工業和信息化部近日啟動網絡安全技術應用試點示范項目推薦工作，示范項目重點引導方向包括并不限于：網絡安全防護，網絡安全監測預警，網絡安全應急處置，網絡安全檢測評估，新技術新應用安全，以及其他應用效果突出、創新性顯著、示范價值較高的網絡安全項目。

國家能源局舉行例行新聞發布會，發布2018年前三季度能源形勢、可再生能源并網運行情況、第三季度12398能源監管熱線投訴舉報受理情況，從五個方面解讀《關于加強電力行業網絡安全工作的指導意見》：一是全面貫徹落實習近平總書記關于網絡強國戰略的重要論述，從行業全局統籌指導網絡安全工作；二是強化網絡安全綜合治理格局，健全網絡安全管理體系；三是明確網絡安全工作重點，多措并舉加強電力行業網絡安全工作；四是明確安全可控的技術路線，構建更加獨立自主的電力行業網絡安全環境；五是加強機制創新，推動電力行業網絡安全實現新發展。

11月9日，以“主動安全　護航數字未來”為主題的2018合肥網絡安全大會成功召開。

公安部十一局郭啟全總工在技術論壇上談等保最新情況：一是等保2.0標準已在國家安標委最終審批，不日出臺。二是關于等保可信計算要求，都是可，不是應。最后強調5個重要工作內容：1、等級保護制度；2、通報預警機制；3、關鍵基礎設施保護；4、態勢感知大平臺；5、人才培養。目標是應對網絡戰。

習近平總書記一直關注互聯網的發展。

在今年4月20日召開的全國網絡安全和信息化工作會議上，習近平總書記強調，網信事業代表著新的生產力和新的發展方向，應該在踐行新發展理念上先行一步，圍繞建設現代化經濟體系、實現高質量發展，加快信息化發展，整體帶動和提升新型工業化、城鎮化、農業現代化發展。要發展數字經濟，加快推動數字產業化，依靠信息技術創新驅動，不斷催生新產業新業態新模式，用新動能推動新發展。要推動產業數字化，利用互聯網新技術新應用對傳統產業進行全方位、全角度、全鏈條的改造，提高全要素生產率，釋放數字對經濟發展的放大、疊加、倍增作用。要推動互聯網、大數據、人工智能和實體經濟深度融合，加快制造業、農業、服務業數字化、網絡化、智能化。

11月1日起，《公安機關互聯網安全監督檢查規定》（以下簡稱《規定》）開始施行。該《規定》主要根據《中華人民共和國人民警察法》、《中華人民共和國網絡安全法》兩部法律制定，明確規定了互聯網安全監督檢查的對象、內容、方法、過程和執行人，明確表述了各方的權利、義務以及應當承擔的法律責任。

據報道，法國公司Ingerop受到了黑客攻擊。黑客對法國公司Ingerop發起網絡攻擊，竊取與法國核電站計劃相關的機密文件。早在六月，該黑客就已竊取逾65G文件，這些文件包括核電站計劃，和監獄及有軌電車網絡的藍圖等內容。此外，在德國某租用服務器中發現部分失竊數據。

最近幾年里，各大公司發生的數據泄漏事件造成的影響和結果不可謂不慘烈，嚴守數據安全是企業的底線，此外云端系統安全、機器學習、AI和日益增長的網絡威脅也是Gartner認為在2019年要著重關注的安全發展趨勢。

2018年11月8日，全國信息安全標準化技術委員會（以下簡稱“信安標委”）秘書處在北京召開了國家標準《信息安全技術 關鍵信息基礎設施安全檢查評估指南》（報批稿）（以下簡稱《檢查評估指南》）試點工作啟動會。本次試點工作旨在驗證《檢查評估指南》標準內容的合理性和可操作性，為關鍵信息基礎設施安全檢查評估工作摸索經驗。

