产品描述

  去年年底 ，全国信安标委在北京组织召开了国家标准《关键信息基础设施网络安全保护基本要求》（报批稿） 的应用 试点工作启动会。 目的是 验证《基本要求》标准内容的合理性和可操作性，为标准推广实施积累经验，为关键信息基础设施安全保护工作提供技术支撑。 它标志着国家关基保护有关工作正在不断推进，我们应该跟上学习的步伐。本文是笔者的一点学习体会和相关材料整理，供大家参考。

  第一，谈谈大家比较关注的关基保护与等级保护的关系。有种说法是“基于等保，高于等保”。我觉得两者不是简单的高低关系。个人觉得，关基保护基础要求最重要是提供运营者一种风险管理方法论，授人以鱼不如授人以渔。与作为“安全底线”的等级保护基本要求相对刚性防护思路相比，关基保护基本要求更像是“流水不腐”的柔性防护思路，这个是所谓“动态风控”。

  第二，关基保护基础要求提出了“识别认定”的要求，主要是让运营者按照GB/T 20984标准方法，围绕关键信息基础设施承载的关键业务，开展业务依赖性识别、资产识别，最终识别主要安全风险点，确定风险处置的优先级。个人觉得，“识别认定”环节除了以上的业务、资产和风险识别以外，可以把责任也作为一个对象在这个环节中予以识别和认定，尤其是容易遗漏的集成加工后的数据保护责任。有了责任和利益捆绑，才会有强大动力去主动实施保护，共同守住安全底线，这个是所谓“协同参与”。

  第三，关基保护基础要求对“供应链安全”提出细致要求，除了要求建立供应链安全管理制度外，还明确在供应商选择时，需考虑因政治、外交、贸易等非技术因素导致产品和服务供应中断的风险。个人觉得，供应链安全慢慢的变成了各国关注的焦点安全问题。而从斯诺登事件到中兴事件，一系列的事件说明，我国关基设施的产品、设计、运行维护仍然严重依赖全球供应链，不仅面临被植入后门、被监控窃听风险，还面临严重的断供威胁。因此，该要求所要传达的不单单是管理层面的要求，还是对于核心技术自主创新、安全可控的技术方面的要求，只有实施网络信息领域核心技术设备攻坚战略，掌握网络发展的前沿技术和具有国际竞争力的关键核心技术，关键信息基础设施才能真正得到“安全”。

  最后，我们整理了一个《关基保护基本要求之安全防护部分内容与等级保护基本要求对照表》，帮大家更加细致的比较关基保护与等级保护在具体防护要求上的差异，更好地理解关基保护的重点。

  关基保护基本要求的学习，不仅是有关技术和管理的学习，更需要体会国家战略，感受到每一条款给出详尽要求的背后，都沉淀着国家网络安全审查、网络安全检查的实践经验。