贯彻落实《关键信息基础设施安全保护条例》，提升关键信息基础设施保护能力

37
2021 . 12 中国金融电脑
专题
Special Topic
贯彻落实《关键信息基础设施安全保护条例》，提升关键信息基础设施保护能力
北京农商银行始终高度重视网络信息安全，将根据《关键信息基础设施安全保护条例》及相关实施细则组织开展关键信息基础设施的识别和认定，切实做好关键信息基础设施全面保护，确保网络和信息系统安全稳定运行，支持全行各项业务稳健发展。

北京农商银行运行维护中心总经理
肖国彬
2021年7月30日，国务院总理李克强签署国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。

《条例》的发布实施是我国网络安全体系化管理的里程碑事件，标志着我国关键信息基础设施保护工作从此有章可循、有规可依。

学习好、贯彻好《条例》，对维护国家网络安全、保障关键信息基础设施平稳运行具有重要意义，是当前我国金融业科技工作的重要任务。

一、《条例》内容解读
1.明确关键信息基础设施范围和职责分工
《条例》明确指出，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统属于关键信息基础设施，国家对关键信息基础设施实行重点保护。

《条例》确定了以国家网信部门、国务院公安部门、
北京农商银行运行维护中心总经理 肖国彬
Copyright©博看网 . All Rights Reserved.
SPECIAL
关键信息基础设施保护工作部门（以下简称“保护工作部门”）及关键信息基础设施运营者（以下简称“运营者”）为主体的三层架构的关键信息基础设施安全综合保护责任体系。

2.明确关键信息基础设施认定机制
《条例》指出保护工作部门结合本行业、本领域实际，根据网络设施和信息系统等重要程度及遭到破坏、丧失功能或者数据泄露可能带来的危害程度、对其他行业和领域的关联性影响等因素制定关键信息基础设施认定规则；关键信息基础设施发生较大变化，可能影响其认定结果的，运营者应当及时将相关情况报告保护工作部门。

建立认定机制、持续开展评估是进行关键信息基础设施安全保护的基础和前提，金融行业关键信息基础设施实施细则的出台将有力指导、规范金融行业关键信息基础设施的设定和持续性管理。

3.明确运营者责任义务和工作内容
《条例》明确了运营者在关键信息基础设施综合保护中的主体责任地位。

一是在运维管理层面，安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用，每年至少进行一次网络安全检测和风险评估，及时报告重大网络安全事件和网络安全威胁。

二是在制度规范和组织架构层面，应当建立健全网络安全保护制度，保障人力、财力、物力投入；设置专门的安全管理机构，并对其负责人和关键岗位人员进行安全背景审查。

三是在安全保护层面，建立健全网络安全管理、评价考核制度，制定关键信息基础设施安全保护计划；组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估；制定本单位应急预案，定期开展应急演练，处置网络安全事件；认定网络安全关键岗位，组织开展网络安全工作考核；组织网络安全教育、培训；建立健全个人信息和数据安全保护制度，履行个人信息和数据安全保护责任。

四是在网络产品和服务提供者层面，运营者应当优先采购安全可信的网络产品和服务，明确网络产品和服务提供者的技术支持和安全保密义务与责任，并对履行情况进行监督。

4.明确相关部门法律责任
《条例》对运营者未履行安全保护主体责任、相关网络安全服务机构和有关部门失职或渎职及其他违法行为、有关主管部门及工作人员未能依法依规履行职责等情况，明确了处罚、处分、追究刑事责任等处理措施。

对实施非法侵入、干扰、破坏关键信息基础设施，危害其安全活动的组织和个人，依法予以处罚。

二、北京农商银行相关实践和探索
北京农商银行始终高度重视网络信息安全，不断加强关键信息基础设施运维管理，提升关键信息基础设施保护能力。

1.加强对关键信息基础设施的认识和领导
北京农商银行始终坚持加强党的领导，坚持高标准政治站位，统筹发展和安全，不断提高政治判断力、政治领悟力、政治执行力，把网络安全、数据安全、基础设施安全列入党委重要议事日程，研究制定、指导实施信息安全有关重大方针政策，统筹决策信息安全重大事项和重要工作。

北京农商银行成立了由党委书记任组长、主管行领导任副组长的信息科技管理委员会，定期听取信息安全工作汇报，统筹推动全行信息安全体系建设，完善信息安全管理体制机制。

此外，北京农商银行还成立了覆盖信息科技部、软件开发中心、运行维护中心的信息安全工作小组，定期召开轮值工作会议，组织推动安全体系评估及加固、漏洞整改等信息安全重点工作。

