翼城旭日辉煌网络科技工作室

關鍵信息基礎設施安全防護

五大具體對(duì)策措施

一、加強關鍵信息基礎設施安全保護工作的組織領導

1、建立關鍵信息基礎設施安全保護工作的組織領導體系，落實網絡安全責任制。

保護工作部門要(yào / yāo)建立健全網絡安全工作的組織領導體系，強化“一盤棋”思想，認真落實網絡安全責任制和責任追究制度；要(yào / yāo)明确一名領導班子成員分管關鍵信息基礎設施安全保護工作，并明确具體負責的司局級單位。

運營者要(yào / yāo)嚴格落實《黨委（黨組）網絡安全工作責任制實施辦法》，并明确一名領導班子成員爲首席網絡安全官，分管關鍵信息基礎設施安全保護工作；設置專門安全管理機構，确定關鍵崗位。同時，要(yào / yāo)建立健全網絡安全管理和評價考核制度，加強網絡安全統籌規劃和貫徹實施。

2、動态掌握關鍵信息基礎設施基本情況及安全保護狀況，做到底數清、情況明。

保護工作部門和運營者應按照關鍵信息基礎設施識别認定指南，分析識别和認定國家(jiā)關鍵信息基礎設施并報公安部；在此基礎上，組織開展摸底調查，梳理排查關鍵信息基礎設施建設、運行(háng / xíng)、管理情況及安全保護狀況，全面掌握網絡基礎設施、重要(yào / yāo)業務系統和重要(yào / yāo)數據等資源底數和網絡資産，建立檔案并動态更新。

保護工作部門要(yào / yāo)定期組織對(duì)本行(háng / xíng)業已确認的關鍵信息基礎設施進行(háng / xíng)按照審查評估。當關鍵信息基礎設施發(fā／fà)生(shēng)較大變化時，運營者要(yào / yāo)及時報告保護工作部門；保護工作部門應在收到報告後(hòu)3個月内完成重新認定，并将認定結果報公安部備案。

3、建立關鍵信息基礎設施核心崗位人員管理制度，加強專門機構和人員管理。

運營者要(yào / yāo)加強關鍵信息基礎設施專門安全管理機構人力、财力、物力方面的投入和保障，建立專門工作機制，明确專門安全管理機構在關鍵信息基礎設施安全保護計劃、能(néng)力建設、應急演練、事(shì)件處置、教育培訓、安全管理、評價考核等方面的職責，确保專門安全管理機構有效運轉；

加強關鍵信息基礎設施核心崗位人員管理，建立健全各項管理制度，強化專門安全機構的負責人及關鍵核心崗位人員管理，組織對(duì)其(qí)進行(háng / xíng)安全背景審查，審查時應征求公安機關、國家(jiā)安全機關的意見，審查情況應報送保護工作部門；

加強關鍵信息基礎設施設計、建設、運行(háng / xíng)、維護等服務實施安全管理，采購安全可(kě)信的網絡産品和服務，确保供應鏈安全，采購的産品和服務可(kě)能(néng)影響國家(jiā)安全的，應按照國家(jiā)有關規定通過(guò)安全審查。

公安機關應加強對(duì)關鍵信息基礎設施安全服務機構的安全管理，爲運營者開展安全保護工作提供支持。

二、大力提升關鍵信息基礎設施安全保護能(néng)力

1、制定關鍵信息基礎設施安全保護規劃及安全建設方案，組織開展安全建設試點示範。

保護工作部門應結合關鍵信息基礎設施安全需求，按照“實戰化、體系化、常态化”保護要(yào / yāo)求，組織制定并實施本行(háng / xíng)業關鍵信息基礎設施安全保護總體規劃和安全防護策略，加強網絡安全和業務發(fā／fà)展的統籌協調，創造有利于(yú)業務發(fā／fà)展的網絡安全環境，确保安全保護措施與關鍵信息基礎設施“同步規劃、同步實施、同步運行(háng / xíng)”。

運營者應按照關鍵信息基礎設施安全保護規劃，組織制定安全建設方案，确保安全規劃任務目标有效落實。安全保護規劃和安全建設方案應通過(guò)國家(jiā)關鍵信息基礎設施安全保護專家(jiā)組的評估審議。公安部将選擇典型的關鍵信息基礎設施開展安全建設試點示範，推進實施安全可(kě)控應用(yòng)示範工程，集中資源力量開展安全保護技術攻關和應用(yòng)創新，總結提煉建設經驗做法，加強宣傳推廣。

