企业动态

当前国际社会风云变幻，网络安全风险层出不穷。近几年，全球范围内针对关基的供应链攻击、勒索攻击等安全事件日益增多，不断动摇经济社会运行的根基。

数据显示，2020年全球勒索攻击次数同比增长150%以上。世界主要国家和地区纷纷把关基安全保护上升到维护国家安全的高度。

美国最大输油管道遭遇网络攻击和勒索后，拜登政府立即发布《关于改善 关键基础设施控制系统网络安全》的国家备忘录，认为“关键基础设施的网络安全问题是美国面临的最重要和严峻的问题” 。欧盟、俄罗斯、日本、澳大利亚也纷纷针对关基进行立法保护。

习近平总书记在“4·19”重要讲话中明确指出“关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”，可以说：没有关基安全就没有网络安全，没有网络安全就没有国家安全。

《中华人民共和国国务院令 第745号》颁布，《关键信息基础设施安全保护条例》已经2021年4月27日国务院第133次常务会议通过，现予公布，自2021年9月1日起施行。这是我国首部专门针对关键信息基础设施（以下简称:“关基”）安全保护工作的行政法规，标志着中国网络安全向更高水平跃升。

对于关基单位来说，要想在《关键信息基础设施安全保护条例》的指导下建设自己的安全体系，就需要一揽子的安全解决方案。

加强供应链管理，降低供应链攻击风险

《关键信息基础设施安全保护条例》的第二十条规定：运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

对于关基单位来说，运营者应当优先采购安全可信的网络产品和服务，但是如何对供应商的安全性进行管理，就成为一个复杂的问题，因此要想得到一个好的供应商产品，就必须有一套管理供应商的供应链安全体系。

对于软件供应商而言，软件供应链在降低自身软件开发工作量的同时，会向最终软件产品中引入来自上游的软件缺陷和漏洞，并扩大了单个软件缺陷和漏洞可能带来的影响。且近年来存在的软件开源化趋势，导致软件供应链的开源化，使得软件的质量难以控制，并增加了供应链的暴露程度。软件供应链与其开源化的趋势使得对软件的安全质量的控制更加重要。

在软件供应链这一系统中，存在着各类软件代码、组件、补丁、成品由软件供应链的上游向下游转移的渠道。由于软件行业具有的互联网特性，许多关键渠道的运行依赖互联网，使得这些渠道的安全受到网络攻击的威胁，在被攻击后可以成为网络攻击向供应链下游扩散的渠道, 同时渠道本身也有怀有恶意的可能性。

软件供应链是一个复杂的系统，具有多个环节,站在位于供应链最下游的用户角度，需要承受来自软件供应链的大量风险。作为大型组织、机构的用户尽管可能对供应链的上游鞭长莫及，但是有一定的应对风险的能力，也发展出了应对供应链风险的管理流程。但是作为个体的用户很难有应对风险的能力，因而需要在供应链上游的软件供应商和各类渠道处发展出一套管理软件供应链风险的手段。

因此，软件供应链安全管理需要分为组织、流程制度、场景、能力四个层面。

在组织层面，由企业信息安全领导小组牵头的信息化安全体系，要统筹整个组织的信息化安全工作，从组织高度协调各个相关部门，统一思想，识别风险，从国家安全、组织安全、个人安全角度履行供应链安全管理建设工作。

组织要根据自身情况和行业特点，制定管理办法和技术方案，以管理办法作为依据开展软件供应链安全管理工作，使用经过论证的技术方案，采用合适的工具保证自身的软件供应链安全。同时组织要执行软件供应链建设流程，从梳理产品和供应商开始，到梳理产品和供应商隐患，最终实现威胁清零。

组织和流程制度要面向两个主要的场景：

1，供应链安全管理场景；2，供应链安全开发场景。供应链安全管理场景是作为甲方视角的场景，这意味着企业管理机构作为软件采购方、使用者，要建立常态化的供应链安全管理机制，保证自己作为采购方、使用者的安全，同时符合安全合规的要求。供应链安全开发场景时候作为软件开发机构的视角，软件开发机构可能是企业内部的部门，也可能是外部的软件供应商，无论是内部部门还是外部供应商，都有义务建设全员参与的、主动、自动的安全开发机制。

