◆馮燕飛

（陜西省網(wǎng)絡(luò)與信息安全測(cè)評(píng)中心 陜西 710065）

關(guān)鍵信息基礎(chǔ)設(shè)施是國(guó)家經(jīng)濟(jì)的重要神經(jīng)中樞，對(duì)國(guó)家的穩(wěn)定發(fā)展發(fā)揮著極端重要的作用。習(xí)近平總書(shū)記一再?gòu)?qiáng)調(diào)，要加快建立和實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全保障機(jī)制，《條例》的出臺(tái)與實(shí)施既是貫徹《網(wǎng)絡(luò)安全法》、又是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保障機(jī)制的頂層設(shè)計(jì)和重要舉措，更是保障國(guó)家信息安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展的實(shí)際需求。

1 立法背景

1.1 形勢(shì)嚴(yán)峻

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)空間已經(jīng)成為了各國(guó)競(jìng)爭(zhēng)的新戰(zhàn)場(chǎng)。近年來(lái)，對(duì)重要計(jì)算機(jī)信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊破壞、竊密等事件日益增多，且涵蓋了多個(gè)產(chǎn)業(yè)領(lǐng)域，網(wǎng)絡(luò)空間安全問(wèn)題顯得極其嚴(yán)峻。

（1）國(guó)際方面。關(guān)鍵信息基礎(chǔ)設(shè)施遭受攻擊：一是導(dǎo)致關(guān)鍵服務(wù)運(yùn)行中斷。2010 年“震網(wǎng)”電腦病毒襲擊了伊朗布舍爾核電站的工控系統(tǒng)導(dǎo)致核電站無(wú)法正常運(yùn)轉(zhuǎn)，遭受了很大的損失。2016年10 月，美國(guó)域名服務(wù)器管理機(jī)構(gòu)Dyn 遭受Mirai 病毒威脅，眾多網(wǎng)站無(wú)法訪(fǎng)問(wèn)，美國(guó)大半個(gè)互聯(lián)網(wǎng)癱瘓。二是引發(fā)大規(guī)模信息泄漏。2021 年5 月，全美最大的成品油運(yùn)輸管道運(yùn)營(yíng)商公司工控網(wǎng)絡(luò)系統(tǒng)遭到勒索病毒攻擊導(dǎo)致停機(jī)，造成近100GB 數(shù)據(jù)竊取及成品油運(yùn)輸管道運(yùn)營(yíng)中斷。

（2）國(guó)內(nèi)方面。主要面臨以下幾個(gè)方面的風(fēng)險(xiǎn)和挑戰(zhàn)：一是隨著互聯(lián)網(wǎng)的發(fā)展，我國(guó)一直遭受境外敵對(duì)勢(shì)力、黑客組織甚至不法分子持續(xù)不斷的網(wǎng)絡(luò)攻擊，以至于國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施面臨極高的風(fēng)險(xiǎn)。二是防護(hù)能力不高，雖然近年來(lái)我國(guó)的網(wǎng)絡(luò)安全防護(hù)能力有所提高，但還是存在安全隱患與短板。三是隨著5G 新信息技術(shù)在各個(gè)產(chǎn)業(yè)中的廣泛應(yīng)用，關(guān)乎社會(huì)民生的設(shè)施將更容易被網(wǎng)絡(luò)攻擊。四是供應(yīng)鏈安全挑戰(zhàn)。隨著網(wǎng)絡(luò)產(chǎn)品集成度的不斷提升和供應(yīng)鏈全球化大分工的不斷加深，關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全面臨著嚴(yán)峻的挑戰(zhàn)。

1.2 出臺(tái)歷程

《網(wǎng)絡(luò)安全法》于2016 年在我國(guó)正式通過(guò)，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)內(nèi)容被首次提出。2017 年，國(guó)家互聯(lián)網(wǎng)信息辦公室印發(fā)了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》，2019 年至2021年，《條例》經(jīng)過(guò)反復(fù)修訂，于2021 年8 月17 日正式出臺(tái)，并于2021年9 月1 日正式實(shí)施。

2 條例解讀

《條例》上承《網(wǎng)絡(luò)安全法》的規(guī)定，將更加明晰關(guān)鍵信息基礎(chǔ)設(shè)施的安全性保障范圍、聯(lián)動(dòng)責(zé)任體系、供應(yīng)鏈安全可控、安全內(nèi)控和意識(shí)培養(yǎng)等方面重點(diǎn)內(nèi)容。保護(hù)原則是落實(shí)安全保護(hù)責(zé)任，加強(qiáng)管理和技術(shù)防護(hù)。對(duì)運(yùn)營(yíng)者要求：一是落實(shí)主體責(zé)任由企業(yè)一把手總負(fù)責(zé)。二是企業(yè)內(nèi)部建立專(zhuān)門(mén)的安全機(jī)構(gòu)，加強(qiáng)安全保障工作。三是嚴(yán)格按照相關(guān)要求進(jìn)行檢測(cè)評(píng)估，每年進(jìn)行一次，可與信息系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)工作同步開(kāi)展。四是在發(fā)生網(wǎng)絡(luò)安全事件要及時(shí)向單位內(nèi)部安全保護(hù)工作部門(mén)報(bào)告并采取應(yīng)急措施同時(shí)向當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行報(bào)備。五是在采購(gòu)時(shí)應(yīng)核查產(chǎn)品的安全可信度，選擇有關(guān)安全部門(mén)授權(quán)許可的產(chǎn)品，并和供應(yīng)鏈方簽署保密協(xié)議等。