調查中指出，網絡安全技術平臺必須具備的8個特性分別是：1. 覆蓋電子郵件和Web安全等主流威脅(38%)；2. 集中管理所有產品和服務(33%)；3. 威脅預防、檢測與響應能力(31%)；4. 覆蓋終端、網絡、服務器和云工作負載(27%)；5. 基于云的后端服務，比如分析、威脅情報、特征碼/規則分發等等(26%)；6. 開放性，比如開放API、開發人員支持、生態系統合作伙伴等等(22%)；7. 緊耦合產品與服務的組合，比如提供中心命令與控制的產品與托管服務選項(20%)；8. 提供多種部署選項，比如現場部署、云交付、混合部署等(18%)。

在檢測到的威脅中（其中55%為木馬病毒）存在很多備受矚目且眾所周知的問題，例如TRITON和Mirai，以及Stuxnet的變種，其中Stuxnet（震網）蠕蟲就是一種民族國家用來破壞工業運營的攻擊類型。

在發現的惡意軟件中，9%被設計為直接利用USB協議或接口漏洞，使USB傳輸更加有效——特別是在較易受USB攻擊影響的較舊或配置較差的計算機上。

而有些惡意軟件更為先進，會直接攻擊USB接口本身：2%與常見的人機接口設備（HID）攻擊有關，這會使USB主機控制器誤認為存在鍵盤連接，從而允許惡意軟件鍵入命令并操縱應用程序。

11月13日，全國首個省級安全運營中心—青海省網絡安全監測管理中心揭牌儀式在西寧隆重舉行。啟明星辰信息集團總裁嚴立介紹到，啟明星辰率先提出了“第三方獨立安全運營”新模式，并將其確立為了公司的一項重要的戰略布局，立足于云計算、大數據、物聯網、工業互聯網、關鍵信息基礎設施保護、移動互聯網等新技術，可為用戶提供具有安全監測、安全應急、態勢感知、安全防護、安全事件處置能力的平臺。“啟明星辰集團有幸為青海省網絡安全建設工作提供專業的技術保障服務，并能借此為國家網絡強國戰略做出自己的貢獻，感到非常的榮幸。我們也將盡心盡力，發揮自身多年在信息安全領域的積累和實力，助力青海省壯大網絡安全實力、培養網絡安全人才，為青海省網絡安全工作添磚加瓦。”嚴立表示。

近日，北京圣博潤高新技術股份有限公司順利通過中國網絡安全審查技術與認證中心（即原中國信息安全認證中心）的審核，獲得三項最高等級的信息安全服務資質（信息系統安全集成、信息安全風險評估、信息安全應急處理）認證證書。

近日，在第五屆世界互聯網大會舉辦期間，中國電子科技網絡信息安全有限公司（簡稱中國網安）與俄羅斯卡巴斯基實驗室（簡稱卡巴斯基）在烏鎮共同簽署戰略合作備忘錄。根據合作備忘錄約定，雙方一致同意，在此前開展戰略合作的基礎上，深化工控安全、威脅情報、安全培訓等方面合作，并輪值舉辦中俄網絡空間安全“T3”國際論壇。這是中國網安與卡巴斯基繼2015年在第二屆世界互聯網大會期間首次簽訂戰略合作協議后的全新升級，更是中俄網絡安全企業間持續深化交流與互信的合作樣板。

近日，北京安控科技股份有限公司中標重點行業工控安全態勢感知能力提升工程項目--石油石化行業工控安全態勢感知節點應用試點。工控安全態勢感知能力是工控安全的基礎工作，也是主動防御的重要手段。本項目主要圍繞石油石化行業重要工業企業的態勢感知需求，支持政治可靠、技術先進、有影響力的相關安全企業或行業系統集成企業，在不少于30個重要石油石化企業部署工業企業側態勢感知節點設備，有效掌握工業企業安全態勢和防護現狀，并將監測數據匯聚至國家工控安全態勢感知平臺。國家工業信息安全發展研究中心將組織協同本次中標單位共同建立全國工控安全在線監測網絡，開展工控安全態勢感知節點應用試點工作，提升工業企業工控安全風險預警和應急處置效率。