加强态势感知，提高全局威胁管控能力

《关键信息基础设施安全保护条例》的第五条 国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动。

任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全。

第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。

这就需要关基单位有能力和有意愿建设态势感知能力，在方面，关基单位存在日常协同工作缺乏标准化、线上的上传下达、通报机制；应急事件指挥协调无抓手；重点专项护航统筹难、通道闭塞等问题，因此大家都有摸清被监管对象的资产底数、提高威胁发现与研判能力、构建指挥决策通道和过程跟踪能力、直观可视化呈现工作成果等需求。

在这样的前提下，根据上述总结的共性问题和业务问题，关基单位应该从四大业务场景的视角出发，构建数据采集能力、数据存储计算能力、数据治理融合能力、资产管理能力、运营支撑能力、安全分析能力、业务管理能力、指挥决策能力、安全运行服务能力。同时要采用统筹规划、急用先行、分步实施、骨架统一、内容开放的建设思想，进行分批分步骤地建设。

加强个人隐私保护，构建数据隐私保护能力

《关键信息基础设施安全保护条例》的第十五条说，（六）履行个人信息和数据安全保护责任，建立健全个人信息和数据安全保护制度。

事实上，我们也看到，近年来隐私泄漏事件频发，给用户和企业造成了严重的影响。智能移动设备（特别是智能手机）的隐私安全是近年来计算机研究的热点领域之一。由于智能手机和移动应用的流行，用户在智能手机上存储了大量隐私数据和个人信息，而如何对这些隐私数据加以保护遂成为重要挑战。

研究发现，绝大部分APP存在违规获取用户隐私数据的问题，业内多款流行应用均存在未经用户许可获取隐私数据以及超业务范围获取隐私数据的情况。其中游戏娱乐行业的信息窃取类恶意应用最为集中，占到所有行业的49.46%，多款APP存在窃取用户信息、强行捆绑推广应用软件等突出问题。

在这样的情况下，企业需要对移动应用进行全方位的隐私安全合规检测，提前发现合规隐患，从而能够达到降低行政处罚风险、缩短APP检测周期、降低APP开发的人工成本的目的。

积极构建数据安全能力，防止数据大规模泄露

《关键信息基础设施安全保护条例》的第十八条说：关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当按照有关规定向保护工作部门、公安机关报告。

发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

因此，需要积极做好数据安全方面的建设，面向具体的目标业务域，针对重要保障数据集，详细分析数据业务场景和数据流向中的安全风险，结合政企安全建设现状，构建符合政企现状需求的数据安全保障体系，有效降低数据安全风险，支撑数据安全的持续运营。

通过专项设计，达到满足合规需求；强化重要数据的安全防护，有效解决常见数据使用场景下的数据泄露和数据破坏问题；监管敏感数据的正当应用，有效支撑数据安全持续运营工作；设计创新性的方案措施，有效解决数据要素开放流通新型场景下的隐私保护问题等目标。

传统的安全建设思路是以合规性为导向，但这种理念隔离了安全建设和信息化建设的内在联系。数据作为直接支撑信息化业务应用核心元素，针对性的安全建设，应充分理解行业的业务流程，从业务范围内的全数据流程出发，围绕业务场景的结构和特点，聚焦重点数据风险领域，构建专属的数据安全能力体系。

首先，基于数据安全治理进行规划咨询服务，识别数据安全治理的业务域，梳理管理现状并进行安全组织、管理制度的建设咨询，为数据安全防护技术体系建设提供依据和保障。

其次，基于数据与业务场景，开展数据资产梳理与数据分级分类，进行数据流转与业务逻辑的梳理，完成对重要数据的识别，并基于业务场景设计数据安全防护方案。期间不断扩大重要数据集及保护域的范围，直到覆盖全部业务场景。贯彻数据资源“识别、防护、监测、响应”闭环，建立数据资产识别机制，完善数据安全保护能力建设，健全安全监测与响应机制，建立识别、防护、监测、响应深度融合的数据安全治理能力。

然后，完善大数据安全运营工作，开展数据风险预警、分析研判和响应处置工作，通过开展以数据安全态势感知为核心的数据安全运营工作，实现风险与事件的快速响应及数据安全风险的评估与改进，促进数据安全保障工作的闭环形成，最终达到“数据可见、数据可管、风险可控”的安全目标。

《关键信息基础设施安全保护条例》出台后，势必能够对关基单位的安全建设，起到良性推动的作用。