国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

首先，要將CII從普遍的、一般的信息基礎設施中區分出來。在“指南”的檢查評估流程中明確了CII的范圍：調研和梳理檢查評估對象的關鍵業務，確定支撐關鍵業務運行的基礎設施。這樣的基礎設施就是CII。同樣，相關學者在《關鍵信息基礎設施邊界識別刻不容緩》一文中提出的依關鍵業務來判斷CII，以及依業務鏈（信息流）來將相互聯系的CII“順藤摸瓜”排查出來，這都體現了從關鍵業務到CII的思想方法。而關鍵業務的確定，可從關鍵信息基礎設施運營機構的戰略任務、目標使命中導出，這應該是比較明確的。將關鍵業務從一般化的業務中剝離出來了，就能將CII從普通的信息基礎設施或基礎設施中分離出來，避免了“關鍵”與“非關鍵”混為一談。

根據“條例”中明確的“關鍵信息基礎設施范圍”，CII可區分為“網絡設施”與“信息系統”。筆者認為二者并不平等，要區別對待，有所側重。網絡設施偏物理資產，信息系統偏軟件、數據等無形資產或虛擬資產。在此引用美國關鍵基礎設施（CI）保護中的提法，他們將CI分為Physical aspect（物理層面）和Cyber/Virtual aspect（網絡/虛擬層面），這與上述“網絡設施”和“信息系統”的分法有一定對應關系。當今社會，隨著信息網絡技術向傳統工業領域、金融領域等滲透和應用，關鍵基礎設施網絡安全的重要性日益凸顯，網絡安全的形勢明顯比傳統物理安全嚴峻，關鍵基礎設施的網絡安全成為了一種新的影響國家安全的威脅隱患。因此，美國所講的CI保護和我國提出的CII保護更多的是對CI/CII網絡安全方面的保護，而非物理安全。物理安全并非不重要，而是因為來自網絡空間對CI/CII的攻擊具有級聯性、隱蔽性，追根溯源難，其后果和治理難度遠高于傳統的物理威脅。

事實上，從美國官方發布的大量文件看，幾乎全部側重于CI的網絡安全保護，時間越靠后越如此。通過全文學習“條例”不難發現，不僅明確提出“關鍵信息基礎設施在網絡安全等級保護制度基礎上，實行重點保護”，通篇談論的都是CII的網絡安全保護問題，而不是突出其物理安全保護。包括在開展CII安全檢測評估時也是委托網絡安全服務機構進行技術檢測。從“指南”和“指標體系”這兩部國標的“規范性引用文件”來看，幾乎引用的都是信息安全方面的國家標準，如《信息安全技術信息安全等級保護基本要求》（GB/T 22239-2015）、《信息安全技術信息安全保障指標體系及評價方法》（GB/T 31495.2-2015）等。這印證了網絡安全（信息安全）是我國開展CII安全保護的重點，因此，在CII具體的保護對象上，應側重“信息系統”。

供應鏈是指從供應商到制造商，再到分銷商、零售商直至最終用戶的一個完整鏈條，體現了從原材料采購到制造再到生產、銷售的完整周期。眾所周知，在信息技術、計算機技術領域我國面臨“缺芯少魂”的局面（中國工程院倪光南院士反復強調）?！靶尽奔葱酒盎辍奔床僮飨到y，以及工業基礎軟件和工業設計仿真軟件。這就決定了我國的CII面臨較大的供應鏈風險，后門、漏洞、特洛伊木馬嚴重威脅CII安全。正因為此，“條例”單設“產品與服務安全”章，針對采購的網絡產品和服務以及外包開發的系統、軟件等制定了相關制度，解決的就是供應鏈安全問題。如“運營者應當對外包開發的系統、軟件，接受捐贈的網絡產品，在其上線應用前進行安全檢測”。不僅如此，“指南”提出要收集產品、服務供應商的信息和產品服務供應商相關人員的信息，包括組織架構、崗位設置、人員姓名、手機、郵箱等。這些突破CII運營商的大門，沿著供應鏈延伸的管理觸角，看似“管的寬”，實則告訴我們“供應鏈就是風險鏈”，管不好供應鏈的安全是不完善的安全。