關(guān)鍵信息基礎(chǔ)設(shè)施安全特征：一是嚴(yán)重依賴(lài)網(wǎng)絡(luò)和信息系統(tǒng)，一旦破壞后果嚴(yán)重 ；二是高價(jià)值面臨網(wǎng)絡(luò)攻擊威脅形勢(shì)嚴(yán)峻，等級(jí)高、頻次高 ；三是規(guī)模大、跨地域、跨責(zé)任主體、功能協(xié)同、系統(tǒng)互聯(lián) ；四是大部分對(duì)業(yè)務(wù)連續(xù)性要求高，且數(shù)據(jù)重要；五是由單一或多個(gè)三級(jí)以上系統(tǒng)構(gòu)成。

關(guān)鍵信息基礎(chǔ)設(shè)施安全的保護(hù)特征：一是在等級(jí)保護(hù)基礎(chǔ)上的強(qiáng)化，以"三化六防"為指導(dǎo)思想，在信息技術(shù)系統(tǒng)上實(shí)現(xiàn)了融合 二是強(qiáng)化基于風(fēng)險(xiǎn)的動(dòng)態(tài)發(fā)展保護(hù)，強(qiáng)調(diào)了威脅風(fēng)險(xiǎn)和業(yè)務(wù)發(fā)展的關(guān)聯(lián)性；三是強(qiáng)化內(nèi)部安全機(jī)制的智能化實(shí)現(xiàn)；四是強(qiáng)化監(jiān)控預(yù)警和威脅應(yīng)對(duì)能力的常態(tài)化；五是強(qiáng)化供應(yīng)鏈管理和各類(lèi)數(shù)據(jù)的保護(hù)；六是加強(qiáng)應(yīng)急事件的處置和協(xié)同。

3 落實(shí)條例的思考

3.1 增強(qiáng)資源配套

首先建議國(guó)家盡快推進(jìn)建立關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)工作的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)體系，為關(guān)鍵信息基礎(chǔ)設(shè)施的具體防護(hù)工作進(jìn)行技術(shù)指引。另外，加大國(guó)家級(jí)支持能力的培育，強(qiáng)化核心崗位人員和產(chǎn)品服務(wù)的安全管理，加強(qiáng)經(jīng)費(fèi)保障，加強(qiáng)考核評(píng)價(jià)，建立多層級(jí)的安全保障專(zhuān)業(yè)隊(duì)伍，提升隊(duì)伍專(zhuān)業(yè)素養(yǎng)。

3.2 增強(qiáng)技術(shù)攻關(guān)

一方面，匯聚全社會(huì)力量開(kāi)展重點(diǎn)難點(diǎn)技術(shù)攻關(guān)，加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施所需關(guān)鍵部件、平臺(tái)應(yīng)用、生態(tài)發(fā)展的支撐，不斷提升相關(guān)領(lǐng)域的安全自主可控能力。另一方面，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全審查要求，建立健全相關(guān)組織機(jī)制和支撐體系，不斷強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。

3.3 增強(qiáng)體系落地

一是抓好基礎(chǔ)管理。按照我國(guó)政策立法規(guī)定，快速建立健全保障制度，圍繞制度、組織、人員、建設(shè)、運(yùn)維等夯實(shí)安全管理基礎(chǔ)。二是強(qiáng)化技管結(jié)合，三分技術(shù)七分管理。三是推動(dòng)研運(yùn)一體。通過(guò)建設(shè)集中化安全運(yùn)營(yíng)平臺(tái)，建立健全網(wǎng)絡(luò)空間測(cè)繪、威脅情報(bào)、靶場(chǎng)等多種安全能力體系，打造網(wǎng)絡(luò)安全運(yùn)營(yíng)"常備軍"，在安全保護(hù)上提供有力的技術(shù)支撐。同時(shí)針對(duì)重要數(shù)據(jù)和個(gè)人信息強(qiáng)化保護(hù)措施。四是加強(qiáng)監(jiān)管部門(mén)工作。針對(duì)網(wǎng)絡(luò)安全事件，加大處置力度，責(zé)任到人。加強(qiáng)網(wǎng)絡(luò)安全問(wèn)題的整改和督辦，對(duì)電信、能源等涉及關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)做好指導(dǎo)監(jiān)督、識(shí)別認(rèn)定、檢查檢測(cè)、打擊犯罪以及對(duì)企業(yè)工作進(jìn)行考核評(píng)價(jià)。攜手共同確保關(guān)鍵信息基礎(chǔ)設(shè)施安全，保障電信、能源等關(guān)鍵設(shè)施安全運(yùn)行。

毋庸置疑，《條例》的頒布與實(shí)施，為我國(guó)的保護(hù)工作指明了新的發(fā)展道路，對(duì)推動(dòng)保護(hù)工作向法制化、體系化、科學(xué)化發(fā)展提供了方向，將在保障國(guó)家安全、國(guó)計(jì)民生和公共利益等方面發(fā)揮重要作用。