2、全面深入開展關鍵信息基礎設施安全建設，大力提升安全防護能(néng)力。

運營者應按照《網絡安全法》和國家(jiā)網絡安全等級保護制度要(yào / yāo)求，依據《網絡安全等級保護基本要(yào / yāo)求》《網絡安全等級保護安全設計技術要(yào / yāo)求》等國家(jiā)标準，開展相應等級的網絡安全建設，健全完善網絡安全管理制度，加強技術防護，建設關鍵信息基礎設施綜合防禦體系。

在落實網絡安全等級保護制度的基礎上，按照《關鍵信息基礎設施安全保護要(yào / yāo)求》和行(háng / xíng)業特殊要(yào / yāo)求，強化整體防護、監測預警、應急處置、數據保護等重點保護措施，合理分區分域，收斂互聯網暴露面，加強網絡攻擊威脅管控，強化縱深防禦，積極利用(yòng)新技術開展安全保護，構建以密碼技術、可(kě)信計算、人工智能(néng)、大數據分析等爲核心的網絡安全保護體系，不斷提升内生(shēng)安全、主動免疫和主動防禦能(néng)力。

3、認真組織開展演習演練、安全檢測和風險評估，及時發(fā／fà)現深層次問題隐患和威脅。

關鍵信息基礎設施安全建設完成後(hòu)，保護工作部門、運營者應增強憂患意識，防範風險隐患，定期組織開展自(zì)查自(zì)糾，按照國家(jiā)有關工作部署要(yào / yāo)求，針對(duì)關鍵信息基礎設施開展網絡攻防實戰演習和應急演練，組織技術檢測力量定期對(duì)關鍵信息基礎設施進行(háng / xíng)全面、深度滲透測試，開展專項風險評估，聚焦重點、抓綱帶目、綜合施策、攻防相長，及時發(fā／fà)現關鍵信息基礎設施安全保護工作薄弱環節，從管理和技術層面挖掘關鍵信息基礎設施深層次安全風險隐患，防微杜漸，不斷提升關鍵信息基礎設施安全風險隐患的主動發(fā／fà)現能(néng)力和攻防對(duì)抗能(néng)力。

4、針對(duì)問題和風險隐患認真組織開展安全整改加固，及時消除和化解威脅關鍵信息基礎設施安全的重大風險。

針對(duì)主動發(fā／fà)現和公安機關通報反饋的各類安全問題隐患及風險威脅，運營者應建立清單台賬，逐一制定安全整改方案，及時開展整改加固。針對(duì)突出的安全隐患，運營者要(yào / yāo)立行(háng / xíng)立改，不能(néng)立即整改到位的，要(yào / yāo)采取有效的措施管控安全風險，完善安全保護措施，确保發(fā／fà)現的問題隐患及時整改清零銷賬，及時消除和化解威脅關鍵信息基礎設施安全的重大風險，着(zhe／zhuó／zhāo／zháo)力防範各類風險隐患聯動交彙、累積疊加，守住安全底線，不斷提升關鍵信息基礎設施安全保護能(néng)力。

公安機關将建立重大安全風險隐患挂牌督辦制度，對(duì)運營者網絡安全工作不力、重大安全問題隐患久拖不改，或者存在較大網絡安全風險、發(fā／fà)生(shēng)重大網絡安全案事(shì)件的，會(huì)同行(háng / xíng)業主管部門對(duì)相關負責人進行(háng / xíng)約談，挂牌督辦。

5、加強數據安全和新技術新應用(yòng)風險管控。

運營者應對(duì)核心業務系統所(suǒ)承載和處理的數據進行(háng / xíng)深入梳理排查，确認數據類型和資産情況，全面摸排數據資産并進行(háng / xíng)分級分類管理；對(duì)數據采集、存儲、處理、應用(yòng)、提供、銷毀等環節，全面進行(háng / xíng)風險排查和隐患分析；加強新技術新應用(yòng)安全保護和風險管控，配合公安機關打擊整治針對(duì)新技術、新業态的網絡違法犯罪，打造自(zì)主可(kě)控的安全防護體系。

數據處理者應落實網絡安全等級保護制度，開展數據定級備案、安全建設整改、檢測評估等工作，及時消除風險隐患，确保數據全生(shēng)命周期的安全。針對(duì)供應鏈安全、郵件系統安全、網站安全、數據安全、新技術新應用(yòng)網絡安全等方面存在的突出問題，保護工作部門應适時組織開展專項整治行(háng / xíng)動，整改突出問題，及時排除重大安全風險隐患。