近日，360企業安全集團與卓因達科技簽署戰略合作協議，聯合打造更安全、更智能的新一代智慧園區與公共交通自動售檢票方案。?卓因達科技與360企業安全集團強強聯合，將360企業安全成熟的企業級安全產品和最新的物聯網安全技術應用到自動售檢票與智慧園區系統中，有效規避來自互聯網的各種攻擊和威脅，防患于未然，為客戶提供更加安全的自動售檢票解決方案。

本文提出一種適用于煙草行業的工控系統安全監測與管控方案， 通過將安全監測系統和安全防護網關進行有機聯動，識別并預測工控系 統攻擊異常事件，并自動生成針對該攻擊異常事件的處理規則。同時， 防護網關運用該規則實現異常攻擊行為的阻斷，大大增強了工控系統安 全防護的可操作性，使異常攻擊事件得到及時的響應與處理，提升煙草 行業工控系統安全防護與預警能力，保障安全穩定運行。

隨著信息化和工業化的深度融合，工業控制系統在工業生產過程中得到了越來越廣泛的應用，很多研究者開始針對工控系統，特別針對工控網絡協議的安全性展開研究，模糊測試則是其中較為活躍的領域之一。當前工業控制系統模糊測試方法，模糊數據過于簡單隨機、對于異常定位精度不高、測試效率低下等缺點，本文結合工業控制系統高實時性和高可靠性的特點，制定基于字段分類的測試用例生成方法和精確的異常定位方法，提出一種針對工業控制系統的模糊測試方法。最后通過工業控制系統常用協議Modbus對該方法進行了仿真實驗，實驗結果表明本文提出的方法相對于傳統模糊測試方法，效率更高，覆蓋率更高。

根據卡巴斯基最近發布的一項研究指出，77％的工業環境安全專業人士認為，他們的組織很可能成為網絡安全事件的攻擊目標；與此同時，48％的受訪者表示，他們沒有特定的OT / ICS事件響應計劃，而31％的受訪者表示，他們的組織在2017年經歷過一次或多次安全事件。

事實上，任何系統面臨的安全性問題，歸根結底都由系統所具有的價值而決定。國家基礎工業領域中分布著大量工業控制系統，涵蓋了電力，石油，交通，水利等諸多方面，在國計民生中占據著重要的地位，其中的數據價值，持續運行價值都不可估量。出現任何安全問題，影響都不容小覷。國內外各行業工業控制系統正受到越來越多的安全關注，也越來越多地成為攻擊者的目標。

信息安全風險評估服務是我國信息安全保障工作的重要環節之一，信息安全風險評估技術手段一直為行業內所推崇。目前，因多方面因素影響，信息安全風險評估服務能力的水平在地區、行業間等呈現參差不齊的現象。結合SSE-CMM理論及信息安全風險評估服務的最優實踐，提出風險評估服務能力成熟度模型概念，即RAS-CMM。RAS-CMM圍繞資源配置、技術過程、項目管理等能力因素對風險評估服務能力等級提出理論評價框架。

6 薦讀 | 人工智能時代的國家安全：風險與治理

人工智能正在成為影響未來社會最重要的技術領域，世界各國紛紛出臺指導戰略，助力人工智能的創新與發展。然而，人工智能作為一項具有顛覆性的技術，其發展過程本身也蘊含著很大的風險與威脅。人工智能技術發展不僅會導致法律、倫理等方面的問題，也會引發國家安全領域的風險與威脅。本文根據人工智能技術和應用的發展趨勢，分析國家在不同領域所面對的安全風險，不僅有助于做好安全防范準備，也有助于處理好安全與發展之間的關系。加強對風險的有效應對，可以更好地保障人工智能技術的發展。在此基礎上，國家可以從提升風險意識、完善治理體系、加強監管能力和探求國際合作等多方面來構建風險分析和應對框架，提升國家安全的韌性。

