关保、等保：当下如何做好中国特色网络安全的重中之重

等级保护是我们国家加强网络安全和信息安全管理的主要方面，在网络安全法当中明确规定了实行等级保护制度，而且明确规定了关键信息基础设施在等级保护的基础上实施重点保护，在2022西湖论剑·网络安全大会的“关键信息基础设施及等级保护”论坛上，我们接触了目前国内关键信息基础设施及等级保护领域的最专业分析。

（以下内容截取自2022西湖论剑·网络安全大会的“关键信息基础设施及等级保护”论坛中各位专家的部分发言，完整大会回放请移步“数说安全”微信视频号观看“直播回放”）

中国计算机学会计算机安全专业委员会主任、公安部第一研究所副所长于锐：

关键信息基础设施是经济社会运行的神经中枢，是网络安全保障的重中之重。纵观层出不穷的网络安全事件，持续不断针对关键信息基础设施的网络攻击已经成为常态，让我们警觉的同时也给了我们很多的启发。没有硝烟的网络攻击正冲击着世界各国，任何国家的关键信息基础设施都是可能遭受重点攻击的目标，复杂的世界格局中没有任何国家可以置身事外，独善其身。

同时在美西方针对我国持续不断的打击和升级的对抗下，我国关键信息基础设施面临的网络安全形势相较其他国家更加严峻复杂，近年来，国内各级各类实网攻防演练也暴露出不少关基保护风险、短板与问题。特别是新冠肺炎发生以来高级持续性威胁、勒索病毒、数据窃取等事件的频发，严重危害了经济社会稳定运行，在一些关键信息基础设施中埋下了隐性危险，为此我国高度重视关键信息基础设施的保护工作。

习近平总书记就此多次做出重要指示，网络安全法、《关键信息基础设施安全保护条例》和相关标准相继出台，关键信息基础设施是国家安全建设和发展的基石已成为共识，作为一项保障国家安全、国际民生和公共利益的重大长期任务，关键信息基础设施保护要树立正确的安全理念，深入分析我国网络安全与关基保护的现状，动员全社会力量从政策、机制、管理、人才到技术、产品、系统以及安全运营服务等各方面，目标导向，多措并举，全方位推进落实习近平总书记的指示精神，落实网络安全法和《关键信息基础设施安全保护条例》。

作为关键信息基础设施运营者的行业、企业要承担起主体防护责任，认真执行重要信息系统等级保护制度，落实公安机关提出的“三化六防”工作要求，监管机构、行业主管部门、科研院所、网络安全企业共同发力，加快构建关键信息基础设施安全保障能力和保障体系，完善关键信息基础设施安全防护的应急机制，提升全天候、全方位网络安全态势感知能力。随着关键信息基础设施新技术、新场景和新应用的不断涌现，还会有更多的安全问题和攻击形态不断浮出水面，希望与会的各位专家、学者、企业家能充分利用西湖论剑这个平台，畅所欲言，为我国的关键信息基础设施保护工作出谋划策，也希望通过这个论坛让与会的各位朋友能够了解关键信息基础设施保护的新趋势、新进展、新技术，启发新的工作与发展思路，让这一论坛真正成为大家学习交流的纽带，共谋发展的平台。

近年来中国计算机学会计算机安全专委会积极培育学术交流、创新赋能、科普教育和政府智库能力，主动对接国家网络安全战略规划，对接公安机关网络安全保卫业务，发挥政府部门与会员单位的桥梁纽带作用，交流网络安全各方面成果和经验，组织学术研讨、技术培训和咨询服务活动。在此欢迎与会的技术专家，企业家积极加入我们专委会，为专委会发展输入新鲜血液，带来新的活力，