三、大力提高網絡安全通報預警和應急處置能(néng)力

1、建設網絡安全監控指揮中心，落實常态化實時監測發(fā／fà)現機制。

保護工作部門和運營者要(yào / yāo)調動各方資源力量，建設網絡安全監控指揮中心，全面加強網絡安全監測，對(duì)本行(háng / xíng)業、本領域的關鍵信息基礎設施、重要(yào / yāo)網絡等開展7x24小時實時監測，形成立體化的安全監測預警體系，嚴密監測網絡運行(háng / xíng)狀态和網絡安全威脅等情況，一旦發(fā／fà)現異常、網絡攻擊和安全威脅，立即采取有效措施，嚴密防範網絡安全重大事(shì)件發(fā／fà)生(shēng)。

公安部将統籌保護工作部門和運營者的網絡安全監測預警資源，加強網絡新技術研究和應用(yòng)，健全完善常态化網絡安全實時監測體系，構建國家(jiā)層面的網絡安全實時監測、通報預警、偵查調查、安全防護等工作體系，形成協同聯動的國家(jiā)關鍵信息基礎設施安全監測體系。

2、建設并應用(yòng)關鍵信息基礎設施安全保護平台，大力開展網絡安全監測預警和應急處置。

要(yào / yāo)加強網絡新技術研究和應用(yòng)，研究繪制網絡空間地理信息圖譜，實現挂圖作戰。保護工作部門、運營者要(yào / yāo)按照公安部的要(yào / yāo)求，建設本行(háng / xíng)業、本單位的網絡安全保護平台，通過(guò)布設探針、數據推送等多種方式，彙聚各類網絡安全數據資源，建設平台智慧大腦，依托平台和大數據開展實時監測、通報預警、應急處置、安全防護、指揮調度等工作。同時，各保護工作部門和運營者的安全保護平台應與公安機關相關工作平台對(duì)接聯動，配合公安機關布設探針，利用(yòng)人工智能(néng)技術和大數據分析技術，依托平台和大數據構建聯合預警、協同防禦體系，形成縱橫聯通、協同作戰的立體化關鍵信息基礎設施安全保護大平台。

3、健全完善網絡與信息安全信息通報機制，大力開展信息通報預警。

保護工作部門要(yào / yāo)進一步建立健全本行(háng / xíng)業、本領域關鍵信息基礎設施安全通報預警機制，加強通報預警力量建設，及時收集、彙總、分析各方網絡安全信息，加強威脅情報工作，掌握關鍵信息基礎設施運行(háng / xíng)狀況和安全态勢。保護工作部門應及時将有關安全漏洞、威脅及事(shì)件等信息彙總報送國家(jiā)網絡與信息安全信息通報中心，及時通報預警網絡安全威脅隐患。運營者要(yào / yāo)深入開展網絡安全監測預警和信息通報工作，及時接收、處置來自(zì)國家(jiā)、行(háng / xíng)業和地方的網絡安全預警通報信息；發(fā／fà)生(shēng)重大和特别重大網絡安全事(shì)件或者發(fā／fà)現重大網絡安全威脅時，應按規定及時向保護工作部門和備案公安機關報告，快速處置突發(fā／fà)事(shì)件并及時通報預警。

4、制定網絡安全事(shì)件應急預案并定期開展應急演練，提高應急處置能(néng)力。

保護工作部門和運營者要(yào / yāo)立足于(yú)主動預防，提升網絡安全預知、預警和預置能(néng)力，加強網絡安全事(shì)件應急指揮能(néng)力、應急力量建設和應急資源儲備。保護工作部門要(yào / yāo)統籌規劃網絡安全應急處置體系建設，針對(duì)關鍵信息基礎設施可(kě)能(néng)遭受網絡攻擊、數據洩露等突出情況，按照國家(jiā)網絡安全事(shì)件應急預案要(yào / yāo)求，建立健全本行(háng / xíng)業、本領域網絡安全事(shì)件應急預案，完善應急處置機制，定期組織應急演練；指導運營者做好網絡安全事(shì)件應對(duì)處置，并給予技術支持和協助。運營者應按照應急預案積極開展應急演練，熟練掌握處置規程，不斷提升應對(duì)處置突發(fā／fà)網絡安全事(shì)件的能(néng)力和水平。

