安全數(shù)字底座

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

設(shè)計(jì)方案目錄01保護(hù)條例牢筑網(wǎng)絡(luò)安全底板02行動(dòng)建議網(wǎng)絡(luò)安全底板的頂層設(shè)計(jì)03軟件供應(yīng)鏈安全預(yù)防網(wǎng)絡(luò)安全底板的旁路攻擊加入星球獲取更多更全的數(shù)智化解決方案安全是個(gè)復(fù)雜產(chǎn)業(yè)360阿里騰訊百度京東頭條……理論體系P2DR模型（1995）木桶理論（2000）立體防御模型（2003）云管端模型（2013）安全滑動(dòng)標(biāo)尺（2015）自適應(yīng)安全架構(gòu)（2016）零信任架構(gòu)（2017）CARTA戰(zhàn)略方法（2018）SASE框架（2020）網(wǎng)絡(luò)安全全景圖--安全牛2021.3企業(yè)安全標(biāo)準(zhǔn)體系ISO:27001等級(jí)保護(hù)分級(jí)保護(hù)網(wǎng)絡(luò)安全法數(shù)據(jù)安全保護(hù)法個(gè)人信息保護(hù)法安全疆域：14個(gè)一級(jí)安全領(lǐng)域、106個(gè)二級(jí)細(xì)分領(lǐng)域近376家安全企業(yè)和相關(guān)機(jī)構(gòu)，700億規(guī)模（2020年），每年增速15%-30%碎片化特征：全球網(wǎng)絡(luò)安全排名前15的企業(yè)加起來，僅占到全球市場(chǎng)規(guī)模的30%。國(guó)內(nèi)前10名(億元以上)收入加起來占整個(gè)市場(chǎng)的39%互聯(lián)網(wǎng)安全現(xiàn)狀一:持續(xù)碎片化威脅、廠商、產(chǎn)品、資本現(xiàn)狀二：持續(xù)復(fù)雜化理論、技術(shù)、標(biāo)準(zhǔn)現(xiàn)狀三：高增速、高彈性增速15%-30%，IT投入占比2-3%現(xiàn)狀四：安全團(tuán)隊(duì)高分化頭部企業(yè)與創(chuàng)業(yè)團(tuán)隊(duì)高增長(zhǎng)；（2018（200）2019（303）、2020（313）、2021（376））安全大趨勢(shì)：從基礎(chǔ)設(shè)施談起鐵、公、機(jī)云、大、物、移、智信息安全/網(wǎng)絡(luò)安全/網(wǎng)絡(luò)空間安全（CyberSpaceSecurity）網(wǎng)絡(luò)空間尺度：從交互到共生國(guó)家安全法（2015年7月1日）政治安全國(guó)土安全軍事安全經(jīng)濟(jì)安全文化安全社會(huì)安全科技安全信息安全生態(tài)安全資源安全核安全五大主權(quán)空間海陸空天網(wǎng)絡(luò)空間物理世界數(shù)字世界物理世界數(shù)字世界交互關(guān)系SaftySecurity共生/雙生復(fù)興富強(qiáng)獨(dú)立覺醒網(wǎng)絡(luò)空間主權(quán)網(wǎng)絡(luò)大國(guó)網(wǎng)絡(luò)強(qiáng)國(guó)網(wǎng)絡(luò)空間安全網(wǎng)絡(luò)安全和信息化是一體之兩翼，驅(qū)動(dòng)之雙輪，必須統(tǒng)一謀劃，統(tǒng)一部署，統(tǒng)一推進(jìn)，統(tǒng)一實(shí)施安全是個(gè)復(fù)雜系統(tǒng)政策合規(guī)IT變革威脅事件等保/分保(1994)ISO27001(1995)網(wǎng)絡(luò)安全法(2017)GDPR(2018)等保2.0（2020）……信息化（辦公自動(dòng)化,

1985-1995,Lotus）數(shù)字化（系統(tǒng)大爆炸,1995-2015,J2EE）數(shù)字化轉(zhuǎn)型（數(shù)據(jù)化,2015-至今）......病毒感染黑客攻擊人員泄密……技術(shù)升級(jí)特征匹配啟發(fā)/虛擬/仿真云查殺威脅情報(bào)態(tài)勢(shì)感知……1986199019942015同步建設(shè)（架構(gòu)的前瞻性）解決問題（產(chǎn)品的有效性）IT配套（技術(shù)的先進(jìn)性）威脅覺醒廠商覺醒國(guó)家覺醒甲方覺醒威脅全景惡意代碼（Malware）病毒蠕蟲木馬后門流氓軟件……黑客（Hacker）WEB滲透服務(wù)器滲透組織黑客（DDOS/）國(guó)家級(jí)黑客……高級(jí)威脅（AdvancedThreat）勒索軟件挖礦/流量APT攻擊供應(yīng)鏈……業(yè)務(wù)風(fēng)險(xiǎn)（BusinessRisk）業(yè)務(wù)欺詐信息信息盜竊……反病毒技術(shù)黑客攻防技術(shù)大數(shù)據(jù)安全技術(shù)行為分析技術(shù)感受一下大國(guó)對(duì)抗的事實(shí)組織黑客的極端攻擊能力技術(shù)覺醒：簡(jiǎn)單技術(shù)與IT場(chǎng)景融合成復(fù)雜應(yīng)用技術(shù)反黑客技術(shù)大數(shù)據(jù)技術(shù)反病毒技術(shù)身份安全技術(shù)終端PC某著名企業(yè)信創(chuàng)網(wǎng)關(guān)云端核心層匯聚層接入層物理機(jī)虛擬化云/容器基于操作系統(tǒng)的文件識(shí)別基于網(wǎng)絡(luò)的協(xié)議解析基于密碼的加解密基于大數(shù)據(jù)的數(shù)據(jù)挖掘IT環(huán)境融合物聯(lián)網(wǎng)IOT終端工業(yè)控制系統(tǒng)工業(yè)互聯(lián)網(wǎng)……核心技術(shù)攻防對(duì)抗已經(jīng)是一個(gè)復(fù)雜的戰(zhàn)役企業(yè)新興技術(shù)路線圖Gartner：2021-2023中型企業(yè)新興技術(shù)路線圖Gartner：2021-2023大型企業(yè)新興技術(shù)路線圖國(guó)家覺醒：從網(wǎng)絡(luò)安全到國(guó)家安全從1994年到2020年，各類國(guó)家層面的法律法規(guī)已經(jīng)達(dá)到65個(gè)，314項(xiàng)國(guó)家標(biāo)準(zhǔn)。計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例19941999國(guó)家信息化工作領(lǐng)導(dǎo)小組關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定20002001重組國(guó)家信息化工作領(lǐng)導(dǎo)小組國(guó)家網(wǎng)絡(luò)與安全信息協(xié)調(diào)小組2003等級(jí)保護(hù)管理辦法2007關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定2012中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全共同構(gòu)建網(wǎng)絡(luò)空間命運(yùn)共同體（第一屆世界互聯(lián)網(wǎng)大會(huì)）20164.19講話國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略公布2016《網(wǎng)絡(luò)安全法》20172017《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》中國(guó)共產(chǎn)黨網(wǎng)絡(luò)安全和信息化委員會(huì)201820184.20會(huì)議，加快推進(jìn)國(guó)家網(wǎng)絡(luò)強(qiáng)國(guó)建設(shè)”等保2.0核心標(biāo)準(zhǔn)開始實(shí)施2020.122020.1《密碼法》開始實(shí)施分級(jí)保護(hù)管理辦法20052014數(shù)據(jù)安全法個(gè)人信息保護(hù)法2021.9/11網(wǎng)絡(luò)安全已上升為國(guó)家戰(zhàn)略習(xí)近平網(wǎng)絡(luò)強(qiáng)國(guó)思想網(wǎng)絡(luò)安全法密碼法網(wǎng)絡(luò)安全等級(jí)保護(hù)制度關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略國(guó)家總體安全觀網(wǎng)絡(luò)安全觀國(guó)家安全法網(wǎng)絡(luò)安全審查辦法（進(jìn)行修訂）個(gè)人信息保護(hù)法數(shù)據(jù)安全法國(guó)家戰(zhàn)略法律行政法規(guī)《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》分類分級(jí)保護(hù)制度重要數(shù)據(jù)目錄數(shù)據(jù)交制度數(shù)據(jù)安全審查制度數(shù)據(jù)安全審查制度十四五規(guī)劃與2035遠(yuǎn)景目標(biāo)（網(wǎng)絡(luò)安全保障體系與能力）我國(guó)十大網(wǎng)絡(luò)安全法規(guī)序號(hào)日期名稱條數(shù)字?jǐn)?shù)11994.2.18計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例31207322007.6.22信息安全等級(jí)保護(hù)管理辦法44730332017.6.1網(wǎng)絡(luò)安全法791000542018.6.27網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）731069952020.1.1密碼法44496862020.6.1網(wǎng)絡(luò)安全審查辦法22248072021.9.1關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例51564782021.9.1網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定16237292021.9.1數(shù)據(jù)安全法555470102021.11.1個(gè)人信息保護(hù)法749028總計(jì)

