應對新形勢 強化我國關鍵信息基礎設施安全保護

◎國家信息技術安全研究中心主任 俞克群

《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）已由國務院公布并于9月1日正式實施，這是我國應對網絡空間新形勢，完善我國網絡空間治理的重大舉措，對于強化我國關鍵信息基礎設施安全保護，具有重要的里程碑意義。《條例》作為《網絡安全法》的重要配套立法，將推動構建和完善我國關鍵信息基礎設施安全保護的制度體系和工作機制，標志著我國網絡空間治理“與時俱進”邁入新階段，開啟了關鍵信息基礎設施安全保護的新時代。

一、網絡空間的“時”與“勢”深刻影響關鍵信息基礎設施的安全

一方面，當今世界正經歷百年未有之大變局，大國間戰略博弈日趨激烈，大國競爭深刻影響世界治理格局，網絡空間成為國家對抗的前沿領域。網絡安全泛在化、網絡空間軍事化態勢加速，深刻影響全球網絡空間安全生態。

另一方面，關鍵信息基礎設施作為重要的戰略資源，是經濟社會運行的神經中樞，其安全穩定運行關系國計民生、公共利益和國家安全，日益發揮著基礎性、全局性、支撐性作用。隨著國際戰略格局的演變，圍繞關鍵信息基礎設施的網絡攻防已成為網絡空間高烈度對抗的主戰場，關鍵信息基礎設施的安全問題已成為各國網絡安全的重中之重。

二、關鍵信息基礎設施面臨的網絡安全威脅和風險進一步升級

一是國家行為體已成為威脅關鍵信息基礎設施安全的“新主體”。從全球看，針對關鍵信息基礎設施的網絡攻擊事件時有發生，部分網絡攻擊事件的國家背景凸顯。如，2010年伊朗核設施遭“震網”病毒攻擊、2015年烏克蘭電力系統遭網絡攻擊等事件、“棱鏡門”事件曝光多國政府、科研機構和企業被網絡入侵以及2020年末曝光的“太陽風”網絡攻擊事件等。時任美國總統特朗普也公開承認2018年中期選舉時允許相關部門對俄羅斯發動網絡攻擊。美國實施網絡威懾戰略，開展“防御前置”行動，將網絡監控和攻擊的觸角伸入目標國家的關鍵網絡。國家行為體的介入，使網絡攻擊的性質發生了重大變化，圍繞國家信息關鍵基礎設施的保護、威懾與反制成為大國對抗的重要手段，涉及國家安全的重要領域。

二是高度組織化的網絡犯罪集團是威脅關鍵信息基礎設施安全的“主變量”。近年來，高度組織化的網絡犯罪集團等非國家行為體對關鍵信息基礎設施的安全威脅仍然呈現高發態勢，定向攻擊、勒索軟件攻擊、供應鏈攻擊等高級網絡攻擊愈演愈烈。特別是美國燃油管道商遭“黑暗面”黑客組織勒索攻擊事件，引發全球廣泛關注。一起非國家行為體實施的網絡攻擊事件，直接導致國家級關鍵基礎設施停止服務，表明勒索攻擊成為APT攻擊的主要手段，高度組織化犯罪依然是關鍵信息基礎設施的重要威脅。

三是關鍵信息基礎設施自身的網絡安全環境進一步演化。一方面，隨著互聯網、大數據、云計算、人工智能、移動互聯網、物聯網、工業互聯網等新技術新應用持續賦能經濟社會、國家安全等各個方面，IT技術和OT技術加速融合，關鍵信息基礎設施傳統相對封閉的系統運營環境被打破，不可避免地增大了關鍵信息基礎設施面對網絡攻擊的暴露面。

另一方面，關鍵信息基礎設施還面臨著網絡安全漏洞的潛在威脅。近年來，網絡安全漏洞不斷爆出且高危漏洞占比居高不下。綜合各方面統計數據分析，自2010年以來全球工業控制系統、智能設備、物聯網等領域安全漏洞總數大幅增長，中高危漏洞占比居高不下。這些漏洞進一步增大了關鍵信息基礎設施遭網絡攻擊的潛在風險。

四是我國關鍵信息基礎設施存在被“毀癱”“斷服”的潛在風險。從國內情況看，我國部分行業領域的關鍵信息基礎設施核心技術、關鍵系統等對美西方嚴重依賴的局面尚未完全改變，不僅面臨被“卡脖”“斷供”的供應鏈風險，還面臨因存在已知但無法修復的漏洞和未知安全漏洞而遭受網絡攻擊的風險，有可能導致關鍵信息基礎設施被“毀癱”“斷服”。

三、加強關鍵基礎設施保護是世界主要國家的通行做法

鑒于關鍵基礎設施對于國計民生、國家安全等重要性的提升和面臨的網絡安全威脅態勢的變化，世界網絡強國、大國高度重視關鍵基礎設施安全保護工作，在戰略出臺、法規制定、標準完善、技術研發、實戰演練等方面多舉措強化關鍵基礎設施安全保護。