5、及時處置網絡安全突發(fā／fà)事(shì)件，配合公安機關開展事(shì)件調查和溯源固證。

保護工作部門、運營者應與公安機關建立網絡安全案事(shì)件報告制度和應急處置機制。關鍵信息基礎設施一旦發(fā／fà)生(shēng)重大網絡安全事(shì)件，運營者應第一時間向保護工作部門和公安機關報告，并立即組織分析研判，啓動指揮調度機制，開展應急處置工作，同時按照有關操作規程保護現場、留存相關記錄線索，并配合公安機關開展事(shì)件調查處置和偵查打擊等工作。保護工作部門應加強對(duì)應急處置工作的指導，優化事(shì)件處置方案，并根據運營者的需要(yào / yāo)提供技術支持和協助，必要(yào / yāo)時協調國家(jiā)網信部門、公安機關和工業和信息化部門等提供技術支持。保護工作部門和運營者應保護事(shì)件現場，配合公安機關開展事(shì)件偵查調查和立案打擊工作。

四、大力提高應對(duì)大規模網絡攻擊的能(néng)力

1、加強網絡安全威脅情報工作，提高主動發(fā／fà)現威脅風險的能(néng)力。

保護工作部門、運營者應加強網絡安全威脅情報體系建設，組織開展關鍵信息基礎設施威脅情報搜集工作。保護工作部門應指導運營者建立情報分析研判機制，調動技術支持單位資源力量，培養威脅情報專業人才，圍繞本行(háng / xíng)業、本領域關鍵信息基礎設施安全保護工作，主動獲取和分析挖掘威脅情報、行(háng / xíng)動性線索，及時發(fā／fà)現對(duì)關鍵信息基礎設施和重要(yào / yāo)網絡進行(háng / xíng)攻擊竊密和破壞的動向，提升威脅情報搜集和分析研判能(néng)力。保護工作部門、運營者與公安機關要(yào / yāo)建立威脅情報共享機制，充分發(fā／fà)揮各方優勢，拓寬情報來源，及時整合分析各方情報線索，提高主動發(fā／fà)現和處置威脅風險的能(néng)力：

建立威脅情報共享機制，加強主動防禦；
加強情報搜集，構建一體化的網絡安全威脅情報共享機制，及時發(fā／fà)現苗頭動向、及時預警防範、及時追蹤溯源、及時開展反制；
依托大數據分析技術，實現安全數據、環境數據、情報數據的關聯分析，精準發(fā／fà)現設備、系統、數據間的内在線索，挖掘大數據背後(hòu)隐藏的衆多網絡安全事(shì)件，定位攻擊源，溯源事(shì)件過(guò)程和攻擊路徑；
将網絡安全與業務深度融合，化繁爲簡，由内向外，聯動通報處置事(shì)件。

2、加強網絡安全實戰演習演練，檢驗并有力促進網絡安全綜合防禦能(néng)力和對(duì)抗能(néng)力。

保護工作部門和運營者要(yào / yāo)針對(duì)本行(háng / xíng)業、本領域關鍵信息基礎設施：

開展網絡攻防演練及比武競賽，及時發(fā／fà)現整改網絡安全深層次問題隐患，檢驗網絡安全防護有效性和應急處置能(néng)力；
以攻促防，增強保護彈性和網絡攻防技術對(duì)抗及謀略鬥争能(néng)力；
平戰結合，立足應對(duì)大規模網絡攻擊威脅，強化合成作戰。

演練時，要(yào / yāo)以本行(háng / xíng)業運營者爲防守方，将關鍵信息基礎設施設爲攻擊目标，組建安全可(kě)靠、技術過(guò)硬的攻擊隊伍、應急處置隊伍、技術支持隊，模拟多種形式的攻擊手法進行(háng / xíng)攻防演練。

同時，保護工作部門和運營者要(yào / yāo)密切配合公安機關組織開展的攻防演習，不斷提煉總結實戰經驗，促進實現網絡攻防演習常态化，不斷提升關鍵信息基礎設施綜合防禦能(néng)力和對(duì)抗能(néng)力。

開展攻防對(duì)抗演練，有力提升攻防對(duì)抗能(néng)力：

一是創新完善網絡攻防演習的内容和方式，構建形成多層次、體系化、常态化的演習機制，适時開展對(duì)抗演習，并在行(háng / xíng)業内部組織紅藍隊伍，定期開展網絡攻防對(duì)抗，提高技術對(duì)抗、智慧較量、謀略對(duì)抗能(néng)力；