48960045從1994到2022年的28年間，跟網(wǎng)絡(luò)安全相關(guān)的法律有100多件新合規(guī)時(shí)代：網(wǎng)絡(luò)安全法律法規(guī)框架關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（2021年09月1日）等保2.0網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）（2018年6月27日）等保1.0信息安全等級(jí)保護(hù)管理辦法（2007）網(wǎng)絡(luò)安全審查辦法（2020年06月1日）個(gè)人信息保護(hù)法（2021年11月1日）關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者網(wǎng)絡(luò)運(yùn)營(yíng)者數(shù)據(jù)計(jì)算機(jī)信息系統(tǒng)運(yùn)營(yíng)者《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》（GB/T20272-2006）《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2006）《信息安全技術(shù)服務(wù)器技術(shù)要求》《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T671-2006）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》BMB22-2007《涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)分級(jí)保護(hù)測(cè)評(píng)指南》《涉及國(guó)家秘密的信息系統(tǒng)審批管理規(guī)定》BMB20-2007《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)管理規(guī)范》計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB17859-1999）網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南（GB/T25058-2020）網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南（GB/T22240-2020）網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求（GB/T25070-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求（GB/T28448-2019）網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南（GB/T28449-2018）數(shù)據(jù)管理能力成熟度評(píng)估模型(GB/T36073-2018)簡(jiǎn)稱DCMM數(shù)據(jù)安全能力成熟度模型(GB/T37988-2019)簡(jiǎn)稱為DSMM數(shù)據(jù)安全治理能力評(píng)估方法(T/ISC-0011-2021)某著名企業(yè)網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施方法（YDT3801-2020）GB/T37932《信息安全技術(shù)數(shù)據(jù)交安全要求》GB/T36343《信息安全技術(shù)數(shù)據(jù)交平臺(tái)交描述》GB/T37728《信息技術(shù)數(shù)據(jù)交平臺(tái)通用功能要求》責(zé)任主體漏洞安全對(duì)象網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定（2021年09月1日）境內(nèi)的網(wǎng)絡(luò)產(chǎn)品（含硬件、軟件）提供者和網(wǎng)絡(luò)運(yùn)營(yíng)者，以及從事網(wǎng)絡(luò)產(chǎn)品安全漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或者個(gè)人，應(yīng)當(dāng)遵守本規(guī)定密碼《信息安全等級(jí)保護(hù)密碼管理辦法》《信息安全等級(jí)保護(hù)商用密碼技術(shù)要求》《商用密碼管理?xiàng)l例》信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定指南信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全測(cè)評(píng)要求信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測(cè)預(yù)警要求網(wǎng)絡(luò)安全法（2017年06月1日）計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例（1994年2月18日）數(shù)據(jù)安全法2021年09月1日密碼法2020年01月1日數(shù)字化：核心業(yè)務(wù)運(yùn)行在IT之上，“新基建”IT變成服務(wù):對(duì)業(yè)務(wù)的作用加劇IT體系規(guī)劃需求：企業(yè)架構(gòu)（EA）、服務(wù)管理、運(yùn)維管理（ITIL）比較原始的信息化，輔助性的。內(nèi)生安全：體系化的、內(nèi)生的、主動(dòng)的、同步規(guī)劃安全變成能力：可運(yùn)行的，可與信息化結(jié)合，局部結(jié)合合規(guī)需求：分散的、局部的、從旁模式事件式、應(yīng)激式安全信息化發(fā)展歷程網(wǎng)絡(luò)安全發(fā)展歷程1980199520052015202019852000201020192015信息化變革引起安全理念變革關(guān)基保護(hù)條例構(gòu)筑網(wǎng)絡(luò)安全底板關(guān)基與等保：不止合規(guī)共性高度：均已上升到法律，不執(zhí)行屬于違法行為；對(duì)象：保護(hù)的對(duì)象都是網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)；差異范圍不一樣：等保具有普適性，關(guān)保具有針對(duì)性；能力要求不一樣：等級(jí)保護(hù)是保護(hù)基線，關(guān)基保護(hù)無防護(hù)的上限；等級(jí)保護(hù)根據(jù)所定級(jí)別達(dá)到不同的防護(hù)能力，關(guān)基保護(hù)對(duì)抗的是有組織的敵對(duì)破壞力量；能力理念不一樣：等級(jí)保護(hù)基于合規(guī)思路，關(guān)基保護(hù)動(dòng)態(tài)風(fēng)控思路；強(qiáng)化立體化綜合防控：關(guān)基保護(hù)需要國(guó)家協(xié)調(diào)監(jiān)督、行業(yè)監(jiān)管保護(hù)、運(yùn)營(yíng)者安全防護(hù)。關(guān)基保護(hù)是數(shù)字強(qiáng)國(guó)的堅(jiān)實(shí)底板業(yè)務(wù)業(yè)務(wù)IT支撐IT支撐客戶企業(yè)傳統(tǒng)業(yè)務(wù)運(yùn)營(yíng)客戶企業(yè)數(shù)字化業(yè)務(wù)運(yùn)營(yíng)傳統(tǒng)業(yè)務(wù)模式數(shù)字化模式安全保障重構(gòu)安全體系數(shù)字化轉(zhuǎn)型無處不在的安全防護(hù)需求數(shù)據(jù)應(yīng)用用戶云網(wǎng)絡(luò)數(shù)字化安全管理數(shù)字化安全運(yùn)營(yíng)精細(xì)化管控動(dòng)態(tài)適配連續(xù)合規(guī)業(yè)務(wù)與信息化深度融合，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)等同于業(yè)務(wù)運(yùn)營(yíng)風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全是數(shù)字化轉(zhuǎn)型成功的保障網(wǎng)絡(luò)安全保障業(yè)務(wù)運(yùn)營(yíng)，與業(yè)務(wù)強(qiáng)相關(guān)安全要與信息化要全面覆蓋、深度融合、強(qiáng)制管控網(wǎng)絡(luò)安全一把手推動(dòng)，將安全與業(yè)務(wù)結(jié)合，提升到企業(yè)戰(zhàn)略層面公共通信信息服務(wù)能源交通水利金融公共服務(wù)電子政務(wù)國(guó)防科技關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)歷程“4.19”講話中網(wǎng)辦發(fā)【2016】3號(hào)文網(wǎng)絡(luò)安全法關(guān)鍵信息基礎(chǔ)設(shè)施國(guó)標(biāo)2016年4月2016年7月2018年加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)。我們必須深入研究，采取有效措施，切實(shí)做好國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)?！蛾P(guān)于開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》進(jìn)行全國(guó)范圍內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的摸底和檢查工作，截止12月為止。—《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南》（試行）—銀監(jiān)會(huì)（2016）107號(hào)<<中國(guó)銀監(jiān)會(huì)辦公廳關(guān)于開展銀行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)專項(xiàng)評(píng)估治理及配合做好關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作的通知》—國(guó)家采取措施，監(jiān)測(cè)、防御、處置來源于境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞。—關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》（征求意見稿）2017年7月中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)機(jī)構(gòu)統(tǒng)一領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。國(guó)家網(wǎng)信部門負(fù)責(zé)指導(dǎo)協(xié)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，國(guó)務(wù)院某著名企業(yè)主管部門、公安部門和其他有關(guān)機(jī)關(guān)依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定，在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作?！蛾P(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》—《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評(píng)估指南》—《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》—《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略2016年12月—著眼識(shí)別、防護(hù)、檢測(cè)、預(yù)警、響應(yīng)、處置等環(huán)節(jié)，建立實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度?！鞴?、運(yùn)營(yíng)單位和組織要按照法律法規(guī)、制度標(biāo)準(zhǔn)的要求，采取必要措施保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，逐步實(shí)現(xiàn)先評(píng)估后使用。加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)評(píng)估。公安部2020【1960】號(hào)文件—公安部2020【1960】號(hào)文件《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》2020年《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》正式發(fā)布，9月1日施行。2021年《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》2017年6月關(guān)保的政策法規(guī)體系公網(wǎng)安[2020]1960號(hào)關(guān)于印送《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》的函《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》行政法規(guī)規(guī)范性文件《網(wǎng)絡(luò)安全法》法律層面信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求（送審稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施（報(bào)批稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法（送審稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系（報(bào)批稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定指南（草案）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法（送審稿）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全測(cè)評(píng)要求（制定立項(xiàng)）信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全監(jiān)測(cè)預(yù)警要求（研究立項(xiàng)）……技術(shù)標(biāo)準(zhǔn)立項(xiàng)->征求意見稿->送審稿->報(bào)批稿《XX行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則》、《XX行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)指導(dǎo)意見》XX行業(yè)網(wǎng)絡(luò)安全保護(hù)技術(shù)規(guī)范……行業(yè)技術(shù)標(biāo)準(zhǔn)關(guān)保規(guī)范的框架第二章關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定1-2