2.不断完善关键信息基础设施管理体制机制
一是结合《中华人民共和国网络安全法》《中华人民共和国数据安全法》《条例》等法律法规、监管要求，以及内外部检查、信息安全咨询等情况，每年年初组织信息科技制度修订，完善信息安全管理制度。

二是引入银行业头部企业信息安全咨询服务，整体评估信息安全薄弱环节，组织加强桌面安全、主机安全、流量监测和
Copyright©博看网 . All Rights Reserved.
38FINANCIAL COMPUTER OF CHINA
2021 . 12 中国金融电脑专题
Special Topic
溯源处置、一键式封禁、蜜罐等监测，并制定了相应的防护措施。

3.安全保护措施同步规划、同步建设、同步使用
一是将信息安全纳入网络设备和信息系统规划、建设、运维全生产周期管理，在规划层面，将信息安全评审作为技术评审的重要环节；在建设层面，对新建和重大改造的重要信息系统、面向互联网客户的信息系统进行代码扫描、动态安全测试和渗透测试；在运维层面，将漏洞扫描系统直接接入各安全区域进行全面扫描，最大程度发现网络设施、信息系统的漏洞并组织整改；定期组织等保测评、渗透测试，并根据测评情况组织安全加固。

二是在2021年投产的新核心银行系统建设过程中，全面梳理身份认证、权限及访问控制、安全审计、密码安全、数据安全、抗抵赖性、国密算法、客户信息保护等安全规范，构建灵活、高效的密钥管理及服务安全体系，确保新核心银行系统安全、可控。

4.提高关键信息基础设施的可用性
一是规范前端、应用、数据库及灾备架构，以集群架构取代HA架构，以NAS取代GPFS，数据库采用成熟可靠的MAA架构，杜绝架构单点风险，确保架构高可用性。

二是规范操作系统、中间件和数据库等版本，定期评估可接受版本和推荐版本，结合版本生命周期组织基础软件版本升级，杜绝版本停止服务支持的风险。

三是建设架构简单、易于维护、灵活调度同城双活与异地灾备相结合的“两地三中心”灾备体系，渠道接入采用域名解析实现客户端接入流量调度，支付结算类系统同时接入人行、银联、农信银双中心，同城双中心之间应用尽量不交叉访问，中心内部通过应用服务网关实现应用系统之间的调度，核心、柜面、手机银行、互联网支付、二代支付等22套重要应用系统及重要支撑系统实现同城双活运行。

异地灾备实现核心、柜面应用级灾备，保障柜面业务连续性。

在此基础上，每年组织开展“真切换、真接管”同城灾备演练，重要信息系统和重要支撑系统切换并连续运行一周时间，有效检验同城灾备接管能力。

5.提升关键信息基础设施的自动化水平
一是全面应用云计算、虚拟化、多租户等技术，发挥弹性扩展、快速供给、故障自动隔离等优势，实现PC服务器、小型机、数据库资源复用，使生产环境云化比例达到51.36%、开发测试云化比例达到95%。

二是全面实施运维投产、巡检和应急自动化，在新一代核心银行系统投产期间，126套系统实现版本投产自动化，投产平均耗时为542秒，较手工部署时间节约92%以上；基于目标主机命令输入、捕获输出结果并判断的工作方式实现应用系统深度巡检，一方面取代ECC 值班手工巡检工作，另一方面解决现有系统监控扩展性不足的问题，并实现集群系统应用版本一致性比对；全面推广常见问题处置、安全封禁、本地应急、灾备切换自动化，以“一键式”同城灾备切换演练为例，切换用时是手工方式的1/3，同城灾备切换时间平均小于10分钟，大幅提升了业务连续性管理水平。

6.加强关键信息基础设施人员配备和培养
一是在信息科技部、软件开发中心、运行维护中心分别设置信息安全岗位，统筹管理、开发、运维安全管理工作。

二是通过社会招聘与校园招聘相结合的方式，配备了符合信息安全管理、开发、运维需求的专业化人才队伍，建立7×24小时安全运维体系，实时监控、分析和处置信息安全事件。

三是积极参与北京市安全防护行动以及农信系统攻防竞赛，并在内部组织攻防对抗演练，通过实战培训和锻炼人才。

后续，北京农商银行将根据《条例》及相关实施细则组织开展关键信息基础设施的识别和认定，切实做好关键信息基础设施全面保护，确保网络和信息系统安全稳定运行，支持全行各项业务稳健发展。

Copyright©博看网 . All Rights Reserved.
39。