如何保障关键信息基础设施安全？听听业内大咖们怎么说

本篇文章1526字，读完约4分钟

经济日报-中国经济网天津9月18日-关键的信息基础设施是经济和社会运行的神经中枢和网络安全的重中之重。然而，基础设施中系统的大规模集成和互联使得基础设施的脆弱性和安全威胁不再是简单的线性叠加。面对有组织的高强度攻击，关键信息基础设施面临巨大挑战。因此，迫切需要建立一个已知、可信、可控和智能保护的网络安全系统。随着《网络安全法》等相关法律政策的颁布，检测和评估关键信息基础设施的安全风险势在必行。

图为全国网络安全宣传周“重点信息基础设施安全保护论坛”网站。

2019年9月17日，全国网络安全宣传周“重点信息基础设施安全保护论坛”在天津举行。本次论坛由天津市网络信息办主办，国家计算机网络应急技术处理协调中心承办，国家计算机网络应急技术处理协调中心天津分会和祁安信集团协办，主题为“关键信息基础设施的安全防护、检查和评估”。与会专家全面介绍了我国重点信息基础设施保护和检查的现行政策、标准和做法，讨论了金融、能源、电力、通信和交通等领域重点信息基础设施面临的最新变化。

“通过技术和管理手段的结合，构建关键信息基础设施的安全管理秩序，维护网络空.的有序运行”国家互联网应急中心关键信息基础设施安全保护专家杨鹏表示，一方面，要综合运用管理、技术、法律、宣传等手段加强内部能力建设，如识别、保护、监控、预警、检测、响应、处置等环节，建立与管理理念相适应的技术平台；另一方面，建立分级防御体系，依靠全社会为关键信息基础设施建立外部保护屏障。

根据银行业重点信息基础设施安全保护的实践经验，中国人民银行网络安全专家袁会平认为，重点信息基础设施的保护应从坚持自我控制、不断完善风险管理模式、完善跨部门互联网协同安全体系、不断完善配置基线文件管理系统等安全评估问题整改长效机制、重视终端安全管理等五个方向入手。

“85%以上的网络安全事件威胁来自终端，因此应更加重视终端安全管理，建立统一策略控制、统一资产管理、统一数据显示的综合终端安全管理系统。实现本地化、集成、战略、标准化和可视化。”袁会平说道。

祁安信的安全专家韩永刚认为，网络空面临的安全问题与过去不同，比如对手的组织、环境的“云”、目标的数据和实战方法。目前，新一代信息化建设以数据共享为基础，数据和业务应用成为攻击者的新目标。

“网络安全不再是一个创可贴，一个检查员，而是一个帮助企业准备和做好业务支持工作的角色。”韩永刚表示，网络安全需要向内生安全时代演进，安全能力应建立在关键基础设施单元内的信息环境和业务系统之上，以确保信息环境安全能力的增长，实现自适应、自主和自我成长。“通过‘关口前移’，实现安全和信息化的深度融合和全面覆盖，构建信息系统的‘内生安全’能力，为信息投资和业务运营提供保障。”

国家互联网应急中心网络安全检查与评估专家陈亮表示，在对关键信息基础设施实施网络安全检查时，要避免检查对象不明确、监管责任模糊、检查重叠、办理手续、只检查不负责任等可能出现的问题。各行业主管部门要按照《网络安全法》的规定，在监管范围内，认真清理本行业(包括下属单位)和网络运营商，组织抽查，确定检查对象，明确检查项目，并组织实施

与此同时，论坛还发布了一个关键信息基础设施安全检查和评估技术支持平台。该平台由国家互联网应急中心组织开发，通过资产管理、漏洞评估和威胁检测等手段，完成关键信息基础设施的安全检查、风险评估和可视化展示。同时，通过与国家监测平台的威胁情报和知识库对接，可以动态、实时地完成应急协调、威胁情报获取、信息流和防护规则更新等信息交换，实现关键信息基础设施网络安全风险快速发现和处置的协同闭环，帮助关键信息基础设施及时发现网络威胁，提高关键信息基础设施网络安全检查和评估能力。