目標(biāo)、范圍3-4明確主體、職責(zé)5-6

重點(diǎn)保護(hù)7貢獻(xiàn)表彰第一章總則第三章運(yùn)營(yíng)者責(zé)任義務(wù)第四章保障和促進(jìn)8保護(hù)工作部門的定義9制定認(rèn)定規(guī)則10認(rèn)定、通知、上報(bào)11重認(rèn)定12三同步13

安全保護(hù)制度和責(zé)任制14

安全管理機(jī)構(gòu)及職責(zé)15/16

安全保護(hù)工作具體職責(zé)17

檢測(cè)評(píng)估18

事件報(bào)告19

采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)20

明確義務(wù)和責(zé)任22行業(yè)安全規(guī)劃23信息共享24

監(jiān)測(cè)預(yù)警25

應(yīng)急響應(yīng)預(yù)案和處置26-28檢查檢測(cè)34

安全標(biāo)準(zhǔn)，指導(dǎo)、規(guī)范35

人才培養(yǎng)29、36技術(shù)支持與攻關(guān)37網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)38

軍民融合第五章法律責(zé)任（39～49）第六章附則警告，責(zé)令改正處罰、處分拘留刑事責(zé)任30信息安全31-32優(yōu)先保障33安全保衛(wèi)第一章總則：重要行業(yè)和領(lǐng)域公共通信信息服務(wù)能源交通水利金融公共服務(wù)電子政務(wù)基礎(chǔ)某著名企業(yè)業(yè)務(wù)增值某著名企業(yè)業(yè)務(wù)骨干型某著名企業(yè)公路管理運(yùn)營(yíng)全國(guó)性銀行郵政應(yīng)急管理頭部證券大型保險(xiǎn)支付機(jī)構(gòu)重點(diǎn)發(fā)電企業(yè)石油石化企業(yè)金融職能機(jī)構(gòu)水路鐵路民航社會(huì)保障衛(wèi)生健康廣播電視水利樞紐第二條本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞，喪失功能或者數(shù)據(jù)，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。教育培訓(xùn)第二章認(rèn)定：保護(hù)工作部門負(fù)責(zé)關(guān)保條例征求意見稿中“第三章關(guān)鍵信息基礎(chǔ)設(shè)施范圍”變更為“第二關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定”，并且由國(guó)家制定關(guān)鍵信息基礎(chǔ)設(shè)施指標(biāo)指南，變更為由保護(hù)工作部門制定認(rèn)定規(guī)則，明確了關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)帶有明確的業(yè)務(wù)屬性指導(dǎo)，也強(qiáng)化了保護(hù)部門的責(zé)任。第八條

本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門（以下稱保護(hù)工作部門）。第九條

保護(hù)工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則，并報(bào)國(guó)務(wù)院公安部門備案。第十條保護(hù)工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知運(yùn)營(yíng)者，并通報(bào)國(guó)務(wù)院公安部門。重要程度危害程度關(guān)聯(lián)性影響——關(guān)基系統(tǒng)和運(yùn)營(yíng)者的范圍是動(dòng)態(tài)變化的第三章運(yùn)營(yíng)者責(zé)任義務(wù)：誰是關(guān)基運(yùn)營(yíng)者？國(guó)家機(jī)關(guān)關(guān)基行業(yè)關(guān)基運(yùn)營(yíng)者關(guān)鍵信息基礎(chǔ)設(shè)施統(tǒng)籌協(xié)調(diào)指導(dǎo)監(jiān)督安全保護(hù)監(jiān)督管理保護(hù)主體責(zé)任網(wǎng)絡(luò)設(shè)施信息系統(tǒng)管理制度、資源保障、人員管理、機(jī)構(gòu)設(shè)置、考核評(píng)價(jià)、產(chǎn)品采購(gòu)網(wǎng)信機(jī)關(guān)公安機(jī)關(guān)組織保障第十三條運(yùn)營(yíng)者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入。運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問題。網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組首席網(wǎng)絡(luò)安全官CII安全管理機(jī)構(gòu)CII核心崗位人員CII非核心崗位人員任命首席網(wǎng)絡(luò)安全官明確機(jī)構(gòu)分工，制定責(zé)任清單完善管理制度、評(píng)價(jià)考核制度背景審查、技能審查及考核明確核心與非核心人員定位開展安全技術(shù)培訓(xùn)教育專人專崗，核心崗位AB崗制提升安全意識(shí)、CII意識(shí)簽訂CII協(xié)議責(zé)任到人以提升主動(dòng)保護(hù)意識(shí)考核評(píng)價(jià)體系驅(qū)動(dòng)保護(hù)工作動(dòng)態(tài)審查審核促進(jìn)人員監(jiān)管CII人員組織結(jié)構(gòu)CII人員管理任務(wù)CII管理工作目標(biāo)第四章保障與促進(jìn)：國(guó)家、行業(yè)、運(yùn)營(yíng)者形成合力國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)；突出貢獻(xiàn)的單位和個(gè)人，按照國(guó)家有關(guān)規(guī)定給予表彰。國(guó)家制定和完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)，指導(dǎo)、規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。及時(shí)提供技術(shù)支持和協(xié)助。國(guó)家加強(qiáng)網(wǎng)絡(luò)安全軍民融合，軍地協(xié)同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。促進(jìn)有關(guān)部門、保護(hù)工作部門、運(yùn)營(yíng)者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。國(guó)家加強(qiáng)網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)建設(shè)和管理，制定管理要求并加強(qiáng)監(jiān)督指導(dǎo)，不斷提升服務(wù)機(jī)構(gòu)能力水平。國(guó)家采取措施，鼓勵(lì)網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作；將運(yùn)營(yíng)者安全管理人員、安全技術(shù)人員培訓(xùn)納入國(guó)家繼續(xù)教育體系。運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；國(guó)家支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展，組織力量實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)。政策鼓勵(lì)服務(wù)機(jī)構(gòu)人才培養(yǎng)技術(shù)創(chuàng)新網(wǎng)信運(yùn)營(yíng)單位保護(hù)單位公安網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)第五章法律責(zé)任：不干不行警告，責(zé)令改正處罰、處分運(yùn)營(yíng)者：10-100W主管人員：1-10W采購(gòu)金額1~10倍行政拘留5~15日刑事網(wǎng)信部門公安部門保護(hù)部門運(yùn)營(yíng)者①《關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則》②《關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定結(jié)果》③關(guān)鍵信息基礎(chǔ)設(shè)施變化情況②《關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定結(jié)果》④網(wǎng)絡(luò)安全事件⑤網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估⑥重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅⑥特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅⑦機(jī)構(gòu)發(fā)生合并、分立、解散⑥特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅⑧運(yùn)行狀況、安全態(tài)勢(shì)——這些不做，都將承擔(dān)法律責(zé)任關(guān)基保護(hù)行動(dòng)建議網(wǎng)絡(luò)安全底板的頂層設(shè)計(jì)APT攻擊勒索攻擊六大風(fēng)險(xiǎn)供應(yīng)鏈攻擊系統(tǒng)漏洞威脅國(guó)家級(jí)對(duì)抗20年底，黑客組織攻擊IT管理軟件SolarWinds，至少200家重要機(jī)構(gòu)受害。其中，美國(guó)受害最嚴(yán)重，美國(guó)國(guó)土安全部、財(cái)政部、核安全管理局等多個(gè)重要機(jī)構(gòu)都受到波及。21年5月，美國(guó)最大的成品油管道運(yùn)營(yíng)商ColonialPipeline因遭到勒索軟件DarkSide攻擊，被迫關(guān)閉其美國(guó)東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)?！昂Ｉ徎ā苯M織對(duì)中國(guó)政府、科研院所、海事機(jī)構(gòu)、海域建設(shè)、航運(yùn)企業(yè)等相關(guān)重要領(lǐng)域展開了有組織、有計(jì)劃、有針對(duì)性的長(zhǎng)時(shí)間不間斷攻擊至少已持續(xù)8年。FBI和CSI等機(jī)構(gòu)聯(lián)合做的一項(xiàng)安全調(diào)查報(bào)告顯示，超過85%的網(wǎng)絡(luò)安全威脅來自于，危害程度遠(yuǎn)遠(yuǎn)超過黑客攻擊和病毒造成的損失。中美在科技領(lǐng)域競(jìng)爭(zhēng)、對(duì)抗升級(jí)，以數(shù)字權(quán)力和科技利益爭(zhēng)奪為目標(biāo)，網(wǎng)絡(luò)安全領(lǐng)域的對(duì)抗將成為重要手段。1990年-2019年，Windows平臺(tái)提交漏洞總計(jì)6814個(gè)，平均每月發(fā)現(xiàn)漏洞27個(gè)。關(guān)鍵信息基礎(chǔ)設(shè)施面臨的六大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)建設(shè)思想：體系化、常態(tài)化、實(shí)戰(zhàn)化事件驅(qū)動(dòng)的安全能力抖動(dòng)安全檢查攻防演練通報(bào)批評(píng)時(shí)間事件N能力現(xiàn)有安全能力全局風(fēng)險(xiǎn)管控安全基礎(chǔ)防護(hù)安全專項(xiàng)治理實(shí)戰(zhàn)檢驗(yàn)實(shí)戰(zhàn)檢驗(yàn)安全能力的躍升體系化：組織、制度、流程、工具、人員能力的全面提升常態(tài)化：持續(xù)的安全運(yùn)行實(shí)戰(zhàn)化：抵抗真實(shí)攻擊的全局風(fēng)險(xiǎn)管控關(guān)基網(wǎng)絡(luò)安全頂層設(shè)計(jì)網(wǎng)絡(luò)安全底版管理層治理層執(zhí)行層頂層規(guī)劃同步規(guī)劃同步建設(shè)同步使用公共通信信息服務(wù)能源交通水利金融公共服務(wù)電子政務(wù)國(guó)防科技網(wǎng)絡(luò)安全共享機(jī)制安全監(jiān)測(cè)預(yù)警機(jī)制網(wǎng)絡(luò)安全應(yīng)急預(yù)案機(jī)制網(wǎng)絡(luò)安全部門協(xié)同機(jī)制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估機(jī)制網(wǎng)絡(luò)安全保護(hù)與責(zé)任機(jī)制網(wǎng)絡(luò)安全重大事件上報(bào)機(jī)制網(wǎng)絡(luò)安全績(jī)效考核機(jī)制設(shè)置網(wǎng)絡(luò)安全管理機(jī)構(gòu)建立網(wǎng)絡(luò)安全組織架構(gòu)網(wǎng)絡(luò)安全運(yùn)營(yíng)管理制度關(guān)鍵信息密碼保護(hù)制度網(wǎng)絡(luò)安全評(píng)價(jià)考核制度安全事件上報(bào)管理制度網(wǎng)絡(luò)安全人才培養(yǎng)制度網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估制度網(wǎng)絡(luò)安全檢查監(jiān)測(cè)網(wǎng)絡(luò)設(shè)施安全保護(hù)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)預(yù)警網(wǎng)絡(luò)安全應(yīng)急演練網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估網(wǎng)絡(luò)安全績(jī)效考核網(wǎng)絡(luò)安全教育培訓(xùn)網(wǎng)絡(luò)安全技術(shù)創(chuàng)新…

