光明网讯 在《关键信息基础设施安全保护条例》颁布实施一周年之际，由光明网网络安全频道、中国信息协会信息安全专业委员会主办，北京六方云信息技术有限公司承办的推进落实《关键信息基础设施安全保护条例》专题分享会在京举行。

　　会上，北京六方云信息技术有限公司总裁李江力以“关基安全保护的技术支撑分析”为主题现场交流。他表示，当前，我国关键信息基础设施安全保护的相关规则正在逐步完善，但其落地实施不仅需要多部门共同协作、长期建设，也要求其自身全方位、成体系、有框架。

　　李江力介绍，关键信息基础设施是数字经济时代社会运行的神经中枢，也是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。

　　“当前，我国关键信息基础设施安全保护的基本措施总结起来就是‘三化六防’。其中实战化、体系化、常态化是基本要求，六防指的是动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控，具体工作包含分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个环节，在实际工作中，需要多种技术来支撑这六个环节的工作。”李江力说。

　　他认为，在分析识别环节，除了要进行业务的分析，包含信息化的范围、流程以及自动化的情况分析外，还要梳理资产和潜在风险漏洞，以排除安全隐患，如同做“定向体检”一样。在安全防护环节，并不是一上来就着手做技术层面的防护，要注重安全制度和机构人员设置，应设置相关管理制度及考核方法，强调安全管理制度与技术防护并重的原则，对于保护对象需按照等保的要求做到“一个中心、三重防护”，至少做到等保三级以上的安全防护，对于安全建设则需要做到“三同步”即同步规划、同步建设、同步使用，并且要关注安全运维和供应链安全。

　　针对检测评估环节，要依托定期或不定期的安全检测评估，发现系统的潜在隐患、及时整改。监测预警环节则需要建立起常态化的安全分析、事件分析、以及建立威胁预警机制。主动防御环节则对关基运营者提出了更高的要求，运营方不仅需要做好安全防护工作，而且需要具备攻防对抗的能力，遇到威胁攻击可以溯源追查并反制，达到实战化要求。针对事件处理环节，则需要建立完善的制度、具备安全事件应急预案和相关事件处理流程，做好安全事件的响应处置、安全取证及恢复、及重要节点的通报处理，强化关键信息基础设施安全保护动态自适应能力，全方位保证关键信息基础设施安全。

　　“这六个环节中，每一个环节首先都需要制度保障，其次才是技术。”李江力认为，落实《关键信息基础设施安全保护条例》的这六个环节中，如果能做到一级级的探索节点、一步步的总结分析，最终可以形成统一的闭环。这样，保护系统安全的目的也就达到了。“当然，这个工程量很大，不仅包含了很多规章制度、技术手段和产品方案的协作，也需要各业务部门和众多企业的协作。”

　　在李江力看来，我国的关键信息基础设施安全保护，要在《关键信息基础设施安全保护条例》基础上，还要推动安全设备生产商自我革新，充分调动全社会的积极力量，在建立起一套完整、科学、严密的制度框架基础上，落实责任、共商共建，将安全化为实体，将安心落到实处。（记者 雷渺鑫 摄像 李伯玺）