二是專注攻擊技術研究，持續進步，在加強防護的基礎上，深入收集并研究攻擊者常用(yòng)的工具方法，做到對(duì)内發(fā／fà)現漏洞、補齊短闆，對(duì)外展示能(néng)力、形成震懾；

三是堅持練戰結合，積極探索将攻防演習的手段方法應用(yòng)于(yú)關鍵信息基礎設施日常監測、通報預警，優化完善網絡安全防護方法，堅持底線思維，提升安全防護能(néng)力，防範化解重大網絡安全風險。

3、充分調動社會(huì)力量，共同建立關鍵信息基礎設施綜合防禦體系。

保護工作部門、運營者要(yào / yāo)統籌資源和力量，充分發(fā／fà)揮行(háng / xíng)業技術支持力量、網絡安全科研機構、網絡安全企業等的積極性、主動性和創新性，重點參與網絡安全核心技術攻關、網絡安全試點示範、總體規劃、安全建設方案制定等工作。

公安部将充分調動社會(huì)力量，加強關鍵信息基礎設施安全協同協作、互動互補、共治共享和群防群治，建立健全公安機關牽頭、重要(yào / yāo)行(háng / xíng)業部門配合、社會(huì)力量參與的關鍵信息基礎設施安全保護工作新局面，形成各方主體各司其(qí)職、各負其(qí)責、齊抓共管的關鍵信息基礎設施聯防聯控體系。

4、收斂互聯網暴露面，加強攻擊點管控。

一是縮減、集中互聯網出入口：各重要(yào / yāo)行(háng / xíng)業部門分支機構在設計互聯網出入口時應向上或就(jiù)近歸集管理，減少互聯網出入口數量，在互聯網出入口部署安全防護設備；對(duì)采用(yòng)VPN方式歸集的，應落實流量控制、身份鑒别等安全措施。

二是壓縮網站數量，加強域名管理：梳理互聯網網站，排查曆史域名，及時清除廢棄域名，确保在線應用(yòng)系統全部可(kě)管、可(kě)控。

三是加強終端控制：部署終端統一管控措施，及時修補漏洞；強化用(yòng)戶管理，集中管控用(yòng)戶操作行(háng / xíng)爲日志，加強特權用(yòng)戶設備及賬号的自(zì)動發(fā／fà)現、申領和保管。

四是清理老舊資産：建立動态資産台賬，掌握資産分布與歸屬情況；關停老舊和廢棄系統，下(xià)線過(guò)期資産，清理無用(yòng)賬戶。

五是加強App管理：根據移動業務需求，厘清現有移動端App狀況，按照最小化原則，歸集建設與壓縮；加強App和應用(yòng)後(hòu)端的安全檢測與防護，嚴格控制信息外洩。

5、梳理網絡資産，開展重點防護和加固。

一是對(duì)核心系統進行(háng / xíng)精準防護：對(duì)雲平台、堡壘機、域控服務器等核心系統在主機層部署防護手段，實現主機内核加固、文件保護、登錄防護、服務器漏洞修複、系統資源監控等安全防護功能(néng)。

二是對(duì)網絡實施精細化管控：将混雜的流量分成管理、業務、應用(yòng)等維度進行(háng / xíng)管理；通過(guò)設備指紋、人機識别保障業務正常開展，精準攔截各種攻擊。

三是強化郵件服務器安全管控：加強郵件系統安全認證；梳理與郵件系統相關聯的系統，嚴格控制訪問策略，禁止敏感文件通過(guò)郵箱發(fā／fà)送和存儲，定期清理郵件信息。

四是及時發(fā／fà)現漏洞并修複：實時跟進漏洞預警，加強各類漏洞的檢測發(fā／fà)現、巡查修補；建立白名單訪問機制，攔截超出白名單的訪問行(háng / xíng)爲，防範零日漏洞。