……

……

…一、治理層：將安全工作納入關(guān)保機(jī)構(gòu)頂層規(guī)劃架構(gòu)管控安全組織安全預(yù)算安全政策安全人員成效考核治理層在關(guān)保機(jī)構(gòu)安全政策中明確安全人員在IT總?cè)藬?shù)的占比和能力要求，確保工作被覆蓋。落實(shí)安全責(zé)任制度，構(gòu)建網(wǎng)絡(luò)安全管理組織，將安全工作納入關(guān)保機(jī)構(gòu)管理?xiàng)l線。建立面向成效的安全考核指標(biāo)庫，對(duì)安全工作的成效進(jìn)行考核評(píng)價(jià)，納入績(jī)效管理。在關(guān)保機(jī)構(gòu)治理層面開展安全的需求管控和安全系統(tǒng)建設(shè)架構(gòu)管控，確保安全建設(shè)方向正確。在關(guān)保機(jī)構(gòu)安全政策中明確安全預(yù)算在IT的占比，確保安全能力持續(xù)優(yōu)化的資金保障。設(shè)定關(guān)保機(jī)構(gòu)安全總體方針，規(guī)劃組織職責(zé)分工和信息安全制度，開展安全關(guān)鍵活動(dòng)，夯實(shí)安全技術(shù)能力。安全預(yù)算-加大安全資源的投入占比工信部：網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃（2021-2023年）（征求意見稿）2021年7月12日到2023年，網(wǎng)絡(luò)安全技術(shù)創(chuàng)新能力明顯提高，產(chǎn)品和服務(wù)水平不斷提升，經(jīng)濟(jì)社會(huì)網(wǎng)絡(luò)安全需求加快釋放，產(chǎn)融合作精準(zhǔn)高效，網(wǎng)絡(luò)安全人才隊(duì)伍日益壯大，產(chǎn)業(yè)基礎(chǔ)能力和綜合實(shí)力持續(xù)增強(qiáng)，產(chǎn)業(yè)結(jié)構(gòu)布局更加優(yōu)化，產(chǎn)業(yè)發(fā)展生態(tài)健康有序?！a(chǎn)業(yè)規(guī)模：網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模超過2500億元，年復(fù)合增長(zhǎng)率超過15%。——需求釋放：某著名企業(yè)等重點(diǎn)行業(yè)網(wǎng)絡(luò)安全投入占信息化投入比例達(dá)10%。重點(diǎn)行業(yè)領(lǐng)域安全應(yīng)用全面提速，中小企業(yè)網(wǎng)絡(luò)安全能力明顯提升，關(guān)鍵行業(yè)基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)水平不斷提高。財(cái)力人力物力建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制保障人力、財(cái)力、物力投入***結(jié)合當(dāng)前某著名企業(yè)數(shù)字化發(fā)展現(xiàn)狀，建議網(wǎng)絡(luò)安全預(yù)算在IT預(yù)算的占比為：10%-15%【參考值】中國(guó)1.8%-3%

vs美國(guó)4.78-20.4%

政策分析安全政策-多層級(jí)的安全體系建設(shè)網(wǎng)絡(luò)安全指導(dǎo)方針組織職責(zé)與分工信息安全制度資產(chǎn)安全人員能力風(fēng)險(xiǎn)評(píng)估安全監(jiān)控與檢查事件及應(yīng)急管理信息安全合規(guī)外包安全管理技術(shù)管理物理安全終端安全網(wǎng)絡(luò)安全應(yīng)用安全數(shù)據(jù)安全數(shù)據(jù)安全整體方針組織制度信息安全目標(biāo)關(guān)鍵活動(dòng)技術(shù)支撐123456789101112制定開展信息安全管理工作的總體指導(dǎo)方針及策略，把控信息安全管理方向。制度體系具化信息安全管理策略要求，組織架構(gòu)落實(shí)信息安全管理職能。明確信息安全管理主要目標(biāo)要素。梳理信息安全管理關(guān)鍵活動(dòng)，有條理、有重點(diǎn)開展信息安全日常管理活動(dòng)。定義信息安全技術(shù)規(guī)范，依靠技術(shù)手段實(shí)現(xiàn)信息安全管理策略?！毒W(wǎng)絡(luò)安全管理計(jì)劃》《數(shù)據(jù)安全防護(hù)策略》專門安全管理機(jī)構(gòu)《網(wǎng)絡(luò)安全考核及監(jiān)督問責(zé)制度》《網(wǎng)絡(luò)安全教育培訓(xùn)制度》檢查檢測(cè)風(fēng)險(xiǎn)評(píng)估供應(yīng)商管理信息共享安全運(yùn)營(yíng)評(píng)價(jià)指標(biāo)安全組織-構(gòu)筑協(xié)同防御安全組織建立網(wǎng)絡(luò)安全三道防線：

