为了更好地在关键信息基础设施网络安全保护工作中发挥安全企业的作用，天融信持续对关键信息基础设施网络安全保护相关政策、标准进行跟踪和分析，结合自身实践经验，对关键信息基础设施网络安全保护工作内容和落地方法进行了详细梳理。本文既是对近期研究成果的简要汇报，也是对后续切实开展落地工作的初步建议，希望能够起到抛砖引玉的作用。

• “关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。” -《中华人民共和国网络安全法》

• “公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或数据泄露，可能严重危害国家安全、国计民生、公共利益的信息设施。” -《信息安全技术 关键信息基础设施网络安全保护基本要求》（报批稿）（2019.11.05）

• 重点防护是指在做好网络安全等级保护工作的基础上，继续加强对CII关键业务的安全保护；

• 整体防护是指CII实际业务往往是由多个网络和信息系统共同支撑的（如下图所示），所以需要全面、综合考虑CII的安全防护措施及策略；

• 动态风控是指按照风险管理的指导思想，根据CII所面临的实时安全风险对其安全控制措施进行动态调整，以及时有效的防范应对安全风险；

• 协同参与是指所有CII安全保护所涉及的利益相关方需要共同参与到CII的安全保护工作中。

每个环节的主要工作内容分别如下：

1、识别认定

围绕CII承载的关键业务，开展业务依赖性识别、风险识别等活动。要点如下：

对于关键业务的识别认定，尚无正式标准，目前主要参考中央网信办下发的《关键信息基础设施确定指南（试行）》进行初步确定。之后便是要识别支持关键业务持续、稳定运行所必须的网络设施、信息系统，即CII边界识别，相关国家标准（《信息安全技术 关键信息基础设施边界确定方法》）正在制定当中。

在资产识别和风险识别这两个活动中主要应用动态风控的思想，对CII涉及的要素进行专业的安全风险分析。该工作的主要参考依据为GB/T 20984《信息安全技术-信息安全风险评估规范》以及《信息安全技术 关键信息基础设施安全检查评估指南》中给出的方法、流程和内容。最终输出CII差距分析报告、资产梳理清单、现有安全策略、现有组织架构、现有管理制度等，并为后续安全保护计划报告提供重要支撑。

2、安全防护

根据已识别的安全风险，制定并实施安全控制措施，确保CII的运行安全。要点如下：

一方面需要基于关键业务链、供应链等安全需求以及CII的安全风险来建立和改进CII的安全策略、安全管理制度、安全管理机构以及进行人员安全管理。另一方面需要在等级保护基础上建立新型威胁（如APT攻击）主动防御机制、加强安全审计机制（留存相关日志数据不少于12个月）以及使用自动化工具来支持系统账户、配置、漏洞、补丁、病毒库等的管理。对于漏洞、补丁，应在经过验证后及时修补。

3、检测评估

检验安全防护措施的有效性，发现网络安全风险隐患，制定相应的检测评估制度，确定检测评估的流程及内容等要素，并分析潜在安全风险可能引起的安全事件。要点如下：

该环节工作重点是建立周期性CII安全检测评估制度和机制。

4、监测预警

制定并实施网络安全监测预警和信息通报制度，针对即将发生或正在发生的网络安全事件或威胁，提前或及时发出安全警示。要点如下：

在建立监测预警制度的同时，应采用自动化机制对关键业务所涉及的信息系统的所有监测信息和关键业务运行所涉及的各类信息进行整合和关联分析，以便及时掌握CII的整体安全态势，在此基础上构建完整的CII网络安全态势感知和监测预警体系。

5、事件处置

对网络安全事件进行处置，并根据检测评估、监测预警环节发现的问题，制定并实施适当的应对措施，恢复由于网络安全事件而受损的功能或服务。要点如下：

主要工作包括建立事件管理制度、应急预案、业务连续性管理和容灾备份制度等。

作为中国网络安全的领军企业，天融信始终秉持“中国领先的网络安全、大数据与安全云服务提供商”的企业愿景，以“民族安全产业的领导者、领先安全技术的创造者、数字时代安全的赋能者”为企业目标，不断坚持创新发展，全面提升自主创新能力与核心竞争力，为关键信息基础设施网络安全保护提供优秀的解决方案和专业的产品及服务，为维护国家网络空间安全贡献企业力量。