中国计算机学会计算机安全专业委员会荣誉主任、公安部一所、三所原所长、一级警监、研究员严明：

主题：《关键信息基础设施安全保护条例学习》

回顾等级保护这些年来，我们已经构筑了四大支撑支柱，它是我们等级保护开展工作的四个重要的支撑点：

1、法律的定位：网络安全法等基本法当中明确规定了我们实行等级保护制度，而且规定了有关的责任和落实。

2、管理的落实：公安的网络安全保卫局（大家称为网警），有专门的队伍从事等级保护制度的落实。

3、等保技术标准：为了做好等级保护有一系列的标准，我们刚刚更新了新版的标准。

4、等保评估中心：我们已经有了200多个遍布全国的第三方技术咨询机构以及各地的等保评估中心。

法律的定位，管理的推进，标准的规制和第三方技术支持的支撑，使得我们等级保护能够一步一步的扎扎实实的走到现在。

去年《关键信息基础设施安全保护条例》出台，是贯彻落实习近平总书记关于网络强国重要思想的具体措施，也是近年来国家网络安全和信息化工作成功经验的制度化提升，特别是回应了社会各界对加强关键信息基础设施安全保护的关注和呼吁，将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。

对《关键信息基础设施安全保护条例》的学习体会提出十个要点供大家参考：

要点一：定位。条例是网安法的下位法。

要点二：责任。公安部门负责指导监督关键信息基础设施的安全保护工作。

要点三：构筑了保护工作的管理和责任的架构。

要点四：强调了网络安全等级保护的基础上实施重点保护。

要点五：确定了保护工作部门的责任，保护工作部门这六个字希望大家能够记住，涉及到关保条例的时候一定有保护工作部门的参与和它的责任的体现。

要点六：制订了保护工作部门的任务和责任，就是制定认定规则进行认定。

要点七：强调了主要负责人负总则，实行一把手负责制。

要点八：要专门设立安全管理机构，并且进行具体规定。

要点九：强调了对漏洞探测和渗透性测试管理的要求。

要点十：特别强调了能源电信的重点保障问题。

我们相信随着“条例”的实施，关键信息基础设施安全保护工作一定能登上一个新的台阶。我听到的消息有两点，因为它是一个全新的架构一定要先经过试点再来推广，所以我从公安部网络安全保卫局听到的目前正在选择试点部门，当然一定是一个行业主管部门。第二个现已经在部署公安的有关技术支持工作，公安部党委已经决定在公安部第一研究所组建一个关键信息基础设施保护中心，所有工作在一步一步的往前推进。所以我们相信随着“条例”的实施，关键信息基础设施的安全保护工作一定会登上一个新的台阶。

公安部信息安全等级保护评估中心咨询部副主任袁静：

主题：《基于等级保护的关键信息基础设施安全保护与测评思考》

大家都知道无论是落实等级保护，还是落实关基保护都离不开标准的指导，我们在去年年初牵头制订了关键信息基础设施的标准体系，并且设立了关键信息基础设施标准的总体组，这个总体组就负责整个关键信息基础设施标准相关系列标准的推动和研究，它涉及到三大块，包括重要标准，支撑标准和特定领域的标准，我们看到在这里重要标准下面一层就是等级保护的标准，包括支撑标准里面的密码技术的标准，所以这两部分是关基要落实的基础，我们在标准里面也是要落实，在标准体系里面也是作为基础。

另外，对于关键信息基础设施保护的六个方面，识别认定、安全保护、检测评估、监测预警、主动防御和事件处置，每一个环节都有相应的标准来做指导。而且，每个环节都有一到两个核心标准。

在等保以及其他标准的技术和管理要求以上，关基的保护更加强调运营的安全，对我们日常运营提出了更高的要求。对于关键信息基础设施测评前面说了保护是定制化的，对于关基的测评来说也是定制化的。

中国电信集团网信安部总经理谷红勋：

主题：《贯彻关保条例 落实关基保护》

跟大家简要介绍一下我们在关基防护方面一些有特色的探索。     

探索实践一：依托天翼云，构建安全可信的国家核心关基设施。突破关键核心技术，发布天翼云4.0，全力打造国产化信创能力体系，构建云网边端安一体化的安全基础设施。在自主可控云上，经过十余年的探索，中国电信在国家云，央企云都已经形成了用四个一非常成熟的相对自主可控的一个庞大的公有云体系：一朵分布式云、一朵自主可控云、一朵安全可信云、一朵开放合作云。

探索实践二：近两三年来中国电信做了另外的一个尝试，也是自主开发的。中国电信做了一个安全中台，在集团党组的大力支持下，整合资源聚合能力，在安全领域目前已经研发到最后阶段，初步实现了数据的集中化，分析的智能化，以及整个运营编排化，还有服务的能力化。第一期做了七大类场景，数据做到了百分之百的采集和统一分析，因为采集分析背后是数据治理问题，如果数据治理不好的话整个开销是很大的。