強(qiáng)化網(wǎng)絡(luò)安全的專業(yè)化管理，實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)的有效控制；第一道防線：是核心業(yè)務(wù)層網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的自管理，將網(wǎng)絡(luò)安全管理工作嵌入業(yè)務(wù)職能；第二道防線：側(cè)重的是對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的監(jiān)測(cè)發(fā)現(xiàn)告警，將網(wǎng)絡(luò)安全管理工作要求通過監(jiān)督檢查職能實(shí)現(xiàn)；第三道防線：強(qiáng)調(diào)專職的安全審計(jì)，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理的充分性和有效性提供獨(dú)立和客觀的確認(rèn)和建議。獨(dú)立向管理層報(bào)告其發(fā)現(xiàn)，以促進(jìn)持續(xù)改進(jìn)。在這個(gè)過程中，它還會(huì)考和便用其它末部或外部機(jī)構(gòu)的確認(rèn)結(jié)果；形成安全防御協(xié)同聯(lián)動(dòng)：網(wǎng)絡(luò)安全組織不是封閉的，需要與外部單位交流溝通，接受外部監(jiān)管部門、地方主管部門的監(jiān)督和指導(dǎo)，得到合作伙伴的支持。管理層業(yè)務(wù)組織審計(jì)組織決策授權(quán)指導(dǎo)檢查反饋監(jiān)督協(xié)同服務(wù)監(jiān)督配合國(guó)家監(jiān)管部門監(jiān)督指導(dǎo)行業(yè)保護(hù)部門網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)網(wǎng)絡(luò)安全組織123IT管理層安全人員-明確安全人員的能力覆蓋關(guān)基保護(hù)需要安全管理、安全規(guī)劃、安全項(xiàng)目管理、安全基礎(chǔ)運(yùn)營(yíng)、分析響應(yīng)、攻防滲透，安全人員數(shù)量占IT人員總數(shù)的百分比借鑒國(guó)內(nèi)外最佳實(shí)踐，建議8%-10%的技術(shù)管理規(guī)劃類+外部支撐人員。安全管理人員安全規(guī)劃人員安全項(xiàng)目管理人員成效考核-明確獎(jiǎng)懲機(jī)制定義考核指標(biāo)制定考核任務(wù)考核評(píng)分考核報(bào)表管理過程類安全業(yè)務(wù)類定義考核模板設(shè)置指標(biāo)權(quán)重選擇考核對(duì)象定義考核指標(biāo)制定考核任務(wù)自評(píng)主評(píng)自定義考核規(guī)則，系統(tǒng)自動(dòng)評(píng)分自定義評(píng)分邏輯考核評(píng)分考核報(bào)表單位評(píng)分排名考核指標(biāo)評(píng)分分析線下約談通知，通告促進(jìn)安全能力建設(shè)重要手段之一架構(gòu)管控-開展安全系統(tǒng)建設(shè)架構(gòu)管控安全架構(gòu)應(yīng)遵循企業(yè)架構(gòu)體系的設(shè)計(jì)與管控要求，平滑融入企業(yè)架構(gòu)，在各個(gè)層次與企業(yè)架構(gòu)保持一致性。安全工程項(xiàng)目立項(xiàng)審批，其技術(shù)路線、建設(shè)的系統(tǒng)級(jí)架構(gòu)在方向上必須滿足安全架構(gòu)的管控要求，否則不予立項(xiàng)。作為綱領(lǐng)性要求，寫入網(wǎng)絡(luò)安全總綱。企業(yè)架構(gòu)體系工具企業(yè)架構(gòu)方法論業(yè)務(wù)架構(gòu)應(yīng)用架構(gòu)數(shù)據(jù)架構(gòu)技術(shù)架構(gòu)安全架構(gòu)架構(gòu)關(guān)系企業(yè)架構(gòu)組成原則指南原有內(nèi)容支撐組件圖例新增內(nèi)容二、管理層：基于數(shù)據(jù)支撐的效果型閉環(huán)管理010203040506安全流程是否合理？安全防御是否生效？安全數(shù)據(jù)是否完整？安全人員如何分布？安全投資是否生效？安全技能是否具備？效果型閉環(huán)管理-建立網(wǎng)絡(luò)安全評(píng)價(jià)指標(biāo)體系數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全管理活動(dòng)：基于大數(shù)據(jù)技術(shù)，分析安全運(yùn)營(yíng)效能。自動(dòng)化方式獲取關(guān)鍵安全狀態(tài)指標(biāo)，將安全管理活動(dòng)實(shí)現(xiàn)在線化、平臺(tái)化，基于平臺(tái)進(jìn)行安全指標(biāo)比對(duì)、統(tǒng)計(jì)、關(guān)聯(lián)等分析，對(duì)安全運(yùn)營(yíng)效能進(jìn)行數(shù)字化考核，為管理決策提供數(shù)據(jù)依據(jù)，牽引安全工作。通過安全線上服務(wù)加強(qiáng)安全運(yùn)行工作規(guī)范性：對(duì)安全日常性工作、事件發(fā)現(xiàn)處置工作、應(yīng)急響應(yīng)工作形成標(biāo)準(zhǔn)化流程，逐步條令化、線上化，以技術(shù)管控強(qiáng)制執(zhí)行，從而提升安全運(yùn)營(yíng)的規(guī)范性。建立基于大數(shù)據(jù)技術(shù)的安全運(yùn)營(yíng)“新管理”機(jī)制，通過數(shù)據(jù)看安全流程是否合理、安全防御是否生效、安全數(shù)據(jù)是否完整、安全人員如何分布、安全投資是否有效，以數(shù)據(jù)為安全管理工作提供依據(jù)。基于大數(shù)據(jù)技術(shù)的安全運(yùn)營(yíng)“新管理”支撐平臺(tái)建立網(wǎng)絡(luò)安全保障與效果評(píng)價(jià)模型網(wǎng)絡(luò)安全防御過程是一個(gè)動(dòng)態(tài)過程，采用過程方法建立信息安全保障模型的。模型說明了信息安全保障是根據(jù)利益相關(guān)方的保障需求建立保障措施，形成保障能力，以實(shí)現(xiàn)保障效果的過程。可根據(jù)對(duì)保障效果的評(píng)價(jià)，動(dòng)態(tài)調(diào)整保障措施，以更好地滿足保障需求。建立保障措施：保障措施是基于企業(yè)的保障需求設(shè)計(jì)的一系列保障手段，是實(shí)現(xiàn)信息安全保障需求的途徑，設(shè)置一批安全建設(shè)工程或任務(wù)。形成保障能力：保障能力是工程和任務(wù)落地過程中所形成的應(yīng)對(duì)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的能力，是安全防御有效性的體現(xiàn)。實(shí)現(xiàn)保障效果：保障效果是保障能力對(duì)利益相關(guān)方保障需求的滿足程度，是從保障對(duì)象安全目標(biāo)實(shí)現(xiàn)程度的視角對(duì)保瘴措施運(yùn)行有效性的體現(xiàn)。利益相關(guān)方是指與保障對(duì)象的信息安全相關(guān)的主管部門、運(yùn)營(yíng)機(jī)構(gòu)和用戶等。網(wǎng)絡(luò)安全保障模型建立網(wǎng)絡(luò)安全保障有效性評(píng)價(jià)指標(biāo)體系安全能力完整性指標(biāo)：此指標(biāo)主要考核能力是否全面覆蓋政企安全機(jī)制、技術(shù)手段、安全運(yùn)營(yíng)、安全管理制度、安全責(zé)任等內(nèi)容，確保所需安全能力完整性。安全與信息化的融合指標(biāo)：此指標(biāo)主要考核網(wǎng)絡(luò)安全能力在信息化的所有層面的覆蓋性、融合性。在廣度上安全能力全面覆蓋信息化場(chǎng)景，在深度上安全組件與信息化組件相互融合，消除兩。安全能力的協(xié)同聯(lián)動(dòng)指標(biāo)：此指標(biāo)主要考核各類安全的能力協(xié)同程度，形成協(xié)同聯(lián)動(dòng)，整體防護(hù)能力，避免安全能力之間的割裂導(dǎo)致的碎片化與低效率。建立安全評(píng)價(jià)指標(biāo)體系，對(duì)保障措施、保障能力、保障效果進(jìn)行綜合評(píng)價(jià)，要重點(diǎn)針對(duì)網(wǎng)絡(luò)安全防御的效果進(jìn)行評(píng)價(jià)考核，以考核結(jié)果倒逼過程優(yōu)化，通過動(dòng)態(tài)調(diào)整保障措施，完善保障能力，更好的滿足保障要求。網(wǎng)絡(luò)安全評(píng)價(jià)方法關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系框架三級(jí)主要指標(biāo)24個(gè)三、執(zhí)行層：從零散建設(shè)演進(jìn)到面向業(yè)務(wù)的體系化建設(shè)安全基礎(chǔ)防護(hù)體系化等級(jí)保護(hù)基礎(chǔ)設(shè)施專項(xiàng)治理安全防護(hù)識(shí)別認(rèn)定全局風(fēng)險(xiǎn)管控實(shí)戰(zhàn)化持續(xù)安全運(yùn)行常態(tài)化組織制度流程工具評(píng)價(jià)數(shù)據(jù)安全安全物理環(huán)境網(wǎng)站防護(hù)供應(yīng)鏈5G區(qū)塊鏈等新技術(shù)應(yīng)用安全防護(hù)郵件安全訪問控制身份鑒別授權(quán)管理密碼技術(shù)安全通信網(wǎng)絡(luò)安全區(qū)域邊界安全管理中心網(wǎng)絡(luò)安全風(fēng)險(xiǎn)洞察網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)治理自動(dòng)處置威脅情報(bào)誘捕對(duì)抗威脅監(jiān)測(cè)威脅運(yùn)營(yíng)協(xié)調(diào)指揮通報(bào)預(yù)警情報(bào)共享保障工具運(yùn)行體系脆弱性檢測(cè)自動(dòng)化編排自查自糾攻防實(shí)戰(zhàn)演習(xí)應(yīng)急演練深度滲透測(cè)試運(yùn)維安全系統(tǒng)安全態(tài)勢(shì)感知資產(chǎn)測(cè)繪安全計(jì)算環(huán)境安全管理制度安全管理機(jī)構(gòu)安全管理人員安全運(yùn)維管理安全建設(shè)管理技術(shù)管理安全審計(jì)管理制度管理機(jī)構(gòu)管理人員通信網(wǎng)絡(luò)計(jì)算環(huán)境建設(shè)管理運(yùn)維管理人員審查人員篩選人員培訓(xùn)人員調(diào)動(dòng)人員離職職責(zé)分離互聯(lián)安全邊界防護(hù)安全審計(jì)鑒別與授權(quán)入侵防范數(shù)據(jù)安全災(zāi)備業(yè)務(wù)連續(xù)性自動(dòng)化管理同步建設(shè)供應(yīng)鏈保護(hù)采購(gòu)與使用供應(yīng)商管理審批與記錄運(yùn)維工具運(yùn)維人員等保落實(shí)制定制度展開業(yè)務(wù)識(shí)別文檔化識(shí)別通報(bào)識(shí)別分析培訓(xùn)宣貫持續(xù)改進(jìn)風(fēng)險(xiǎn)識(shí)別資產(chǎn)識(shí)別業(yè)務(wù)識(shí)別自動(dòng)化識(shí)別資產(chǎn)清單優(yōu)先排序定期更新資產(chǎn)管理明確責(zé)任自動(dòng)化管理定期審核動(dòng)態(tài)更新業(yè)務(wù)影響分析風(fēng)險(xiǎn)庫風(fēng)險(xiǎn)報(bào)告風(fēng)險(xiǎn)容忍度風(fēng)險(xiǎn)策略更新及時(shí)開展識(shí)別識(shí)別能力評(píng)審建立可恢復(fù)要求關(guān)保平臺(tái)：協(xié)同構(gòu)建國(guó)家立體化綜合防控體系關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)平臺(tái)網(wǎng)信辦、公安部單位1網(wǎng)絡(luò)安全態(tài)勢(shì)與安全運(yùn)營(yíng)中心單位2網(wǎng)絡(luò)安全態(tài)勢(shì)與安全運(yùn)營(yíng)中心…單位n網(wǎng)絡(luò)安全態(tài)勢(shì)與安全運(yùn)營(yíng)中心其他單位未建設(shè)其他單位未建設(shè)專業(yè)安全機(jī)構(gòu)