7 重磅丨一文看懂網絡安全等級保護工業控制系統安全防護技術體系設計

在GB/T 25070中增加的工業控制系統安全設計要求的內容，是在國家標準GB/T25070-2010基礎上為適應工業控制新技術、新應用情況下而進行的修訂，制定統一的工業控制系統等級保護標準，建立整體安全防護體系及框架，給出了詳細、可實施的安全設計要求，可用于指導工業控制系統運營使用單位、信息安全服務機構開展等級保護安全技術方案設計，能夠有效應對針對工業控制系統環境的信息安全威脅，保護國家工業控制系統不被非法攻擊，保障重要工業控制系統的正常運行，從而確保國家工業基礎設施免遭破壞。

8 圍觀 | 如何治理關鍵信息基礎設施的重要信息資產漏洞？

在網絡安全領域，漏洞常被攻擊方視為“殺手锏”武器，又被防守方當作“萬惡之源”。漏洞本身雖然不產生危害，但一旦被利用，則極有可能帶來嚴重的威脅。關鍵信息基礎設施在數字化、網絡化、智能化轉型的過程中配置了大量信息資產，其網絡體系越來越復雜，漏洞作為“伴生體”所帶來的威脅問題日益凸顯。習近平總書記曾指出：要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。如何快速應對漏洞產生的威脅，降低關鍵信息基礎設施網絡安全風險，無疑是擺在新時代的一個迫切命題。本文針對某些關鍵信息基礎設施在接報漏洞后面臨的處置周期長、資產定位難等問題，進行針對性的調研，探索對其重要信息資產開展漏洞治理的工作，并總結了一些實踐經驗與同行同業分享和探討，以期拋磚引玉。

工業和信息化部近日啟動網絡安全技術應用試點示范項目推薦工作，示范項目重點引導方向包括并不限于：網絡安全防護，網絡安全監測預警，網絡安全應急處置，網絡安全檢測評估，新技術新應用安全，以及其他應用效果突出、創新性顯著、示范價值較高的網絡安全項目。

國家能源局舉行例行新聞發布會，發布2018年前三季度能源形勢、可再生能源并網運行情況、第三季度12398能源監管熱線投訴舉報受理情況，從五個方面解讀《關于加強電力行業網絡安全工作的指導意見》：一是全面貫徹落實習近平總書記關于網絡強國戰略的重要論述，從行業全局統籌指導網絡安全工作；二是強化網絡安全綜合治理格局，健全網絡安全管理體系；三是明確網絡安全工作重點，多措并舉加強電力行業網絡安全工作；四是明確安全可控的技術路線，構建更加獨立自主的電力行業網絡安全環境；五是加強機制創新，推動電力行業網絡安全實現新發展。

11月9日，以“主動安全　護航數字未來”為主題的2018合肥網絡安全大會成功召開。

公安部十一局郭啟全總工在技術論壇上談等保最新情況：一是等保2.0標準已在國家安標委最終審批，不日出臺。二是關于等保可信計算要求，都是可，不是應。最后強調5個重要工作內容：1、等級保護制度；2、通報預警機制；3、關鍵基礎設施保護；4、態勢感知大平臺；5、人才培養。目標是應對網絡戰。

習近平總書記一直關注互聯網的發展。

在今年4月20日召開的全國網絡安全和信息化工作會議上，習近平總書記強調，網信事業代表著新的生產力和新的發展方向，應該在踐行新發展理念上先行一步，圍繞建設現代化經濟體系、實現高質量發展，加快信息化發展，整體帶動和提升新型工業化、城鎮化、農業現代化發展。要發展數字經濟，加快推動數字產業化，依靠信息技術創新驅動，不斷催生新產業新業態新模式，用新動能推動新發展。要推動產業數字化，利用互聯網新技術新應用對傳統產業進行全方位、全角度、全鏈條的改造，提高全要素生產率，釋放數字對經濟發展的放大、疊加、倍增作用。要推動互聯網、大數據、人工智能和實體經濟深度融合，加快制造業、農業、服務業數字化、網絡化、智能化。

