专家观点｜政务外网关键信息基础设施安全保护实践与探索

二、从合规体系、供应链安全和全局性统筹等角度开展关键信息基础设施安全保护工作

制定关键信息基础设施安全保护管理工作方案，明确了包括管理责任部门、认定规则、安全规划、安全标准、评价考核等一系列合规要求。

严格落实安全保护自查，对拟认定的关键信息基础设施提前完成等保备案工作，每年开展等保测评和关键信息基础设施安全保护自查工作，并聚焦风险问题完成清查整改。

制定数据安全管理制度，建立数据资产目录、摸清家底，围绕数据全生命周期实施数据分类分级管理，组织专业团队开展数据安全检测，着重关注重要数据的界定、识别，盯紧重要数据安全防护，严防重要数据泄露。

严格落实测评认证，建立软硬件设备台账，系统上线前进行渗透测试和漏洞扫描，上线后定期开展测评整改。

建立服务供应商供应链安全管理制度，签署责任书或备忘录，提高服务供应商安全责任意识、供应链安全风险管理能力和完善人员背景调查管理。

持续开展供应链安全自查检查和评估工作，重点检查采购安全可信的网络产品和服务方面的组织保障、制度建设和执行情况，开展供应链安全评估，降低供应链安全风险。

依托行业保护部门和相关监督管理部门的整体性安全保护决策和手段，形成“共同保护关键信息基础设施安全”的综合联动格局。

合理分配网络安全资源投入，在实施全方位保护的前提下，突出政务外网重要设施、部位、环节的重点保护。

三、未来持续加强关键信息基础设施安全保护的思路

强化政务网络公共支撑能力，进一步完善连接各行业、各层级公共网络平台，集约化推进国家公共设施共性能力建设，为关键信息基础设施运行提供充分保障，实现统筹建设、统一部署和集约协同。

加强自主可控安全管理，建立新技术、新应用安全评估机制，强化安全可靠技术和产品应用，从源头上解决网络安全重大隐患。

强化网络安全产业支撑，积极配合开展网络安全技术应用试点示范，支持面向关键信息基础设施的安全技术创新应用。

在基础防护能力建设方面，构建全方位的政务外网安全防御体系，在网络侧、互联网接入侧、应用侧加强部署相应的安全防护措施，建立较强的边界防护能力、终端防护能力、安全审计能力。

在安全监测能力建设方面，积极开展政务外网安全监测类平台建设，提供 7*24 小时的全方位安全监测服务，逐步具备整网安全事件及时发现并处置的能力。

在数据安全保护能力建设方面，在促进数据共享使用的同时，推动政务外网数据安全保护能力建设，深入推广数据访问控制与权限管理、数据加密、数据脱敏、数据标识、数据审计等防护措施的建设和应用，提升数据安全交换功能和性能，加强数据容灾备份设施建设，实现数据安全管控。同时，提升政务外网国产密码一体化支撑能力，推进国产密码在政务网络、政务云、各业务系统、数据共享体系方面的规模化部署和替代，持续开展政务外网密码应用安全性评估相关工作。

构建覆盖中央、省、市、县四级的政务外网安全事件管理协同处置机制，明确工作范围、职责、流程等内容；建设政务外网安全事件管理平台，及时收集、汇总、分析、共享各方网络安全信息，为各级政务外网安全管理部门搭建跨地域、跨层级、跨系统的安全事件协同处置通道。

依托国家网络与信息安全信息通报机制，加强国家电子政务外网网络信息安全通报预警力量建设，推进与网信、公安、保密等主管部门和主流安全厂商网络安全威胁情报共享协同，联合机构、院校、厂商深度挖掘分析，形成具有政务外网特色的威胁情报信息库，支撑政务外网安全事件管理协同处置机制能力建设。

建设政务外网安全应急演练平台，为各级政务外网安全管理部门搭建演练环境，提升政务外网安全事件协同处置能力。