網(wǎng)絡(luò)空間情報(bào)中心行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)平臺(tái)城市級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)平臺(tái)網(wǎng)信：協(xié)調(diào)指揮平臺(tái)公安：關(guān)保平臺(tái)保護(hù)部門：監(jiān)控+指揮+評(píng)價(jià)平臺(tái)關(guān)基運(yùn)營(yíng)者：監(jiān)控指揮中心網(wǎng)信運(yùn)營(yíng)單位保護(hù)單位公安網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)網(wǎng)信部門統(tǒng)籌協(xié)調(diào)公安部門指導(dǎo)監(jiān)督保護(hù)部門行業(yè)監(jiān)督運(yùn)營(yíng)者安全保護(hù)最終目標(biāo)：要從零散建設(shè)演進(jìn)到面向業(yè)務(wù)的體系化建設(shè)能力重疊重復(fù)建設(shè)缺失能力管理能力運(yùn)營(yíng)能力舊模式規(guī)劃與建設(shè)、運(yùn)行未統(tǒng)一零散的項(xiàng)目設(shè)置項(xiàng)目間相互獨(dú)立、能力割裂、缺乏聯(lián)動(dòng)關(guān)注短期建設(shè)技術(shù)能力演進(jìn)新模式以規(guī)劃為牽引的建設(shè)和運(yùn)營(yíng)統(tǒng)一規(guī)劃、分步建設(shè)安全能力可擴(kuò)展的、可集成、可協(xié)同關(guān)注體系化作戰(zhàn)、持續(xù)的安全效果管理能力技術(shù)能力運(yùn)營(yíng)能力任務(wù)總結(jié)：關(guān)基保護(hù)的建設(shè)內(nèi)容基礎(chǔ)安全防護(hù)建設(shè)安全專項(xiàng)建設(shè)業(yè)務(wù)需求安全能力建設(shè)安全防護(hù)力能提升供應(yīng)鏈安全、互聯(lián)網(wǎng)收口、郵件安全、數(shù)據(jù)安全、等保、密碼改造、信創(chuàng)、終端、網(wǎng)絡(luò)、云安全、系統(tǒng)安全、運(yùn)維安全、安全檢查、風(fēng)險(xiǎn)評(píng)估、滲透測(cè)試……物聯(lián)網(wǎng)安全、工控安全、5G……關(guān)基保護(hù)綜合防控體系協(xié)調(diào)指揮平臺(tái)、關(guān)保平臺(tái)協(xié)調(diào)指揮平臺(tái)、關(guān)保平臺(tái)態(tài)勢(shì)感知和安全運(yùn)營(yíng)平臺(tái)監(jiān)管態(tài)勢(shì)、情報(bào)系統(tǒng)、通報(bào)督辦監(jiān)管態(tài)勢(shì)、情報(bào)系統(tǒng)、通報(bào)督辦資產(chǎn)臺(tái)賬、安全監(jiān)測(cè)、應(yīng)急處置、國(guó)家級(jí)行業(yè)級(jí)機(jī)構(gòu)級(jí)攻擊誘捕、攻防演習(xí)、威脅情報(bào)、人員能力……軟件供應(yīng)鏈安全預(yù)防網(wǎng)絡(luò)安全底板的旁路攻擊國(guó)際現(xiàn)狀：供應(yīng)鏈攻擊事件后果很嚴(yán)重2020年12月13日，全球最著名的網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國(guó)家級(jí)APT團(tuán)伙高度復(fù)雜的供應(yīng)鏈攻擊并植入木馬后門。該攻擊直接導(dǎo)致包括美國(guó)關(guān)鍵基礎(chǔ)設(shè)施、軍隊(duì)、政府在內(nèi)的18000+企業(yè)客戶全部受到影響：可任由攻擊者完全操控SolarWinds

DLL被投毒下載劫持開發(fā)工具被污染SDK被污染包管理器投毒惡意代碼組件漏洞域名劫持惡意操作DNS緩存污染升級(jí)劫持源代碼被污染惡意組件CDN污染升級(jí)包被污染軟件供應(yīng)鏈攻擊事件頻發(fā)2021.032021.02PHP

Git服務(wù)器被入侵，源代碼被植入后門。攻擊者使用PHP的usLerdorf和Jetbrains開發(fā)者NikitaPopov的賬號(hào)，向服務(wù)器上的php-src存儲(chǔ)庫推送了兩次惡意提交，在PHP代碼中植入了一個(gè)后門，其目標(biāo)是可以通過該后門獲得運(yùn)行PHP的網(wǎng)站系統(tǒng)的遠(yuǎn)程代碼執(zhí)行權(quán)限。通過攻擊流行的軟件開發(fā)基礎(chǔ)設(shè)施，達(dá)到輻射大量下游用戶的目的，已經(jīng)成為黑客青睞的方式安全研究人員通過一種新穎的軟件供應(yīng)鏈攻擊方式（依賴關(guān)系混亂），成功的侵入了某著名企業(yè)、蘋果、PayPal、特斯拉、優(yōu)步等35家國(guó)際大型科技公司的內(nèi)網(wǎng)，在向這些公司提交安全報(bào)告后，他獲得超過13萬美元的獎(jiǎng)金2020.042018.12驅(qū)動(dòng)人生旗下多款軟件攜帶后門病毒DTStealer，僅半天時(shí)間感染了數(shù)萬臺(tái)電腦。該病毒進(jìn)入電腦后，繼續(xù)通過“永恒之藍(lán)”高危漏洞進(jìn)行全網(wǎng)傳播，并回傳被感染電腦的IP地址、CPU型號(hào)等信息2017.052015.09開發(fā)者使用非蘋果公司官方渠道的XCODE工具開發(fā)蘋果應(yīng)用程序時(shí)，會(huì)向正常的蘋果APP中植入惡意代碼。被植入惡意程序的蘋果APP可以在APP