11月1日起，《公安機關互聯網安全監督檢查規定》（以下簡稱《規定》）開始施行。該《規定》主要根據《中華人民共和國人民警察法》、《中華人民共和國網絡安全法》兩部法律制定，明確規定了互聯網安全監督檢查的對象、內容、方法、過程和執行人，明確表述了各方的權利、義務以及應當承擔的法律責任。

據報道，法國公司Ingerop受到了黑客攻擊。黑客對法國公司Ingerop發起網絡攻擊，竊取與法國核電站計劃相關的機密文件。早在六月，該黑客就已竊取逾65G文件，這些文件包括核電站計劃，和監獄及有軌電車網絡的藍圖等內容。此外，在德國某租用服務器中發現部分失竊數據。

最近幾年里，各大公司發生的數據泄漏事件造成的影響和結果不可謂不慘烈，嚴守數據安全是企業的底線，此外云端系統安全、機器學習、AI和日益增長的網絡威脅也是Gartner認為在2019年要著重關注的安全發展趨勢。

2018年11月8日，全國信息安全標準化技術委員會（以下簡稱“信安標委”）秘書處在北京召開了國家標準《信息安全技術 關鍵信息基礎設施安全檢查評估指南》（報批稿）（以下簡稱《檢查評估指南》）試點工作啟動會。本次試點工作旨在驗證《檢查評估指南》標準內容的合理性和可操作性，為關鍵信息基礎設施安全檢查評估工作摸索經驗。

調查中指出，網絡安全技術平臺必須具備的8個特性分別是：1. 覆蓋電子郵件和Web安全等主流威脅(38%)；2. 集中管理所有產品和服務(33%)；3. 威脅預防、檢測與響應能力(31%)；4. 覆蓋終端、網絡、服務器和云工作負載(27%)；5. 基于云的后端服務，比如分析、威脅情報、特征碼/規則分發等等(26%)；6. 開放性，比如開放API、開發人員支持、生態系統合作伙伴等等(22%)；7. 緊耦合產品與服務的組合，比如提供中心命令與控制的產品與托管服務選項(20%)；8. 提供多種部署選項，比如現場部署、云交付、混合部署等(18%)。

在檢測到的威脅中（其中55%為木馬病毒）存在很多備受矚目且眾所周知的問題，例如TRITON和Mirai，以及Stuxnet的變種，其中Stuxnet（震網）蠕蟲就是一種民族國家用來破壞工業運營的攻擊類型。

在發現的惡意軟件中，9%被設計為直接利用USB協議或接口漏洞，使USB傳輸更加有效——特別是在較易受USB攻擊影響的較舊或配置較差的計算機上。

而有些惡意軟件更為先進，會直接攻擊USB接口本身：2%與常見的人機接口設備（HID）攻擊有關，這會使USB主機控制器誤認為存在鍵盤連接，從而允許惡意軟件鍵入命令并操縱應用程序。

11月13日，全國首個省級安全運營中心—青海省網絡安全監測管理中心揭牌儀式在西寧隆重舉行。啟明星辰信息集團總裁嚴立介紹到，啟明星辰率先提出了“第三方獨立安全運營”新模式，并將其確立為了公司的一項重要的戰略布局，立足于云計算、大數據、物聯網、工業互聯網、關鍵信息基礎設施保護、移動互聯網等新技術，可為用戶提供具有安全監測、安全應急、態勢感知、安全防護、安全事件處置能力的平臺。“啟明星辰集團有幸為青海省網絡安全建設工作提供專業的技術保障服務，并能借此為國家網絡強國戰略做出自己的貢獻，感到非常的榮幸。我們也將盡心盡力，發揮自身多年在信息安全領域的積累和實力，助力青海省壯大網絡安全實力、培養網絡安全人才，為青海省網絡安全工作添磚加瓦。”嚴立表示。

