大力加強關鍵信息基礎設施保護

◎馬忠玉

工業互聯網平臺是智能制造賴以生存與發展的關鍵基礎設施，其安全關系到我國制造業智能化升級與高端化發展的成敗。當前，關鍵信息基礎設施已成為國家重要的戰略資源，信息化發展水平越高的國家對關鍵信息基礎設施的依賴性越強，而其又極易遭受物理破壞和網絡攻擊，因此，加強關鍵信息基礎設施的安全保護已成為各國政府關注的重點。2017年6月，《網絡安全法》正式實施，從法律層面確立了關鍵信息基礎設施保護制度。

目前我國關鍵信息基礎設施保護工作還存在許多問題和不足，如缺乏全局的關鍵信息基礎設施保障架構，未形成有效協同的安全管理和協調機制，網絡安全威脅導致情報信息共享程度較低，關鍵信息基礎設施安全標準體系還不完善和成熟，網絡產品和服務采購存在安全隱患，網絡安全技術手段有待進一步提高等。

從美國、歐盟等發達國家和地區的實踐來看，關鍵信息基礎設施保護重在明確四個方面內容：一是明確范圍。即關鍵信息基礎設施的識別和認定。美國提出了16類關鍵基礎設施領域，日本提出了13類，澳大利亞將關鍵基礎設施劃分為10大類。我國《網絡安全法》中提出了關鍵信息基礎設施的認定標準，正在制定的“關鍵信息基礎設施安全保護條例”將進一步明確其具體范圍。但在實際操作層面，需明確列出目錄清單或認定標準，顯然工業互聯網平臺必須納入關鍵信息基礎設施的范疇。二是明確目標。美國提出關鍵基礎設施保護的目標在于提高基礎設施的安全性、彈性。歐盟保護的目標在于免受大規模網絡攻擊和中斷，重點是預防和提高安全性、恢復力。我國《網絡安全法》提出，建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能。因此，關鍵信息基礎設施保護應以業務連續性和安全可控性作為目標。三是明確措施方法。美國的關鍵基礎設施網絡安全保護框架是基于NIST（美國國家標準技術研究院）制定的風險管理框架提出的，其核心包括識別、保護、檢測、響應和恢復五個部分。歐盟提出準備和預防、監測和響應、減災和恢復以及國際合作四方面行動措施。我國《網絡安全法》明確提出對關鍵信息基礎設施采取監測預警、風險評估、信息共享和應急處置等保護措施。四是明確組織管理體系。各國在這方面都作了相應的制度設計，包括建立頂層協調機制、信息共享和協同保護制度，明確關鍵信息基礎設施運營者的權責義務、監管部門的責任以及國際合作機制等。

我國的網絡安全工作起步晚，關鍵信息基礎設施保護工作較美國等網絡強國還有差距。當前，需要從法律法規制定、建立信息共享機制、加強管理層面保護、加強網絡產品和服務供應鏈審查以及提高網絡安全技術能力等方面入手，共同努力，以提高我國關鍵基礎設施的安全性和可控性。一是完善相關法律制度和安全標準規范體系，建立全局的關鍵信息基礎設施保障體系。需要從國家層面考慮整個的復雜網絡和信息系統的安全，同時從有效指導實踐的角度建設關鍵信息基礎設施保護標準系統。二是加強關鍵信息基礎設施保護工作的組織管理。在注重技術層面的關鍵信息基礎設施安全保護的同時，強化網信、公安和保密等相關主管部門和行業機構的協調與配合。三是建立和完善信息匯聚、共享和流動機制。減少或移除各部門內及部門間的信息共享壁壘，建立廣泛的信息共享機制和通報機制。四是加強前沿科技研究，提高網絡安全技術手段。