探索实践三：安全的能力池，对内服务内部，对外服务客户。在安全服务能力的标准化、虚拟化、云化、池化、分布化整个概念下，把整个全集团分布在各省各市的对内对外服务的能力拿过来，实现了云、网、边、端的安全调度和协同防御，目前对外业务拓展也是蒸蒸日上。整个资源池是分布在31个省，有集约化的，有运营维护，API接口，还有流量的编排，业务配置，还有相关能力的管理。整个研发的目标就是能力的标准化、规模的部署化、还有功能的强大、能力的贯通。目前31个省，131个资源池已经部署完毕，这也是布置到天翼云上的。我们相信再有一段时间，整个在对客户服务上将取得比较大的进步。

探索实践四：发挥运营商优势。全力打造业界领先的自有安全公司。中国电信在各省公司，各子公司，各控股公司聚合了很多有特色的一些安全对外的能力产品以及服务，我们想依托运营商的优势，全力打造一个领先的安全公司。我们希望能够为国家，为人民做一些贡献，为整个中国的数字化做一些贡献，也希望整个安全市场能够为中国电信带来新的增量。

中国科学院软件研究所研究员连一峰：

主题：《浅谈大数据与人工智能技术在关键信息基础设施安全保护中的应用》

围绕“三化六防”工作目标我们也开展了一些相关的技术研究，实际上无论是等级保护也好，关基保护也好，包括日常所说的网络安全的工作也好，特别是对于技术部门来说，大量的工作都是用在对网络安全异构多元大数据的分析处理上。围绕数据的分析处理又分成很多层次，有数据的采集，数据的治理，数据的分析挖掘最后支撑关基保护的业务实战。所以我也想从这几个层次，把人工智能的一些算法在这些层次中的应用做一个简单汇报：包括采集监测中的人工智能技术应用、数据验证中的人工智能技术应用、数据融合中的人工智能技术应用、业务实战中的人工智能技术应用。

安恒信息态势感知事业部副总经理杨波：

主题：《关键信息基础设施-供应链安全》

供应链的定义是指：软件供应链在设计、开发、分发以及交付运营过程中深挖的编码、工具、组件等要素的总和。整个供应链是一个非常宽泛的概念，每个节点的要素也是非常的多。随着软件工程的发展，开源成为供应链开发的主要方式，造成整个供应链在软件开发上面临着很多挑战。

安恒信息近几年在软件供应链方面做了一些基础性工作，首先是在云端建立软件供应链的运营中心，建立软件供应链库，打造供应链生态。在端主要是依赖于政企客户、央企部委、行业主管部门，安恒信息建立态势感知平台，平台中提供软件供应链的管理。我们希望通过这种方式给大家在软件供应链上面提供一些思考和帮助，让大家在后续的安全管理工作中更加重视软件供应链的安全。

我们认为整个软件供应链的安全生态会逐步建立，在国内外的政策背景下，关键技术已经获得了快速的发展。另外，我们的安全标准体系和监测风险机制将不断的完善。

我建议相关的监管部门、行业主管部门、头部企业等制定相关软件供应链的标准，让更多的企业、组织和个人参与到软件供应链的生态中，把软件供应链安全做大做强。

我觉得安全厂商在软件供应链方面也有很多工作可以做，最基础的是要加强软件供应链研究、情报共享、相关培训。我觉得，软件供应链厂商是整个软件供应链里面最核心的一个部门。对厂商的要求是高标准的，按照三个同步的要求开展软件研发的工作，引进国内外最新软件开发安全经验，开展软件的开发保障软件的高质量输出。

作为关基单位，也是要根据《条例》的要求开展软件供应链的工作。首先要知道自己有多少相关的软件，避免一个软件可能过了一年之后还没有修补漏洞。另外，还要按照公安部门的要求开展网络安全监控智慧中心的检测，升级目前的安全管理平台、技术体系。我相信在大家的共同努力下，我们的网络肯定会越来越安全，数据肯定会越来越安全，让我们共同构建安全可信的数字世界。