍵基礎設施的安全性和恢復力》 要求國土安全部具備對關鍵基礎設施實時的態勢感知能力。

?

不僅如此，美國還在以下四個方面采取了相關舉措。

?

?

1.開發和部署先進性的技術，如2011年美國《聯邦網絡空間安全研發戰略規劃》，提出重點發展具有“改變游戲規則”潛力的革 命性技術，并確定了四個研發主題。

?

?

2.部署動態風險評估系統，如美國在聯邦機構部署愛因斯坦2和愛因斯坦3，并在各網絡運行中心啟用并支持共享的風險感知和協作。

?

?

3.加強公私合作和安全威脅信息共享，如美國將共享網絡安全威脅信息和共同處理危機事件作為關鍵信息基礎設施合作的主要內容。

?

?

4.規劃和執行對網絡安全事件的協調反應，通過定期的實戰演練，增強安全事件發生后的響應和恢復能力。

?

建立我國關鍵信息基礎設施網絡安全監測預警體系、提升關鍵信息基礎設施應急響應和恢復能力，是當務之急。我國《關鍵信息基礎設施安全保護條例（征求意見稿）》第六章專門對監測預警、應急處置等作出了規定。但監測預警體系應當包含幾個層面、各方主體如何參與、如何建設等，這些問題還處于不夠清晰的狀態，需要進一步明確；需要建立健全政府、行業和企業信息共享機制，建設共享平臺；應急響應和恢復能力需要一方面建立應急協調指揮機制，另一方面需要深入開展跨部門、跨行業的網絡安全應急演練，在實戰中提升事件處置協同配合能力。

?

RVA產品功能與解決方案，詳詢400 100 6790。

?

?

杭州世平信息科技有限公司（簡稱“世平信息”），致力于智能化數據管理與應用的深入開拓和持續創新，為用戶提供數據安全、數據治理、數據共享和數據利用解決方案，幫助用戶切實把握大數據價值與信息安全。

?

?

?

?

總結

以上是生活随笔為你收集整理的关键信息基础设施（RVA）安全保护要点分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。