如何做好关键信息基础设施的网络安全保护工作

关键信息基础设施的保护是2018年以及未来重要的网络安全保护对象，那么哪些是关键信息基础设施呢？一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围，在这些范围内的网络设施和信息系统都是关键信息基础设施。关键信息基础设施非常重要，关系到国家安全、国计民生及公共利益。那么被列为关键信息基础设施的单位到底如何开展好网络安全工作呢。不得不等根据《网络安全法》及《关键信息基础设施安全保护条例（征求意见稿）》总结了以下几点，供大家参考。

关键信息基础设施以下简称“关基”。《关键信息基础设施安全保护条例（征求意见稿）》以下简称“条例”

一、“关基”需要及时开展网络安全等级保护工作且系统等级不低于三级，这是基础。因为网络安全法第31条明确要求：关基在网络安全等级保护制度的基础上，实行重点保护。条例第6条也明确指出该要求。

二、建立健全“关基”安全检测评估制度，关基上线运行前或者发生重大变化是需要进行安全检测评估。同时每年对关基至少进行一次检测评估，对发现的问题及时进行整改。网络安全法第38条，条例28条明确有相关要求。

三、完善内部安全管理制度和操作规程，设置专门网络安全管理机构和网络安全管理负责人，并对该负责人和关键岗位人员进行安全背景审查；定期对从业人员进行网络安全教育、技术培训和技能考核。网络安全法第34条，条例24、25、27条有相关要求。

四、采取技术措施，防范计算机病毒和网络攻击、网络侵入等危害网络安全行为；通俗点说：网络版杀毒软件、防毒墙、IPS、WAF、防火墙、堡垒机、数据库防火墙等防护类设备要有，要有一定的技术措施保障关基的安全。网络安全法21条，条例23条有相关要求。

五、采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；这里建议大家没有日志审计设备的用户抓紧配好，不然怎么保证能留存不少于6个月的日志量呢；当然资金充足的用户可以通过SOC实现这个要求。网络安全法21条，条例23条有相关要求。

六、采取数据分类、重要数据备份和加密认证等措施，对重要系统和数据库进行容灾备份，及时对系统漏洞等安全风险采取补救措施；重要的数据进行备份，重要的系统及数据库进行容灾备份，有条件的可以做异地应用容灾备份，确保自己单位核心数据及应用的安全。网络安全法34条，条例23、24条有相关要求。

七、制定网络安全事件应急预案并定期进行演练；这点不少用户还不够重视，可能有预案但都在管理制度里呢，没有定期演练；或者应急预案简单，考虑不周全，需要再加强并定期演练。网络安全法34条，条例24、25条有相关要求。

八、及时对系统漏洞等安全风险采取补救措施；要求我们在发现或被告知相关漏洞等风险后及时进行安全整改，不能不管。那么如何发现这些风险呢？漏洞可以通过漏洞扫描器进行定期检查，其他的安全风险可以通过特定的安全检测服务进行发现。条例24条明确要求。

做好以上八条工作，“关基”保护工作做的就相对比较好了，合法合规地开展好“关基”的网络安全保护工作是最基本原则。最后提醒大家一点：可能影响国家安全的关基单位在采购网络产品和服务时，应当按照网络产品和服务安全审查办法的要求，通过网络安全审查。“关基”单位不能随意购买网络产品，安全很重要，不做工作不安全，乱做工作也不安全，做好工作才安全。