Store正常下載并安裝使用。該惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能2014.04程序員SeanCassidy在自己的博客上放出了Openssl一個(gè)嚴(yán)重漏洞的細(xì)節(jié)，隨后這一“災(zāi)難級(jí)”的嚴(yán)重安全漏洞席卷了整個(gè)互聯(lián)網(wǎng)。國(guó)內(nèi)互聯(lián)網(wǎng)大廠以及全廠商都被爆出漏洞2021.012020.122020.05GitHub安全博客警告了針對(duì)ApacheNetBeansIDE項(xiàng)目的開源供應(yīng)鏈攻擊OctopusScanner，最終統(tǒng)計(jì)顯示，有26個(gè)開源項(xiàng)目被植入了OctopusScanner后門安全研究人員RyotaK，披露了他是如何滲透進(jìn)某著名企業(yè)VisualStudioCode的官方GitHub存儲(chǔ)庫的，某著名企業(yè)VisualStudioCode的持續(xù)集成腳本中存在一個(gè)漏洞，該漏洞導(dǎo)致他能夠滲透進(jìn)某著名企業(yè)VisualStudioCode的官方GitHub存儲(chǔ)庫并向其提交文件。這種代碼庫中的安全問題將有可能被應(yīng)用到軟件供應(yīng)鏈攻擊中全球最著名的網(wǎng)絡(luò)安全管理軟件供應(yīng)商SolarWinds遭遇國(guó)家級(jí)APT團(tuán)伙高度復(fù)雜的供應(yīng)鏈攻擊并植入木馬后門。該攻擊直接導(dǎo)致包括美國(guó)關(guān)鍵基礎(chǔ)設(shè)施、軍隊(duì)、政府在內(nèi)的18000+企業(yè)客戶全部受到影響：可任由攻擊者完全操控安全公司ReversingLabs發(fā)現(xiàn)Ruby語言官方模塊包代碼庫RubyGems，被植入了超725個(gè)惡意軟件包。惡意軟件包的下載量接近100000次。如，"atlas-client"是一個(gè)誘騙的誘餌程序包，被2100次下載，用來模仿的"atlas_client"來自瑞士安全公司Modzero的研究人員在檢查WindowsActiveDomain的基礎(chǔ)設(shè)施時(shí)發(fā)現(xiàn)惠普音頻驅(qū)動(dòng)中存在一個(gè)內(nèi)置鍵盤記錄器監(jiān)控用戶的所有按鍵輸入開發(fā)工具被污染開源軟件漏洞廠商預(yù)留后門惡意軟件升級(jí)劫持HW層面（一）：軟件供應(yīng)鏈成為HW常見攻擊短板攻擊隊(duì)某金融CMS0day數(shù)據(jù)中心管理平臺(tái)某科技公司獲取源代碼12345運(yùn)維人員辦公終端Shiro反序列化漏洞代碼審計(jì)運(yùn)維人員登陸遠(yuǎn)程桌面掛載C盤Fastjson反序列化漏洞6登錄目標(biāo)系統(tǒng)第一步第二步第三步第四步通過信息采集，某科技公司是金融統(tǒng)的提供商，通過常規(guī)攻擊手段獲取到源代碼。通過平臺(tái)反向給辦公終端掛馬，控制辦公終端，嘗試進(jìn)一步橫向滲透。第五步fastjson漏洞控制正在調(diào)試代碼的開發(fā)人員辦公終端。通過源代碼分析0day漏洞，入侵到某金融機(jī)構(gòu)。以此為跳板，Shiro反序列化漏洞橫向滲透拿下數(shù)據(jù)中心管理平臺(tái)。第六步通過瀏覽器歷史記錄直接登錄目標(biāo)系統(tǒng)。攻防演習(xí)數(shù)量攻陷目標(biāo)數(shù)量軟件供應(yīng)鏈攻擊數(shù)量2441900200HW層面（二）：通過軟件供應(yīng)鏈，秒級(jí)攻破業(yè)務(wù)網(wǎng)業(yè)務(wù)網(wǎng)開發(fā)測(cè)試網(wǎng)1、任意文件上傳2、搭建隧道3、弱口令4、賬號(hào)復(fù)用5、獲得源代碼6、業(yè)務(wù)邏輯漏洞（0Day）第一步第二步第三步第四步通過任意文件上傳，在開發(fā)測(cè)試網(wǎng)掛馬通過賬號(hào)復(fù)用，發(fā)現(xiàn)儲(chǔ)存源代碼服務(wù)器第五步獲得目標(biāo)系統(tǒng)源代碼在服務(wù)器上搭建隧道，對(duì)網(wǎng)絡(luò)資產(chǎn)進(jìn)行掃描通過弱口令等橫向攻擊其他服務(wù)器第六步對(duì)源代碼逆向發(fā)現(xiàn)0day漏洞，幾秒攻破業(yè)務(wù)網(wǎng)B’B模式軟件依賴關(guān)系錯(cuò)綜復(fù)雜舉例：熱門桌面軟件265,829