近日，北京圣博潤高新技術股份有限公司順利通過中國網絡安全審查技術與認證中心（即原中國信息安全認證中心）的審核，獲得三項最高等級的信息安全服務資質（信息系統安全集成、信息安全風險評估、信息安全應急處理）認證證書。

近日，在第五屆世界互聯網大會舉辦期間，中國電子科技網絡信息安全有限公司（簡稱中國網安）與俄羅斯卡巴斯基實驗室（簡稱卡巴斯基）在烏鎮共同簽署戰略合作備忘錄。根據合作備忘錄約定，雙方一致同意，在此前開展戰略合作的基礎上，深化工控安全、威脅情報、安全培訓等方面合作，并輪值舉辦中俄網絡空間安全“T3”國際論壇。這是中國網安與卡巴斯基繼2015年在第二屆世界互聯網大會期間首次簽訂戰略合作協議后的全新升級，更是中俄網絡安全企業間持續深化交流與互信的合作樣板。

近日，北京安控科技股份有限公司中標重點行業工控安全態勢感知能力提升工程項目--石油石化行業工控安全態勢感知節點應用試點。工控安全態勢感知能力是工控安全的基礎工作，也是主動防御的重要手段。本項目主要圍繞石油石化行業重要工業企業的態勢感知需求，支持政治可靠、技術先進、有影響力的相關安全企業或行業系統集成企業，在不少于30個重要石油石化企業部署工業企業側態勢感知節點設備，有效掌握工業企業安全態勢和防護現狀，并將監測數據匯聚至國家工控安全態勢感知平臺。國家工業信息安全發展研究中心將組織協同本次中標單位共同建立全國工控安全在線監測網絡，開展工控安全態勢感知節點應用試點工作，提升工業企業工控安全風險預警和應急處置效率。

近日，360企業安全集團與卓因達科技簽署戰略合作協議，聯合打造更安全、更智能的新一代智慧園區與公共交通自動售檢票方案。?卓因達科技與360企業安全集團強強聯合，將360企業安全成熟的企業級安全產品和最新的物聯網安全技術應用到自動售檢票與智慧園區系統中，有效規避來自互聯網的各種攻擊和威脅，防患于未然，為客戶提供更加安全的自動售檢票解決方案。

本文提出一種適用于煙草行業的工控系統安全監測與管控方案， 通過將安全監測系統和安全防護網關進行有機聯動，識別并預測工控系 統攻擊異常事件，并自動生成針對該攻擊異常事件的處理規則。同時， 防護網關運用該規則實現異常攻擊行為的阻斷，大大增強了工控系統安 全防護的可操作性，使異常攻擊事件得到及時的響應與處理，提升煙草 行業工控系統安全防護與預警能力，保障安全穩定運行。

隨著信息化和工業化的深度融合，工業控制系統在工業生產過程中得到了越來越廣泛的應用，很多研究者開始針對工控系統，特別針對工控網絡協議的安全性展開研究，模糊測試則是其中較為活躍的領域之一。當前工業控制系統模糊測試方法，模糊數據過于簡單隨機、對于異常定位精度不高、測試效率低下等缺點，本文結合工業控制系統高實時性和高可靠性的特點，制定基于字段分類的測試用例生成方法和精確的異常定位方法，提出一種針對工業控制系統的模糊測試方法。最后通過工業控制系統常用協議Modbus對該方法進行了仿真實驗，實驗結果表明本文提出的方法相對于傳統模糊測試方法，效率更高，覆蓋率更高。

