《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的解讀與思考

◆馮燕飛

（陜西省網(wǎng)絡(luò)與信息安全測評中心 陜西 710065）

關(guān)鍵信息基礎(chǔ)設(shè)施是國家經(jīng)濟(jì)的重要神經(jīng)中樞，對國家的穩(wěn)定發(fā)展發(fā)揮著極端重要的作用。習(xí)近平總書記一再強(qiáng)調(diào)，要加快建立和實施關(guān)鍵信息基礎(chǔ)設(shè)施安全保障機(jī)制，《條例》的出臺與實施既是貫徹《網(wǎng)絡(luò)安全法》、又是國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保障機(jī)制的頂層設(shè)計和重要舉措，更是保障國家信息安全、社會穩(wěn)定和經(jīng)濟(jì)發(fā)展的實際需求。

1 立法背景

1.1 形勢嚴(yán)峻

隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)空間已經(jīng)成為了各國競爭的新戰(zhàn)場。近年來，對重要計算機(jī)信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊破壞、竊密等事件日益增多，且涵蓋了多個產(chǎn)業(yè)領(lǐng)域，網(wǎng)絡(luò)空間安全問題顯得極其嚴(yán)峻。

（1）國際方面。關(guān)鍵信息基礎(chǔ)設(shè)施遭受攻擊：一是導(dǎo)致關(guān)鍵服務(wù)運行中斷。2010 年“震網(wǎng)”電腦病毒襲擊了伊朗布舍爾核電站的工控系統(tǒng)導(dǎo)致核電站無法正常運轉(zhuǎn)，遭受了很大的損失。2016年10 月，美國域名服務(wù)器管理機(jī)構(gòu)Dyn 遭受Mirai 病毒威脅，眾多網(wǎng)站無法訪問，美國大半個互聯(lián)網(wǎng)癱瘓。二是引發(fā)大規(guī)模信息泄漏。2021 年5 月，全美最大的成品油運輸管道運營商公司工控網(wǎng)絡(luò)系統(tǒng)遭到勒索病毒攻擊導(dǎo)致停機(jī)，造成近100GB 數(shù)據(jù)竊取及成品油運輸管道運營中斷。

（2）國內(nèi)方面。主要面臨以下幾個方面的風(fēng)險和挑戰(zhàn)：一是隨著互聯(lián)網(wǎng)的發(fā)展，我國一直遭受境外敵對勢力、黑客組織甚至不法分子持續(xù)不斷的網(wǎng)絡(luò)攻擊，以至于國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施面臨極高的風(fēng)險。二是防護(hù)能力不高，雖然近年來我國的網(wǎng)絡(luò)安全防護(hù)能力有所提高，但還是存在安全隱患與短板。三是隨著5G 新信息技術(shù)在各個產(chǎn)業(yè)中的廣泛應(yīng)用，關(guān)乎社會民生的設(shè)施將更容易被網(wǎng)絡(luò)攻擊。四是供應(yīng)鏈安全挑戰(zhàn)。隨著網(wǎng)絡(luò)產(chǎn)品集成度的不斷提升和供應(yīng)鏈全球化大分工的不斷加深，關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全面臨著嚴(yán)峻的挑戰(zhàn)。

1.2 出臺歷程

《網(wǎng)絡(luò)安全法》于2016 年在我國正式通過，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的相關(guān)內(nèi)容被首次提出。2017 年，國家互聯(lián)網(wǎng)信息辦公室印發(fā)了《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》，2019 年至2021年，《條例》經(jīng)過反復(fù)修訂，于2021 年8 月17 日正式出臺，并于2021年9 月1 日正式實施。

2 條例解讀

《條例》上承《網(wǎng)絡(luò)安全法》的規(guī)定，將更加明晰關(guān)鍵信息基礎(chǔ)設(shè)施的安全性保障范圍、聯(lián)動責(zé)任體系、供應(yīng)鏈安全可控、安全內(nèi)控和意識培養(yǎng)等方面重點內(nèi)容。保護(hù)原則是落實安全保護(hù)責(zé)任，加強(qiáng)管理和技術(shù)防護(hù)。對運營者要求：一是落實主體責(zé)任由企業(yè)一把手總負(fù)責(zé)。二是企業(yè)內(nèi)部建立專門的安全機(jī)構(gòu)，加強(qiáng)安全保障工作。三是嚴(yán)格按照相關(guān)要求進(jìn)行檢測評估，每年進(jìn)行一次，可與信息系統(tǒng)的等級保護(hù)測評工作同步開展。四是在發(fā)生網(wǎng)絡(luò)安全事件要及時向單位內(nèi)部安全保護(hù)工作部門報告并采取應(yīng)急措施同時向當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行報備。五是在采購時應(yīng)核查產(chǎn)品的安全可信度，選擇有關(guān)安全部門授權(quán)許可的產(chǎn)品，并和供應(yīng)鏈方簽署保密協(xié)議等。

