環顧全球，網絡安全風險不斷向政治、經濟、文化、社會、生态、國防等領域傳導滲透，網絡安全風險态勢一直處于高位運行狀态。而金融、能源、電力、通信、交通等領域關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目标。“十四五”期間，國家正在加快構建以國内大循環為主體、國内國際雙循環相互促進的新發展格局，每年有政治、經濟、文化、國防等重大活動，加之适逢春節、國慶等重要節假日，國内外黑客組織活動頻繁，給各關鍵信息基礎設施運營者的網絡安全保障帶來新的挑戰。

　　一、美國二十五年來關鍵基礎設施保護政策演進

　　1996年美國總統克林頓簽署第13010号行政令《關鍵基礎設施保護》，拉開了以美國關鍵基礎設施保護為重點的網絡安全工作曆史大幕。在這二十五年間，美國曆經5任總統，圍繞關鍵基礎設施保護先後發布一系列戰略、法律、規劃、行政令、總統令。通過對二十五年來發布的相關政策文件的研究，可以将美國關鍵基礎設施保護分為四個階段，即定目标、劃範圍、建體系、強執行。

　　二、公路水路關鍵信息基礎設施運營者保護工作的轉變

　　（一）保護難度轉變，需提供網絡戰持續應對能力

　　結合美國關鍵信息基礎設施保護的理念與經驗，公路水路關鍵信息基礎設施是國家網絡安全的重要組成部分，也是網絡戰的重點攻擊目标，需要對關鍵信息基礎設施進行全天候、全方位的保護，以應對悄無聲息的網絡戰。

　　（二）保護原則轉變，需以“三化六防”做為新理念

　　與等級保護注重“一中心、三重防護”的整體安全保護體系不同，公路水路關鍵信息基礎設施保護應立足于應對大規模網絡攻擊威脅，加強安全保衛、保護和保障，按照實戰化、體系化、常态化要求，落實動态防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控措施,強化技術保護和管理措施。

　　（三）保護要求轉變，需構建網絡安全綜合防禦體系

　　與等級保護規定的從第一級到第四級等級保護對象的安全通用要求和安全擴展要求不同，公路水路關鍵信息基礎設施保護應在等級保護基礎上從分析識别、安全防護、檢測評估、監測預警、技術對抗、事件處置等環節，進一步提出關鍵信息基礎設施保護要求，需采取一切必要措施保護關鍵信息基礎設施安全穩定運行和維護數據的完整性、保密性、可用性。

　　三、公路水路關鍵信息基礎設施運營者保護工作的重點

　　結合美國關鍵信息基礎設施保護的理念與經驗，誰主管誰負責、屬地管理的原則，公路水路關鍵信息基礎設施運營者履行安全保護管理的主體責任，在組織制度、安全規劃、安全建設、安全運行等方面落實防護措施、加強全生命周期管理。

　　（一）加強組織與制度保障

　　《關鍵信息基礎設施安全保護條例》明确規定關鍵信息基礎設施保護工作是一把手負責制，要強化主動擔當意識，真正把擔子擔起來。同時，組織保障和制度保障還要求運營者建立專門的安全管理機構，負責落實具體的安全保護工作，制定網絡安全規劃和實施計劃，構建全局統一的網絡安全體系，推動跨區域、跨部門、跨行業的合作。

　　（二）安全規劃為運營者提供體系化保護框架

　　長期以來，關鍵信息基礎設施保護等網絡安全頂層設計缺少統一指導和規範，存在質量參差不齊、形式繁雜多樣、規劃和建設内容不一緻、落地效果較差等諸多問題。因此，要以全景視角，采取企業架構（如TOGAF）的思路方法進行關鍵信息基礎設施保護安全架構的設計，科學、合理地規劃、實施關鍵信息基礎設施保護相關工程項目。在設計公路水路關鍵信息基礎設施保護安全規劃時，應結合運營者的組織結構、業務服務、IT基礎設施等實際情況，采取科學的設計原則，區分輕重緩急、合理配置資源，從業務發展和網絡安全相互促進的戰略全局出發，制定個性化的公路水路關鍵信息基礎設施保護實施路徑和工作框架。

　　（三）安全建設為運營者提供常态化保護措施

　　分析識别：從攻擊預測角度，運營者開展公路水路關鍵信息基礎設施資産發現，梳理基礎資産信息、基礎設備開放端口信息、基礎設備部署應用類型等，掌握IT基礎設施資産運行情況，充分利用漏洞情報，第一時間确認資産漏洞并進行修複。

