易志勤，李敏，盧春景，于盟

（1.北京站酷網(wǎng)絡(luò)科技有限公司，北京 100015；2.國家工業(yè)信息安全發(fā)展研究中心，北京 100040）

0 引言

2021年8月17日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱《條例》）正式發(fā)布，進(jìn)一步明確了行業(yè)監(jiān)管和企業(yè)主體責(zé)任，進(jìn)一步健全了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系，建立全面的頂層安全管理體系。2016年出臺的《網(wǎng)絡(luò)安全法》對關(guān)鍵信息基礎(chǔ)設(shè)施安全的保護(hù)對象、主體責(zé)任、安全措施等進(jìn)行了總體性規(guī)定。《條例》作為《網(wǎng)絡(luò)安全法》的重要配套法規(guī)，立足指導(dǎo)落實(shí)層面，對關(guān)鍵信息基礎(chǔ)設(shè)施范圍認(rèn)定、安全監(jiān)管職責(zé)、安全保護(hù)要求、安全保障措施等方面進(jìn)行了界定和規(guī)范，明確提出制定行業(yè)、領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則和安全規(guī)劃，每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估，進(jìn)一步促進(jìn)運(yùn)營者安全責(zé)任義務(wù)落實(shí)，對于推動(dòng)開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作提供強(qiáng)大助力。

1 關(guān)鍵信息基礎(chǔ)設(shè)施的定義

關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等[1]。

安全是發(fā)展的前提，發(fā)展是安全的保障。關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重[2]，其重要性不言而喻，但關(guān)鍵信息基礎(chǔ)設(shè)施中系統(tǒng)大規(guī)模集成、互聯(lián)引發(fā)安全風(fēng)險(xiǎn)疊加、蔓延，面對組織化、體系化、實(shí)戰(zhàn)化的安全攻擊呈現(xiàn)出有限的防御能力?！盀蹩颂m電網(wǎng)遭遇攻擊停電事件”“委內(nèi)瑞拉大規(guī)模停電事件”“澳大利亞政府能源發(fā)電機(jī)遭勒索軟件攻擊事件”等安全事件對國家安全、社會(huì)穩(wěn)定和民眾生活造成了惡劣影響，充分說明了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要性和挑戰(zhàn)性。關(guān)鍵基礎(chǔ)設(shè)施的安全問題一直以來都是各國政府和安全企業(yè)的關(guān)注重點(diǎn)，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全，對于維護(hù)國家網(wǎng)絡(luò)空間主權(quán)和國家安全具有重大意義。

2 安全保護(hù)現(xiàn)狀

2.1 政策、標(biāo)準(zhǔn)及試點(diǎn)

國內(nèi)近年圍繞網(wǎng)絡(luò)安全發(fā)布了一系列政策法規(guī)，對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)進(jìn)一步明確要求。2019年10月頒布《中華人民共和國密碼法》，提出對關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼的應(yīng)用要求。2020年4月，國家網(wǎng)信辦等12部門發(fā)布《網(wǎng)絡(luò)安全審查辦法》，對關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全明確保障要求。2021年4月頒發(fā)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，明確各方責(zé)任，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全及維護(hù)網(wǎng)絡(luò)安全；4月26日，國家安全部公布《反間諜安全防范工作規(guī)定》指出：關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)采取反間諜技術(shù)安全防范措施，防范、制止境外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)竊密等間諜行為，保障網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全。2021年6月，《中華人民共和國數(shù)據(jù)安全法》明確關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理，適用《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定。2021年11月1日實(shí)施的《中華人民共和國個(gè)人信息保護(hù)法》，提出關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者和處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)將在中華人民共和國境內(nèi)收集和產(chǎn)生的個(gè)人信息存儲(chǔ)在境內(nèi)，確需向境外提供的，應(yīng)當(dāng)通過國家網(wǎng)信部門組織的安全評估。

在標(biāo)準(zhǔn)研制方面，目前已圍繞網(wǎng)絡(luò)安全框架、檢查評估、網(wǎng)絡(luò)安全保護(hù)基本要求等制定一系列標(biāo)準(zhǔn)。其中，信安標(biāo)委會(huì)已針對《關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估指南》開展標(biāo)準(zhǔn)試點(diǎn)工作，由國家工業(yè)信息安全發(fā)展研究中心等6家第三方專業(yè)測評機(jī)構(gòu)，針對包含交通、能源、金融、電子政務(wù)、公共服務(wù)等行業(yè)在內(nèi)的12家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者驗(yàn)證標(biāo)準(zhǔn)的合理和可操作性，充分結(jié)合我國國情實(shí)際對安全標(biāo)準(zhǔn)進(jìn)行不斷完善，保障標(biāo)準(zhǔn)的高質(zhì)量和可落地[3]?！缎畔踩夹g(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急體系框架》《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價(jià)方法》也于2021年進(jìn)行立項(xiàng)，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急和防護(hù)評價(jià)進(jìn)一步明確相關(guān)安全要求。