根據卡巴斯基最近發布的一項研究指出，77％的工業環境安全專業人士認為，他們的組織很可能成為網絡安全事件的攻擊目標；與此同時，48％的受訪者表示，他們沒有特定的OT / ICS事件響應計劃，而31％的受訪者表示，他們的組織在2017年經歷過一次或多次安全事件。

事實上，任何系統面臨的安全性問題，歸根結底都由系統所具有的價值而決定。國家基礎工業領域中分布著大量工業控制系統，涵蓋了電力，石油，交通，水利等諸多方面，在國計民生中占據著重要的地位，其中的數據價值，持續運行價值都不可估量。出現任何安全問題，影響都不容小覷。國內外各行業工業控制系統正受到越來越多的安全關注，也越來越多地成為攻擊者的目標。

信息安全風險評估服務是我國信息安全保障工作的重要環節之一，信息安全風險評估技術手段一直為行業內所推崇。目前，因多方面因素影響，信息安全風險評估服務能力的水平在地區、行業間等呈現參差不齊的現象。結合SSE-CMM理論及信息安全風險評估服務的最優實踐，提出風險評估服務能力成熟度模型概念，即RAS-CMM。RAS-CMM圍繞資源配置、技術過程、項目管理等能力因素對風險評估服務能力等級提出理論評價框架。

6 薦讀 | 人工智能時代的國家安全：風險與治理

人工智能正在成為影響未來社會最重要的技術領域，世界各國紛紛出臺指導戰略，助力人工智能的創新與發展。然而，人工智能作為一項具有顛覆性的技術，其發展過程本身也蘊含著很大的風險與威脅。人工智能技術發展不僅會導致法律、倫理等方面的問題，也會引發國家安全領域的風險與威脅。本文根據人工智能技術和應用的發展趨勢，分析國家在不同領域所面對的安全風險，不僅有助于做好安全防范準備，也有助于處理好安全與發展之間的關系。加強對風險的有效應對，可以更好地保障人工智能技術的發展。在此基礎上，國家可以從提升風險意識、完善治理體系、加強監管能力和探求國際合作等多方面來構建風險分析和應對框架，提升國家安全的韌性。

7 重磅丨一文看懂網絡安全等級保護工業控制系統安全防護技術體系設計

在GB/T 25070中增加的工業控制系統安全設計要求的內容，是在國家標準GB/T25070-2010基礎上為適應工業控制新技術、新應用情況下而進行的修訂，制定統一的工業控制系統等級保護標準，建立整體安全防護體系及框架，給出了詳細、可實施的安全設計要求，可用于指導工業控制系統運營使用單位、信息安全服務機構開展等級保護安全技術方案設計，能夠有效應對針對工業控制系統環境的信息安全威脅，保護國家工業控制系統不被非法攻擊，保障重要工業控制系統的正常運行，從而確保國家工業基礎設施免遭破壞。

8 圍觀 | 如何治理關鍵信息基礎設施的重要信息資產漏洞？

在網絡安全領域，漏洞常被攻擊方視為“殺手锏”武器，又被防守方當作“萬惡之源”。漏洞本身雖然不產生危害，但一旦被利用，則極有可能帶來嚴重的威脅。關鍵信息基礎設施在數字化、網絡化、智能化轉型的過程中配置了大量信息資產，其網絡體系越來越復雜，漏洞作為“伴生體”所帶來的威脅問題日益凸顯。習近平總書記曾指出：要全面加強網絡安全檢查，摸清家底，認清風險，找出漏洞，通報結果，督促整改。如何快速應對漏洞產生的威脅，降低關鍵信息基礎設施網絡安全風險，無疑是擺在新時代的一個迫切命題。本文針對某些關鍵信息基礎設施在接報漏洞后面臨的處置周期長、資產定位難等問題，進行針對性的調研，探索對其重要信息資產開展漏洞治理的工作，并總結了一些實踐經驗與同行同業分享和探討，以期拋磚引玉。