落實關鍵信息基礎設施安全保護制度

筑牢國家網絡安全屏障

國家信息技術安全研究中心 俞克群

關鍵信息基礎設施是國家重要的戰(zhàn)略資源，關系國家安全、國計民生和公共利益，具有基礎性、支撐性、全局性作用，保護關鍵信息基礎設施安全是國家網絡安全工作的重中之重。出臺實施《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）是完善我國網絡空間治理，強化關鍵信息基礎設施安全保護，維護國家安全和發(fā)展利益的應時應勢之舉，意義重大，影響深遠。

一、關鍵信息基礎設施安全是網絡安全的重中之重

習近平總書記在網絡安全和信息化工作座談會上指出，“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標......我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護。”習近平總書記的重要指示為我們開展關鍵信息基礎設施安全保護工作指明了方向。

世界各國高度重視關鍵信息基礎設施安全，美歐等通過立法或發(fā)布政策文件將關鍵基礎設施安全的網絡安全保護提升到國家安全戰(zhàn)略層面。圍繞關鍵信息基礎設施安全的網絡攻防已成為國家間戰(zhàn)略博弈的重要領域和網絡空間高強度對抗的主戰(zhàn)場。

我國2017年正式實施的網絡安全法明確就關鍵信息基礎設施運行安全提出要求?！稐l例》的出臺實施，是踐行習近平總書記關于網絡強國的重要思想，貫徹黨中央、國務院重大決策部署的重要舉措，是落實網絡安全法有關要求，完善我國關鍵信息基礎設施安全保護工作的法治保障，也是網絡空間領域貫徹總體國家安全觀，應對當前國際形勢新變局，維護網絡空間主權安全的應有之義。

二、《條例》的出臺實施，為開展關鍵信息基礎設施安全保護工作提供了基本遵循

《條例》作為依據網絡安全法制定的行政法規(guī)，是對網絡安全法關于關鍵信息基礎設施運行安全相關規(guī)定的落實和細化，促進了我國關鍵信息基礎設施安全保護的法律法規(guī)體系構建完善。

（一）明確關鍵信息基礎設施安全保護工作的對象和關鍵流程?！稐l例》對關鍵信息基礎設施的概念和范圍作出了明確界定。同時，還對關鍵信息基礎設施認定和變更、運營者設置專門安全管理機構、網絡安全事件和威脅報告等關鍵環(huán)節(jié)設置了流程化、規(guī)范化的要求指引。

（二）明確國家對關鍵信息基礎設施的重點保護、保障和促進措施?！稐l例》確立了“綜合協(xié)調、分工負責、依法保護”的工作原則，明確了國家網信部門、國務院公安部門、保護工作部門、地方政府的職責分工，形成監(jiān)管保護合力；另一方面，《條例》提出了圍繞關鍵信息基礎設施的信息共享、監(jiān)測預警、應急處置、檢查檢測、軍地協(xié)同等保護保障措施，以及專業(yè)人才培養(yǎng)、技術創(chuàng)新和產業(yè)發(fā)展、網絡安全服務機構建設管理等促進措施，體現(xiàn)了國家對關鍵信息基礎設施實行重點保護的意志和決心；此外，《條例》還作出特別規(guī)定，禁止非法侵入、干擾、破壞關鍵信息基礎設施，任何組織和個人一旦實施危害關鍵信息基礎設施安全的行為將面臨法律法規(guī)的嚴懲。

（三）明確關鍵信息基礎設施運營者的責任義務?！稐l例》重點壓實了關鍵信息基礎設施運營者（以下簡稱“運營者”）的主體責任，從安全保護措施、建立健全保護制度和責任制、設置專門安全管理機構、經費和人員投入、檢測評估、網絡安全事件及威脅報告、網絡產品和服務采購等多個層面提出了明確要求，構建了開展關鍵信息基礎設施安全保護工作的長效機制。

三、落實《條例》要求，提升關鍵信息基礎設施安全保護能力水平的幾點思考

一是強化意識，深刻認識關鍵信息基礎設施安全保護工作的重要性。從事關鍵信息基礎設施運營和保護工作的單位和個人應充分意識到，做好關鍵信息基礎設施安全保護工作不僅事關自身系統(tǒng)安全和業(yè)務穩(wěn)定運行，更關乎國計民生，要深刻認識到確保關鍵信息基礎設施安全的極端重要性，站立高位、保持清醒、敢于擔當、勇于作為，以國家網絡安全為己任，嚴格落實相關法律、政策、制度的要求。

二是明晰底數，精準掌握關鍵信息基礎設施安全運行情況。掌握關鍵信息基礎設施安全運行的網絡和數據資產信息，是國家主管監(jiān)管部門和保護工作部門開展指導監(jiān)督工作的重要前提；對于運營者而言，更是落實主體責任，加強防護工作的必要手段。一方面，應全面梳理關鍵信息基礎設施網絡產品和服務情況，在掌握關鍵信息基礎設施網絡資產的基礎上，進一步梳理組件級的型號信息、配置設置信息等，支撐供應鏈網絡攻擊發(fā)生后的快速定位和準確研判。另一方面，應厘清關鍵信息基礎設施承載的數據資產，梳理數據采集、加工、傳輸情況，分析數據流動條件和路徑。此外，對于涉及控制類系統(tǒng)的關鍵信息基礎設施，應在上述措施基礎上，重點加強分析識別，最大限度地掌握觸發(fā)或可能觸發(fā)控制動作的協(xié)議、指令情況，以及可能觸及核心控制設備、系統(tǒng)的數據流及具有操作權限的人員情況。

三是提升能力，全面加強關鍵信息基礎設施安全防護。運營者應重點從脆弱性和風險隱患自查自糾、安全事件和威脅分析研判、極端極限情況下關鍵信息基礎設施的持續(xù)穩(wěn)定運行等能力入手，加強相應的手段建設，逐步培養(yǎng)網絡安全專業(yè)人才隊伍，注重防護措施有效性的檢驗評價，強化網絡安全防護持續(xù)運營理念；對于網絡安全學術界、企業(yè)、研究機構而言，應針對關鍵信息基礎設施的特殊性、重要性，以風險識別、評估、防范、化解為關注重點，從理論、方法、技術多個層面加強研發(fā)攻關，為關鍵信息基礎設施安全防護提供技術支撐。

四是全面貫通，合力推動關鍵信息基礎設施安全保護工作。一方面，《條例》中的信息共享、監(jiān)測預警、應急處置、檢查檢測等措施需要各有關部門進一步體系化、制度化、常態(tài)化推動完善；另一方面，《條例》中對運營者“采購網絡產品和服務可能影響國家安全的”情況的相關要求與國家網絡安全審查制度一脈相承，運營者應在落實網絡安全審查、保障關鍵信息基礎設施供應鏈安全的工作過程中進一步提升主動性。

落實關鍵信息基礎設施保護制度，需要政、產、學、研、用各個層面的通力合作，社會各界應強化認識、找準定位、貢獻力量，共同筑牢國家網絡安全屏障，進而為維護國家安全、經濟發(fā)展和社會穩(wěn)定提供堅實支撐。