2.2 行業(yè)發(fā)展現(xiàn)狀

一分部署，九分落實(shí)。為更好支撐關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例的有效落地，包括國家工業(yè)信息安全發(fā)展研究中心在內(nèi)的7家單位共同發(fā)起成立關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟（籌），圍繞關(guān)鍵信息基礎(chǔ)設(shè)施安全“保護(hù)、保衛(wèi)、保障”工作，打造協(xié)同創(chuàng)新和資源整合平臺，共同支撐國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

專業(yè)聯(lián)盟組織的建設(shè)，有助于加快推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)和研究的開展和落地，更好地引導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全產(chǎn)業(yè)的健康高速發(fā)展。

3 安全檢查評估

關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全挑戰(zhàn)和形勢日趨嚴(yán)峻，《網(wǎng)絡(luò)安全法》第三十八條明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者每年至少進(jìn)行一次檢測評估，《條例》在網(wǎng)絡(luò)安全法的基礎(chǔ)上進(jìn)一步明確，運(yùn)營者須每年至少進(jìn)行一次網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估，開展安全檢查評估成為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重要環(huán)節(jié)。

3.1 安全檢查評估目標(biāo)

安全檢查評估是檢測基礎(chǔ)設(shè)施脆弱性和安全威脅最可靠的手段。通過持續(xù)性的檢查評估可以有效驗(yàn)證關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)措施落實(shí)狀況，為關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)運(yùn)維管理提供整改和規(guī)劃方向和依據(jù)，以評促建、以評促管、以評促改，逐步提升關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全保障能力。

3.2 安全檢查評估工作

結(jié)合《條例》《網(wǎng)絡(luò)安全審查辦法》等法規(guī)要求及相關(guān)安全保護(hù)實(shí)踐，安全檢查評估工作可重點(diǎn)關(guān)注以下方面：

（1）合規(guī)性安全?！稐l例》第六條明確，運(yùn)營者在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行。國家對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，其安全能力評估范圍應(yīng)覆蓋網(wǎng)絡(luò)安全等級保護(hù)對應(yīng)等級技術(shù)和管理層面的合規(guī)性測評要求，關(guān)注備份恢復(fù)能力的建立情況，并加強(qiáng)技術(shù)層面的安全攻防測試，確保關(guān)鍵信息基礎(chǔ)設(shè)施承載的核心業(yè)務(wù)具備抵抗大規(guī)模、較強(qiáng)惡意攻擊的能力，對于服務(wù)保障性要求高的基礎(chǔ)設(shè)施，具有快速恢復(fù)正常運(yùn)行狀態(tài)的能力。目前，國家層面、行業(yè)層面均未發(fā)布正式、統(tǒng)一的關(guān)鍵信息基礎(chǔ)設(shè)施安全評估標(biāo)準(zhǔn)，針對性的安全評估體系需要各方共同推進(jìn)。

（2）供應(yīng)鏈安全?！稐l例》第十九條規(guī)定，運(yùn)營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查[1]。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在“采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的”情況下應(yīng)落實(shí)《網(wǎng)絡(luò)安全審查辦法》的相關(guān)要求。由于當(dāng)前關(guān)鍵信息基礎(chǔ)設(shè)施自主可控技術(shù)水平有限，存在較大潛在安全隱患和供應(yīng)鏈安全風(fēng)險(xiǎn)，運(yùn)營者在核心技術(shù)研究、資產(chǎn)底數(shù)掌控、供應(yīng)流程管理等方面應(yīng)進(jìn)一步提升主動(dòng)性，保障供應(yīng)鏈攻擊下關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)可持續(xù)性。

（3）風(fēng)險(xiǎn)監(jiān)測預(yù)警機(jī)制。《條例》第五條明確規(guī)定國家應(yīng)采取措施監(jiān)測、防御、處置網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，第十五條要求運(yùn)營者應(yīng)開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風(fēng)險(xiǎn)評估，第二十四條規(guī)定了保護(hù)工作部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測預(yù)警制度，預(yù)警通報(bào)網(wǎng)絡(luò)安全威脅和隱患，指導(dǎo)做好安全防范工作[1]。目前我國各行業(yè)尚未制定具體的監(jiān)測與預(yù)警標(biāo)準(zhǔn)，且已有的監(jiān)測與預(yù)警機(jī)制以企業(yè)、集團(tuán)為主體，行業(yè)領(lǐng)域?qū)用嫖葱纬沙掷m(xù)聯(lián)動(dòng)、安全共享的監(jiān)測預(yù)警機(jī)制，需要各有關(guān)部門進(jìn)一步常態(tài)化推動(dòng)完善。