美國出臺的《國家網絡戰略》《國防部網略戰略》《國土安全部網絡安全戰略》《臨時國家安全戰略方針》、歐盟出臺的《歐洲關鍵基礎設施保護戰略》《歐盟數字十年網絡安全戰略》、俄羅斯頒布的新版《俄羅斯聯邦國家安全戰略》、英國發布的《國家網絡安全戰略》等均將關鍵基礎設施的安全作為重點內容予以明確。

（二）通過立法提供法規支撐

美國發布的《增強關鍵基礎設施網絡安全》（第13636號行政令）《提高關鍵基礎設施的安全性和恢復力》（第21號總統令），對關鍵基礎設施的保護范圍、部門職責、法律責任等進行明確。2021年以來，美發布《關于改善國家網絡安全的行政命令》，簽署《關于改善關鍵基礎設施控制系統網絡安全的國家安全備忘錄》等多份相關文件，進一步強化關鍵基礎設施安全防護；歐盟修訂《歐盟網絡與信息系統安全指令》，發布《關鍵設施彈性指令》等，為關鍵基礎設施安全保護提供制度支撐和法規保障；俄羅斯頒布《聯邦關鍵信息基礎設施安全法》、澳大利亞頒布《關鍵基礎設施安全法》等為強化關鍵信息基礎設施安全保護提供法規支撐。

（三）研發技術提高保障能力

美國依托愛達荷國家實驗室、橡樹嶺國家實驗室和國家網絡靶場開展關鍵基礎設施防護技術研究，旨在推動關鍵基礎設施網絡安全技術保障能力的提升。美國國有公共電力公司紐約電力局與德國西門子能源公司宣布將聯合建立名為“卓越中心”的網絡安全實驗室，旨在提高管理電網和其他關鍵基礎設施運營技術的能力。

（四）完善標準提供方法指引

美國國家標準與技術研究院（NIST）組織制定網絡安全框架，降低關鍵基礎設施相關的安全風險，其中針對工控安全發布《工業控制系統安全指南》（NIST SP 800-82）《聯邦信息系統和組織機構的安全控制指南》（NIST SP 800-53），對工控安全防護提供指導，為企業加強關鍵基礎設施網絡安全提供參考。

（五）組織演練檢驗實際能力

美國自2006年始，每兩年一次已連續舉辦7次“網絡風暴”演習，以關鍵基礎設施遭遇網絡攻擊為演練想定，突出攻防對抗，檢驗信息共享、協同聯動、應急處置等能力。美國還舉行“網絡衛士”“網絡旗”“網絡盾牌”等系列演習，應對關鍵基礎設施遭遇大規模網絡攻擊是演練重點內容之一。歐洲自2010年始，每兩年舉行一次“網絡歐洲”系列演習，模擬互聯網基礎設施等關鍵基礎設施遭入侵、斷服等場景，以提升和檢驗歐洲國家應對網絡攻擊的能力。俄羅斯組織“斷網演習”，檢驗俄在極端極限情況下的網絡穩定運行能力。

四、《條例》為構建和完善我國關鍵信息基礎設施安全保護體系提供了基本遵循

《條例》作為《網絡安全法》的重要配套立法，堅持系統思維，注重體系構建，將進一步構建和完善我國關鍵信息基礎設施安全保護的科學體系，呈現出以下鮮明特征：

（一）明確了分層保護體系

《條例》最為突出的特點是提出構建以國家網信部門和國務院公安部門等國家有關職能部門、關鍵信息基礎設施保護工作部門、關鍵信息基礎設施運營者（以下簡稱運營者）為主體的三層架構的關鍵信息基礎設施綜合安全分層保護體系。《條例》規定，國家網信部門統籌協調關鍵信息基礎設施安全保護，國務院公安部門負責指導監督關鍵信息基礎設施安全保護工作；國務院電信主管部門和其他有關部門依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作；省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理；運營者作為直接責任單位，要依照本條例和相關要求，保障關鍵信息基礎設施的安全穩定運行。上述制度設計利于各方各司其職，充分調動各方主動性，匯聚全部資源和能力，構建起分層保護體系，共同做好關鍵信息基礎設施安全保護工作。

（二）強調了實施動態保護

《條例》規定，關鍵信息基礎設施發生重大變化時需報告并重新組織認定；運營者發生合并、分立、解散等情況時應及時報告，并按要求進行相應處置；定期開展關鍵信息基礎設施網絡安全檢查檢測，及時整改安全隱患、完善安全措施；建立應急預案、組織應急演練，做好事件應對處置。上述要求充分揭示了網絡安全工作的本質，即網絡安全是動態的、變化的和不斷演進的，必須堅持動態保護的理念，根據不斷變化的形勢完善制度設計，構建動態保護體系，以確保安全。