所謂“產業鏈安全”是從CII運營商在整個產業鏈或行業中扮演的角色，以及不同行業間相互依賴關系的角度來反觀對自身CII安全的需求。說白了，就是自己出了問題會對外界有哪些影響。例如CII領域中的化工業，一般化工業分為化學品原材料生產、加工的上游行業，和化學品深加工以及經銷、零售的下游行業。很顯然，一旦上游行業出問題必將影響下游行業。又如，從不同行業相互依賴的角度看?；I為污水凈化提供化學物質消毒、為能源業和運輸業提供化石燃料、為信息技術產業提供芯片和集成電路制造的原材料等。站在相互聯系的角度把這些問題分析清楚了就明白確保自身和整個行業CII安全的高度重要性，從而制定針對性的保護措施。

在這個問題上，美國國家標準技術研究院NIST為關鍵基礎設施的網絡安全制定的“網絡安全框架”（Cybersecurity Framework）也體現了對供應鏈、產業鏈進行整體管理的思想。“框架”將與關鍵基礎設施企業有關的供應商、大客戶和企業的合作伙伴并稱為“stakeholders”——利益相關者，即將三者作為一個整體。例如“框架”就規定了“風險管理流程被建立、管理以及被企業的利益相關者同意”，“外部服務提供商的活動被監控以檢測潛在的網絡安全事件”，以及“企業在關鍵基礎設施和它的工業領域中的地位被辨識和理解”。這些規定都體現了“內”和“外”的協調一致，即一個企業的網絡安全問題既要考慮自身的需求，也要考慮外部（供應鏈、產業鏈、行業領域）的需求，將二者統籌兼顧，并取得協調一致，它體現了圍繞供應鏈安全和產業鏈安全的體系化保護思想。

此外，在制度設計方面，“指南”提出安全管理制度要成體系化建設，這個“體系”包含：日常工作規范、安全配置標準、業務連續性計劃、應急預案等。這也是體系化保護思想的體現。

所謂“硬安全”是指具有可測指標或有承載實體的對象安全，“軟安全”是指人員思想意識、規章制度的建立與落實等看不見、難以測度的安全事宜。國標“指標體系”中有多個可測的指標，如安全漏洞數量、有害程序事件數、網絡攻擊事件數、信息破壞事件數等10余項，還有安全管理人才隊伍情況（通過統計從業人員網絡安全培訓規模、通過網絡安全資質測試的從業人員數量來計算）、攻擊破壞防護能力情況（通過統計通過系統安全測評和建立了網絡信任體系的信息系統數來計算）、安全監測能力（通過統計建立安全監測預警體系和開展風險評估的系統數量來計算）等。這些安全指標都是客觀、量化、可測的，有看得見的數量、摸得著的系統，能操作的軟件，屬于硬安全指標。然而，影響CII安全的因素不止這些，還有人員的安全意識、安全責任落實情況、安全標準執行情況、安全發展規劃制定情況以及關鍵崗位人員背景審查情況等，這些都是偏主觀、見于思想和難以量化的。對這些指標的檢查需要檢查方、安全管理負責人深入研究、長期觀察，及采用問卷調查、談心談話等方法。如“指南”提出的“安全意識測試”采用發放安全意識調查問卷、測試安全常識掌握情況，和向相關人員發送無害的釣魚郵件、釣魚短信等方式檢測其安全意識。此外，在CII安全保護中還應注意外防與內防相結合。外防即我們經常講的防御來自外部網絡或從外界侵入的惡意攻擊、病毒植入、拒絕服務攻擊等。內防則是對單位內部的從業人員利用職務和所掌握的資源優勢從事有害CII安全的行為的防范。“條例”、“指南”、“指標體系”均提出“要對關鍵崗位人員進行安全背景審查”的要求。此外還應采用授權管理、訪問控制的技術措施，貫徹權限最低、職責分離的原則，以及建立健全機房出入記錄、網絡安全日志留存、人員離職審查等制度，加強對人員行為的監管。

來源：網信軍民融合