3.3 關(guān)保、等保間聯(lián)系與區(qū)別

《網(wǎng)絡(luò)安全法》中明確國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，《條例》中明確運(yùn)營者在網(wǎng)絡(luò)安全等級保護(hù)的基礎(chǔ)上保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行。等級保護(hù)（以下簡稱“等?！保┦顷P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（以下簡稱“關(guān)?！保┑幕A(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級保護(hù)的重點(diǎn)防護(hù)對象。

等保工作中，遵循“誰主管誰負(fù)責(zé)，誰運(yùn)營誰負(fù)責(zé)”的原則，接受公安部門的監(jiān)管。由于等保評估對象覆蓋所有的網(wǎng)絡(luò)和信息系統(tǒng)，等保評估內(nèi)容具有廣泛的通用性，相關(guān)安全要求是信息系統(tǒng)相應(yīng)等級的基本能力要求。

《條例》中將關(guān)保的監(jiān)管權(quán)力下放至各行業(yè)監(jiān)管部門，更有利于發(fā)揮行業(yè)的主動(dòng)性，加強(qiáng)關(guān)保在行業(yè)落地的推動(dòng)性和針對性。關(guān)鍵基礎(chǔ)設(shè)施建設(shè)過程中，將涉及數(shù)據(jù)安全、個(gè)人信息保護(hù)和信創(chuàng)類、保密性產(chǎn)品安全，其安全覆蓋面更廣，專業(yè)要求更高。

4 思考與展望

隨著《條例》的發(fā)布，當(dāng)前基本形成以網(wǎng)絡(luò)安全等級保護(hù)為基礎(chǔ)，以關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)為重點(diǎn)的安全格局?！稐l例》相關(guān)配套國家標(biāo)準(zhǔn)及行業(yè)標(biāo)準(zhǔn)也將相繼出臺，關(guān)鍵信息基礎(chǔ)設(shè)施安全合規(guī)要求必將進(jìn)一步細(xì)化，持續(xù)化的安全檢查評估將成為提升我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)水平的有效手段。

4.1 安全標(biāo)準(zhǔn)體系建設(shè)持續(xù)推進(jìn)，試點(diǎn)工作深入開展

關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)標(biāo)準(zhǔn)將持續(xù)以支撐安全保護(hù)等網(wǎng)絡(luò)安全工作為重點(diǎn)，結(jié)合我國國情實(shí)際，創(chuàng)新出一批高質(zhì)量、可操作的標(biāo)準(zhǔn)化工作成果，通過深入開展標(biāo)準(zhǔn)試點(diǎn)示范工作，推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施標(biāo)準(zhǔn)的落地，逐步建設(shè)形成完善的安全標(biāo)準(zhǔn)體系，為全面構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系提供規(guī)范支撐。

4.2 安全評估體系規(guī)范發(fā)展，檢查評估指引安全方向

標(biāo)準(zhǔn)化體系的構(gòu)建和已有安全聯(lián)盟組織的形成，有助于推動(dòng)專業(yè)化的關(guān)鍵信息基礎(chǔ)設(shè)施安全評估體系的形成和落地。通過安全評估將同步促進(jìn)標(biāo)準(zhǔn)化試點(diǎn)和完善更迭工作，推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施安全能力的提升。通過持續(xù)化的檢查評估工作，可進(jìn)一步總結(jié)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)實(shí)踐經(jīng)驗(yàn)，將對我國的關(guān)鍵信息基礎(chǔ)設(shè)施安全建設(shè)和發(fā)展方向提供指導(dǎo)作用。

4.3 安全防護(hù)體系逐步構(gòu)建，關(guān)鍵信息基礎(chǔ)設(shè)施合規(guī)運(yùn)營

通過安全標(biāo)準(zhǔn)體系和安全評估體系的建立和發(fā)展，既明確關(guān)鍵信息基礎(chǔ)設(shè)施安全建設(shè)的合規(guī)性要求，又為運(yùn)營者提供專業(yè)性的外部支撐力量，可為關(guān)鍵信息基礎(chǔ)設(shè)施單位提供由內(nèi)而外的安全支持，促進(jìn)企業(yè)的安全防護(hù)能力體系的建設(shè)，保障關(guān)鍵信息基礎(chǔ)設(shè)施可持續(xù)、安全運(yùn)營。