款，可拆解出15

種元素共3,655,919

項(xiàng)，構(gòu)建依賴關(guān)系25,257,890

條?！败浖?/p>

:元素

:依賴關(guān)系”==“1:13.753:95.016”現(xiàn)代軟件的功能代碼大量復(fù)用，網(wǎng)絡(luò)協(xié)議等基礎(chǔ)組件互相依賴軟件模塊A模塊B模塊C動(dòng)態(tài)鏈接庫功能代碼塊網(wǎng)絡(luò)協(xié)議域名地址DNS/IPEmail漏洞載體多種多樣；每個(gè)環(huán)節(jié)都有隱患；軟件空間關(guān)系復(fù)雜！軟件軟件《2021年中國(guó)軟件供應(yīng)鏈安全綜合分析報(bào)告》在被分析的2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中，無一例外，均使用了開源軟件。100%2020年檢測(cè)的1364個(gè)開源軟件項(xiàng)目整體缺陷密度為14.96個(gè)/千行，高危缺陷密度為0.95個(gè)/千行。0.95個(gè)/千行近9成軟件項(xiàng)目存在已知開源軟件漏洞，在2557個(gè)國(guó)內(nèi)企業(yè)軟件項(xiàng)目中，存在已知超危開源軟件漏洞的項(xiàng)目有1802個(gè)，占比為70.5%。9成平均每個(gè)軟件項(xiàng)目存在66個(gè)已知開源軟件漏洞，最高的一個(gè)項(xiàng)目1200個(gè)漏洞。66個(gè)15年前的開源軟件漏洞仍然存在于多個(gè)軟件項(xiàng)目中，最古老的漏洞是2005年11月公開的CVE-2005-3510，仍然存在于31個(gè)項(xiàng)目中。15年18年前的老舊開源軟件版本仍在被使用，2003年3月3日發(fā)布的ApacheXalan2.5.D1，已經(jīng)有18年之久，但仍然被7個(gè)軟件項(xiàng)目所使用。18年發(fā)展趨勢(shì)：軟件供應(yīng)鏈威脅將成為新的威脅趨勢(shì)國(guó)際局勢(shì)網(wǎng)絡(luò)空間對(duì)抗加劇現(xiàn)狀，會(huì)使供應(yīng)鏈安全問題突顯技術(shù)趨勢(shì)數(shù)字化轉(zhuǎn)型現(xiàn)狀，會(huì)形成軟件應(yīng)用大爆發(fā)趨勢(shì)國(guó)家戰(zhàn)略國(guó)家戰(zhàn)略會(huì)使國(guó)內(nèi)應(yīng)用生態(tài)規(guī)模急速膨脹開發(fā)模式用開源組件構(gòu)建應(yīng)用的開發(fā)現(xiàn)狀，會(huì)導(dǎo)致安全漏洞數(shù)量巨增國(guó)家層面：公安部1960號(hào)文明確供應(yīng)鏈安全要求二、深入貫徹實(shí)施國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度（五）加強(qiáng)供應(yīng)鏈安全管理。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)加強(qiáng)網(wǎng)絡(luò)關(guān)鍵人員的安全管理，第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)對(duì)為其提供設(shè)計(jì)、建設(shè)、運(yùn)維、技術(shù)服務(wù)的機(jī)構(gòu)和人員加強(qiáng)管理，評(píng)估服務(wù)過程中可能存在的安全風(fēng)險(xiǎn)，并采取相應(yīng)的管控措施。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)加強(qiáng)網(wǎng)絡(luò)運(yùn)維管理，因業(yè)務(wù)需要確需通過互聯(lián)網(wǎng)遠(yuǎn)程運(yùn)維的，應(yīng)進(jìn)行評(píng)估論證，并采取相應(yīng)的管控措施。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)采購(gòu)、使用符合國(guó)家法律法規(guī)和有關(guān)標(biāo)準(zhǔn)規(guī)范要求的網(wǎng)絡(luò)產(chǎn)品及服務(wù)，第三級(jí)以上網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)積極應(yīng)用安全可信的網(wǎng)絡(luò)產(chǎn)品及服務(wù)。三、建立并實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度（五）強(qiáng)化核心崗位人員和產(chǎn)品服務(wù)的安全管理。要對(duì)專門安全管理機(jī)構(gòu)的負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查，加強(qiáng)管理。要對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計(jì)、建設(shè)、運(yùn)行、維護(hù)等服務(wù)實(shí)施安全管理，采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，確保供應(yīng)鏈安全。當(dāng)采購(gòu)產(chǎn)品和服務(wù)可能影響國(guó)家安全的，應(yīng)按照國(guó)家有關(guān)規(guī)定通過安全審查。公安機(jī)關(guān)加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全服務(wù)機(jī)構(gòu)的安全管理，為運(yùn)營(yíng)者開展安全保護(hù)工作提供支持。典型軟件供應(yīng)鏈風(fēng)險(xiǎn)總結(jié)應(yīng)對(duì)措施對(duì)供應(yīng)商提出明確的安全要求充分評(píng)估軟件廠商的安全能力，簽署安全責(zé)任協(xié)議建立供應(yīng)商安全準(zhǔn)入機(jī)制建立軟件安全性檢測(cè)能力供應(yīng)商自身存在的安全風(fēng)險(xiǎn)供應(yīng)商網(wǎng)絡(luò)安全缺陷、端口暴露、弱密碼、弱口令等軟件產(chǎn)品本身的安全風(fēng)險(xiǎn)開源風(fēng)險(xiǎn)、軟件漏洞等應(yīng)對(duì)措施遵循軟件安全開發(fā)生命周期管理流程嚴(yán)格管控上游，尤其重點(diǎn)管控開源軟件的使用建立完善的產(chǎn)品漏洞響應(yīng)機(jī)制供應(yīng)鏈安全威脅系統(tǒng)生命周期的各個(gè)環(huán)節(jié)都可能存在供應(yīng)鏈安全風(fēng)險(xiǎn)利用供應(yīng)鏈各個(gè)階段的弱點(diǎn)進(jìn)行的攻擊，可稱為供應(yīng)鏈攻擊開發(fā)生產(chǎn)階段01集成交付階段02運(yùn)維運(yùn)行階段03代碼缺陷開源組件風(fēng)險(xiǎn)開發(fā)工具污染生產(chǎn)系統(tǒng)污染設(shè)計(jì)方案實(shí)施方案配置錯(cuò)誤策略失誤配置信息升級(jí)劫持跳板攻擊違規(guī)操作供應(yīng)鏈安全治理總體框架供應(yīng)鏈安全監(jiān)管監(jiān)管機(jī)構(gòu)企業(yè)開發(fā)機(jī)構(gòu)（供應(yīng)商）供應(yīng)鏈安全開發(fā)企業(yè)管理機(jī)構(gòu)（甲方）供應(yīng)鏈安全管理監(jiān)管支撐監(jiān)管供應(yīng)鏈安全測(cè)評(píng)測(cè)評(píng)機(jī)構(gòu)強(qiáng)約束強(qiáng)監(jiān)管企業(yè)管理機(jī)構(gòu)有義務(wù)受監(jiān)管機(jī)構(gòu)的強(qiáng)監(jiān)管企業(yè)管理機(jī)構(gòu)有義務(wù)對(duì)企業(yè)開發(fā)機(jī)構(gòu)進(jìn)行強(qiáng)約束企業(yè)管理機(jī)構(gòu)是供應(yīng)鏈安全管理的核心主體和第一責(zé)任人軟件供應(yīng)鏈安全管理：場(chǎng)景與需求識(shí)別供應(yīng)鏈安全監(jiān)管供應(yīng)鏈安全測(cè)評(píng)供應(yīng)鏈安全管理供應(yīng)鏈安全開發(fā)掌握全面的企業(yè)供應(yīng)鏈安全狀況的需求提供全面的供應(yīng)鏈安全測(cè)評(píng)服務(wù)的需求能夠全面管理供應(yīng)鏈安全入網(wǎng)、過程評(píng)估和應(yīng)急響應(yīng)的需求能夠研發(fā)安全的軟件產(chǎn)品的需求供應(yīng)鏈安全管理總體設(shè)計(jì)軟件供應(yīng)鏈安全管理總體設(shè)計(jì)信息安全領(lǐng)導(dǎo)小組職能體系商務(wù)體系研發(fā)體系運(yùn)維體系供應(yīng)鏈體系項(xiàng)目管理體系整改清零梳理供應(yīng)商隱患梳理產(chǎn)品隱患梳理供應(yīng)商梳理產(chǎn)品供應(yīng)鏈安全管理軟件采購(gòu)方、使用者的常態(tài)化的供應(yīng)鏈安全管理機(jī)制01供應(yīng)鏈安全開發(fā)軟件開發(fā)方的持續(xù)全員參與的，主動(dòng)、自動(dòng)的安全開發(fā)機(jī)制02管理辦法：《供應(yīng)鏈及代碼安全管理辦法》等技術(shù)方案：《供應(yīng)鏈及代碼安全管控技術(shù)方案》等軟件空間測(cè)繪入網(wǎng)檢測(cè)源代碼安全組件安全滲透測(cè)試安全評(píng)估安全檢測(cè)安全運(yùn)營(yíng)態(tài)勢(shì)感知安全編排安全培訓(xùn)安全設(shè)計(jì)安全部署流程管理攻防演練安全加固組織流程制度場(chǎng)景能力執(zhí)行制定面向支撐軟件供應(yīng)鏈安全管理總體設(shè)計(jì)：組織建設(shè)信息安全領(lǐng)導(dǎo)小組職能體系集團(tuán)管理部信息安全部法務(wù)部公關(guān)部資產(chǎn)管理審計(jì)商務(wù)體系采購(gòu)部商務(wù)與供應(yīng)鏈管理中心研發(fā)體系技術(shù)規(guī)劃部解決方案部技術(shù)研發(fā)部產(chǎn)品管理部質(zhì)量管理部運(yùn)維體系網(wǎng)絡(luò)運(yùn)維系統(tǒng)運(yùn)維桌面運(yùn)維安全運(yùn)維供應(yīng)鏈體系訂單管理物流管理采購(gòu)計(jì)劃質(zhì)量管理項(xiàng)目管理體系項(xiàng)目管理辦公室項(xiàng)目經(jīng)理質(zhì)量控制軟件供應(yīng)鏈安全治理是事關(guān)建黨100周年和冬奧會(huì)兩項(xiàng)重點(diǎn)任務(wù)在全國(guó)范圍內(nèi)開展的供應(yīng)鏈安全專項(xiàng)整治行動(dòng)組織建設(shè)是軟件供應(yīng)鏈安全專項(xiàng)整治行動(dòng)成功的保障全員參與，分工明確，責(zé)任到位依托現(xiàn)有信息安全管理架構(gòu)，側(cè)重軟件開發(fā)和供應(yīng)鏈管理相關(guān)部門軟件供應(yīng)鏈安全管理工作內(nèi)容與制度建設(shè)企業(yè)隱患清單產(chǎn)品隱患清單產(chǎn)品清單企業(yè)清單整改摸排制定供應(yīng)鏈產(chǎn)品清單梳理制定供應(yīng)鏈企業(yè)清單梳理制定供應(yīng)鏈產(chǎn)品安全隱患清單梳理制定供應(yīng)鏈企業(yè)安全隱患清單梳理制定供應(yīng)鏈安全隱患整改“清零”清單管理辦法技術(shù)方案《開發(fā)相關(guān)區(qū)域安全隔離管理辦法》《開發(fā)終端安全管理辦法》《開發(fā)相關(guān)數(shù)據(jù)防管理辦法》《供應(yīng)鏈及代碼安全管理辦法》《合作伙伴安全管理辦法》《開發(fā)環(huán)境安全域劃分及邊界防護(hù)技術(shù)方案》《開發(fā)終端安全管理技術(shù)方案》《開發(fā)相關(guān)數(shù)據(jù)防技術(shù)方案》《供應(yīng)鏈及代碼安全管控技術(shù)方案》軟件供應(yīng)鏈安全管理總體設(shè)計(jì)：能力供應(yīng)鏈安全管理01.供應(yīng)鏈安全開發(fā)02.具備供應(yīng)鏈安全入網(wǎng)能力具備供應(yīng)鏈安全檢查能力具備供應(yīng)鏈安全監(jiān)測(cè)能力具備安全培訓(xùn)能力具備安全需求分析具備安全設(shè)計(jì)能力具備安全開發(fā)能力具備安全測(cè)試能力具備安全部署/運(yùn)行能力具備安全使用能力具備流程管理能力供應(yīng)鏈安全管理中心：一個(gè)常態(tài)化的供應(yīng)鏈安全管理機(jī)制供應(yīng)商供應(yīng)商安全能力審查中心供應(yīng)商軟件入網(wǎng)檢測(cè)中心源代碼安全、組件安全、固件安全測(cè)評(píng)中心供應(yīng)鏈安全入網(wǎng)能力供應(yīng)商安全能力監(jiān)測(cè)與運(yùn)營(yíng)中心供應(yīng)鏈安全監(jiān)測(cè)能力供應(yīng)商軟件系統(tǒng)安全評(píng)估服務(wù)供應(yīng)商軟件供應(yīng)渠道安全評(píng)估服務(wù)供應(yīng)鏈安全檢查能力三大職能解決供應(yīng)鏈安全管理需求供應(yīng)鏈安全管理建設(shè)供應(yīng)商軟件入網(wǎng)檢測(cè)建立供應(yīng)鏈安全防