（三）切實壓實了主體責任

《條例》最重要的特點就是壓實了關鍵信息基礎設施運營者的主體責任。《條例》第4條明確規定“強化和落實關鍵信息基礎設施運營者的主體責任”，并專設第三章“運營者責任義務”進行細化和明確，如實施“三同步”原則、設置專門的安全管理機構并提升安全管理機構話語權、對機構負責人和關鍵崗位人員進行安全背景審查、保障專門安全管理機構的運行、開展網絡安全監測和風險評估、優先采購安全可信的網絡產品和服務以及特定情況下的報告義務等。上述要求，抓住了運營者這個關鍵信息基礎設施安全保護的核心環節，有利于保護工作走深走實。

（四）注重相關法規的銜接

首先，《條例》作為《網絡安全法》的重要配套立法，進一步細化了和完善了《網絡安全法》的有關規定，為開展關鍵信息基礎設施安全保護提供了基本遵循。再有，《條例》第19條規定“運營者應當優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。”從內容可以看出，該條規定與我國已經實施的《網絡安全審查辦法》一脈相承，是網絡安全審查制度在關鍵信息基礎設施安全保護制度中的具體體現。還有，《條例》強調未經授權不得對關鍵信息基礎設施實施漏洞探測和滲透性測試活動，對基礎電信網絡實施漏洞探測、滲透性測試應當事先向國務院電信主管部門報告。這些規定與9月1日已正式實施的《網絡產品安全漏洞管理規定》，在內容上相互補充。上述制度設計有效確保了《條例》與相關立法的銜接，完善了我國網絡安全治理的法規體系，體現了國家法規頂層設計的整體考慮。

五、加強我國關鍵信息基礎設施安全保護工作的思考

（一）切實提高思想認識

要充分認識到，做好關鍵信息基礎設施安全保護工作不僅事關系統自身安全和業務穩定運行，更關系國計民生，關乎國家安全，每一個人的生活都與關鍵信息基礎設施息息相關。特別是從事關鍵信息基礎設施運營和保護工作的單位和個人更要深刻認識到確保關鍵信息基礎設施安全的極端重要性，站立高位，保持清醒，以家園建設者、安全守護者、秩序維護者的姿態，以維護國家網絡安全為己任，嚴格落實相關法律、政策、制度的要求

（二）全面精確梳理資產情況

全面準確掌握關鍵信息基礎設施安全運行的網絡和數據資產信息，是國家主管監管部門和保護工作部門開展指導監督工作的重要前提。對于運營者而言，更是落實主體責任，加強防護工作的必要手段。要全面梳理關鍵信息基礎設施網絡產品和服務情況，厘清關鍵信息基礎設施承載的數據資產，梳理數據采集、加工、傳輸和應用情況，掌握觸發或可能觸發控制動作的協議、指令情況，對操作人員和操作權限進行審核、授權和控制。通過全面準確的資產梳理，為開展關鍵信息基礎設施安全保護提供堅實的資產數據支撐。

（三）健全完善標準體系

健全完善標準體系是開展關鍵信息基礎設施安全保護的重要依據和有力抓手。目前，我國的關鍵信息基礎設施標準體系建設已經取得積極成果。下一步應進一步圍繞關鍵信息基礎設施共性安全需求和基線安全要求，充分發揮行業主管部門、標準研究機構、第三方服務機構和運營者等各方面的作用，推動相關標準的研制和試點示范。通過健全的標準體系為我國關鍵信息基礎設施安全保護工作實踐提供技術支撐和方法指引。

（四）深入開展檢查檢測和風險評估

開展關鍵信息基礎設施檢查檢測和風險評估是做好關鍵信息基礎設施安全保護工作的重要一環。《條例》也針對國家網信部門、保護工作部門、運營者等有關部門開展關鍵信息基礎設施安全檢查檢測工作提出了相關要求。應進一步抓好檢查檢測工作的統籌，加強協同配合和信息溝通，避免不必要的檢查和交叉重復檢查。要加強檢測機構的管理，充分發揮第三方檢測評估機構的積極作用，提升網絡安全檢查檢測和風險評估的效率和效益。

（五）扎實開展演習演練

我國是網絡大國，但還不是網絡強國，這是我們開展關鍵信息基礎設施安全保護的客觀背景和現實條件。因此，要堅持底線思維，以總體國家安全觀為統攬，以關鍵信息基礎設施遭遇大規模高烈度網絡攻擊、關鍵信息基礎設施被毀癱、重要功能斷服等為演習演練想定，開展實戰化演習演練，查找關鍵信息基礎設施安全保護工作中存在的短板和不足，制定切實可行的整改措施，以進一步提升我國關鍵信息基礎設施安全保護能力。