6、網絡架構合理分區分域，加強縱深防禦。

一是網絡分區：根據業務和安全需要(yào / yāo)、現有網絡或物理地域狀況等，将網絡劃分爲不同的安全區域。

二是域間隔離：根據系統功能(néng)和訪問控制關系，對(duì)網絡進行(háng / xíng)分區分域管理；每個區域設置獨立的隔離控制手段和訪問控制策略。

三是縱向防護；在安全防護縱深上采用(yòng)認證、加密、訪問控制等技術措施，實現數據的遠距離安全傳輸及縱向邊界的安全防護，防止被層層突破、直搗核心。

五、大力加強重要(yào / yāo)基礎工作和保障

1、加強網絡安全專門機構建設和人才培養，大力提升網絡安全隊伍實戰能(néng)力。

運營者要(yào / yāo)根據關鍵信息基礎設施安全保護需求，在人才選拔、任用(yòng)、培訓方面形成有效機制，堅持培養和引進并舉，加強專門機構建設和人才培養，根據實際需求，突出實戰實訓，建立健全教學練戰一體化的網絡安全教育訓練體系。

保護工作部門、運營者要(yào / yāo)組織行(háng / xíng)業專業力量，積極參加國家(jiā)層面的“網鼎杯”等網絡安全比武競賽，并組織開展行(háng / xíng)業内部網絡安全比武競賽，以賽代練、以賽促防，不斷發(fā／fà)現、選撥、培養行(háng / xíng)業網絡安全專業人才，壯大人才隊伍，大力提升網絡安全隊伍實戰能(néng)力。

加強專業人才培養，打造實戰化隊伍：

一是設置專門網絡安全管理機構，配備專職人員，加強人才培育和教育訓練，加大科技攻關和信息化手段建設；

二是通過(guò)組織實戰演習、舉辦網絡安全大賽，建立特殊攻防人才的發(fā／fà)現、選拔、使用(yòng)機制；

三是各重點單位與公安機關密切配合，通過(guò)培訓和實戰訓練，大力提升關鍵安全崗位人員實戰化能(néng)力；四是要(yào / yāo)深入開展網絡安全知識技能(néng)宣傳普及，提高普通人員的網絡安全意識和防護技能(néng)。

2、加強管理和技術創新，充分利用(yòng)新技術、新手段提升網絡安全綜合保護能(néng)力。

保護工作部門、運營者要(yào / yāo)加強信息技術創新融合發(fā／fà)展，依托大數據、人工智能(néng)、區塊鏈、可(kě)信計算等新技術新應用(yòng)，大力開展關鍵信息基礎設施安全保護工作，在安全産品、工具研發(fā／fà)、滲透測試、追蹤溯源、情報搜集等方面實現技術突破，通過(guò)機器學習、網絡空間地理測繪等新技術新應用(yòng)，綜合彙聚分析各方網絡安全數據資源，形成關鍵信息基礎設施基礎數據資源池。同時，依托信息化手段建設應用(yòng)管理平台，強化數據信息分析處理，加強關鍵信息基礎設施全流程管控，堵塞管理盲點漏洞，提升網絡安全綜合保護能(néng)力和效能(néng)。

3、加強網絡安全經費保障和信息化手段建設，大力提升網絡安全技術保護能(néng)力。

保護工作部門、運營者要(yào / yāo)加強關鍵信息基礎設施安全保護工作經費保障，通過(guò)現有經費渠道，保障關鍵信息基礎設施開展等級測評、風險評估、密碼應用(yòng)安全性檢測、演練競賽、安全建設整改、安全保護平台建設、運行(háng / xíng)維護、監督檢查、教育培訓等的經費投入。

運營者應保障網絡安全經費足額投入，作出網絡安全和信息化有關決策時應有網絡安全管理機構人員參與。保護工作部門、運營者要(yào / yāo)加強信息化手段建設，開展網絡安全技術産業和項目，支持網絡安全技術研究開發(fā／fà)和創新應用(yòng)，推動網絡安全産業健康發(fā／fà)展。

4、加快實施安全可(kě)信工程，有效防範和化解供應鏈帶來的網絡安全風險。

保護工作部門、運營者要(yào / yāo)加快推進關鍵信息基礎設施領域安全可(kě)信工程的實施，梳理排查關鍵信息基礎設施供應鏈安全風險，加強風險管控，從芯片、操作系統、數據庫等基礎軟硬件以及防火牆、入侵檢測設備等網絡安全專用(yòng)産品方面逐步進行(háng / xíng)安全可(kě)信升級替代，制定替代方案，從源頭上解決關鍵信息基礎設施安全隐患，有效防範和化解供應鏈帶來的網絡安全風險。

文章來源：關鍵信息基礎設施安全保護聯盟籌

關鍵信息基礎設施安全防護五大對(duì)策措施