　　安全防護：從基礎工作入手，遵照網絡安全等級保護要求、信息系統密碼應用保護要求等，運營者以等級保護測評、商用密碼應用與安全評估、網絡安全檢查等方式識别可能存在的安全差距和風險，采取有效的技術措施，保障IT基礎設施的網絡安全、數據安全等，做到網絡安全合規基線與公路水路關鍵信息基礎設施安全保護的銜接。

　　檢測評估：運營者開展對公路水路關鍵信息基礎設施的IT基礎設施的網絡安全基線評估，發現并加固存在的安全風險和防護短闆，降低安全風險，強化動态訪問控制，杜絕越權訪問造成的安全威脅。

　　監測預警：運營者設立專門的網絡事件應急響應小組，統籌協調内部資源，建立網絡安全威脅的信息共享機制和網絡安全事件的快速發現和協同處置機制；制定完善的應急響應預案如網絡事件分級制度，規定網絡安全事件的級别，發現、報告、評估和響應安全事件流程；加強核心技術支撐能力，包括搭建安全運營團隊、構建應急響應中心等。

　　技術對抗：公路水路關鍵信息基礎設施面臨的是一個網絡攻擊活動日益猖獗的網絡環境，也是國家級網絡攻擊的重要目标，從發現高級網絡攻擊角度，運營者充分協同監管單位、保護單位、安全廠商等外部力量，以專業的安全技術保障和服務團隊對安全事件進行分析研判、溯源取證，降低MTTD（平均檢測時間）與MTTR（平均響應時間），不斷提高攻擊者的攻擊成本。

　　事件處置：運營者增強應急響應和事件處置能力，抑制威脅擴散、清除安全漏洞、恢複業務運行，形成處置報告；定期通報安全事件，傳達預警信息，提供安全建議；重點時期開展攻防演練，檢驗網絡安全體系的健壯性。

　　（四）安全運行為運營者提供實戰化保護機制

　　1.落實安全風險專職管理

　　《關鍵信息基礎設施安全保護條例》要求關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估。安全風險管理目标是通過建立有效的風險管控機制，實現安全風險的識别、計量、監測和控制，保障公路水路關鍵信息基礎設施持續、安全、穩定運行。為實現這一目标，運營者需要建立安全風險專職管理的“三道防線”，實現業務部門、網絡安全部門、網絡安全監管部門的齊抓共管：業務部門在網絡安全部門的指導和協同下，制定安全風險的具體管控措施；網絡安全部門負責檢查業務部門管控措施是否落實到位，通過監督、建議、指導、分析風險管理相關的事項，确保實施合适的風險管理和控制措施；網絡安全監管部門定期進行專項或者全面檢查，發現安全漏洞以及潛在的風險，形成風險管控閉環。

　　2.加強攻防技術人員培養

　　公路水路關鍵信息基礎設施安全防護的本質在人與人的對抗，對抗的本質在攻防兩端能力的較量。運營者面臨的一個突出問題就是安全保障人員實戰經驗欠缺，對于突發事件的快速響應能力偏弱。因此，運營者應進一步加強專業攻防技術人員的培養。通過開發網絡安全課程、參加網絡安全競賽、組織紅藍實戰對抗、搭建攻防實訓實驗室、推動校企合作等舉措，健全人才發現、培養、選拔機制。

　　3.實戰化攻防演練檢驗保護工作

　　通過實戰化攻防演練行動，可以強化網絡安全風險意識，發現和整改日常工作中沒有暴露的深層次問題和隐患，切實提升公路水路關鍵信息基礎設施安全保護能力和應急處置水平。運營者可通過實戰化攻防演練推動工作思路創新，例如相對于傳統情況下将安全服務商定位于防守方的角色，可以轉變為将安全服務商分為防守方和攻擊方兩類角色，防守方協助開展安全值守、研判分析、風險排查、應急響應等工作，攻擊方針對核心業務系統、重點集權系統、外網暴露設備開展有序的網絡攻擊。以攻擊方作為矛，防守方的作為盾的演練，更加貼近實戰，真正将攻防演練做到實戰化和常态化，以檢驗關鍵信息基礎設施保護工作效果。

　　四、結語

　　公路水路關鍵信息基礎設施是“交通強國”戰略的重要支撐，是實現交通運輸高質量發展的重要保障。結合美國二十五年來關鍵基礎設施保護政策，深信服、路雲天網絡安全研究院一起梳理和思考了公路水路關鍵信息基礎設施運營者安全保護的工作轉變和工作重點，為運營者安全保護實踐提供借鑒和參考。（作者：黃亮喨、王少傑、魏彬）

來源：光明日報

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!