關(guān)鍵信息基礎(chǔ)設(shè)施安全特征：一是嚴(yán)重依賴網(wǎng)絡(luò)和信息系統(tǒng)，一旦破壞后果嚴(yán)重 ；二是高價值面臨網(wǎng)絡(luò)攻擊威脅形勢嚴(yán)峻，等級高、頻次高 ；三是規(guī)模大、跨地域、跨責(zé)任主體、功能協(xié)同、系統(tǒng)互聯(lián) ；四是大部分對業(yè)務(wù)連續(xù)性要求高，且數(shù)據(jù)重要；五是由單一或多個三級以上系統(tǒng)構(gòu)成。

關(guān)鍵信息基礎(chǔ)設(shè)施安全的保護(hù)特征：一是在等級保護(hù)基礎(chǔ)上的強(qiáng)化，以"三化六防"為指導(dǎo)思想，在信息技術(shù)系統(tǒng)上實現(xiàn)了融合 二是強(qiáng)化基于風(fēng)險的動態(tài)發(fā)展保護(hù)，強(qiáng)調(diào)了威脅風(fēng)險和業(yè)務(wù)發(fā)展的關(guān)聯(lián)性；三是強(qiáng)化內(nèi)部安全機(jī)制的智能化實現(xiàn)；四是強(qiáng)化監(jiān)控預(yù)警和威脅應(yīng)對能力的常態(tài)化；五是強(qiáng)化供應(yīng)鏈管理和各類數(shù)據(jù)的保護(hù)；六是加強(qiáng)應(yīng)急事件的處置和協(xié)同。

3 落實條例的思考

3.1 增強(qiáng)資源配套

首先建議國家盡快推進(jìn)建立關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)工作的國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)體系，為關(guān)鍵信息基礎(chǔ)設(shè)施的具體防護(hù)工作進(jìn)行技術(shù)指引。另外，加大國家級支持能力的培育，強(qiáng)化核心崗位人員和產(chǎn)品服務(wù)的安全管理，加強(qiáng)經(jīng)費保障，加強(qiáng)考核評價，建立多層級的安全保障專業(yè)隊伍，提升隊伍專業(yè)素養(yǎng)。

3.2 增強(qiáng)技術(shù)攻關(guān)

一方面，匯聚全社會力量開展重點難點技術(shù)攻關(guān)，加強(qiáng)對關(guān)鍵信息基礎(chǔ)設(shè)施所需關(guān)鍵部件、平臺應(yīng)用、生態(tài)發(fā)展的支撐，不斷提升相關(guān)領(lǐng)域的安全自主可控能力。另一方面，嚴(yán)格落實網(wǎng)絡(luò)安全審查要求，建立健全相關(guān)組織機(jī)制和支撐體系，不斷強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全。

3.3 增強(qiáng)體系落地

一是抓好基礎(chǔ)管理。按照我國政策立法規(guī)定，快速建立健全保障制度，圍繞制度、組織、人員、建設(shè)、運維等夯實安全管理基礎(chǔ)。二是強(qiáng)化技管結(jié)合，三分技術(shù)七分管理。三是推動研運一體。通過建設(shè)集中化安全運營平臺，建立健全網(wǎng)絡(luò)空間測繪、威脅情報、靶場等多種安全能力體系，打造網(wǎng)絡(luò)安全運營"常備軍"，在安全保護(hù)上提供有力的技術(shù)支撐。同時針對重要數(shù)據(jù)和個人信息強(qiáng)化保護(hù)措施。四是加強(qiáng)監(jiān)管部門工作。針對網(wǎng)絡(luò)安全事件，加大處置力度，責(zé)任到人。加強(qiáng)網(wǎng)絡(luò)安全問題的整改和督辦，對電信、能源等涉及關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)做好指導(dǎo)監(jiān)督、識別認(rèn)定、檢查檢測、打擊犯罪以及對企業(yè)工作進(jìn)行考核評價。攜手共同確保關(guān)鍵信息基礎(chǔ)設(shè)施安全，保障電信、能源等關(guān)鍵設(shè)施安全運行。

毋庸置疑，《條例》的頒布與實施，為我國的保護(hù)工作指明了新的發(fā)展道路，對推動保護(hù)工作向法制化、體系化、科學(xué)化發(fā)展提供了方向，將在保障國家安全、國計民生和公共利益等方面發(fā)揮重要作用。