信息化觀察網(wǎng)

關(guān)鍵信息基礎(chǔ)設(shè)施安全的重要性，怎么說都不為過。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》獲得國務院第133次常務會議通過，于8月17日正式發(fā)布，自2021年9月1日起施行。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱“《條例》”）的發(fā)布，是國家維護網(wǎng)絡安全特別是關(guān)鍵信息基礎(chǔ)設(shè)施安全工作的又一里程碑。

《條例》不僅確立了關(guān)鍵信息基礎(chǔ)設(shè)施的認定、明確各方責任，同時規(guī)定了運營者的法律責任等內(nèi)容。

日前，司法部、網(wǎng)信辦、工業(yè)和信息化部、公安部負責人就《條例》有關(guān)問題回答記者提問中表示，出臺《條例》旨在落實《中華人民共和國網(wǎng)絡安全法》有關(guān)要求，將為我國深入開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提供有力法治保障。

01 關(guān)基安全保護已是大勢所趨

關(guān)鍵信息基礎(chǔ)設(shè)施（簡稱“關(guān)基”）安全對于社會經(jīng)濟乃至國家的重要性，怎么說都不為過。

目前關(guān)基所面臨的安全問題非常嚴峻，從2010年震網(wǎng)病毒對伊朗核設(shè)施造成的破壞到不久前美國燃氣管道運營商ColonialPipeline遭勒索病毒攻擊被迫停工，針對關(guān)基發(fā)起的網(wǎng)絡攻擊所造成的危害自不待言。

目前世界各國都在積極探索制定關(guān)基安全保護的機制和政策。

賽迪智庫網(wǎng)絡安全研究所發(fā)布的《我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護白皮書》（以下簡稱“《白皮書》”）指出，目前美、德、英、日等國家通過出臺和發(fā)布政策、法律、標準等多種措施，構(gòu)建了國家關(guān)鍵信息基礎(chǔ)設(shè)施保護體系。

美國最早對關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的相關(guān)系統(tǒng)安全進行關(guān)注，現(xiàn)已形成較為完善的關(guān)鍵信息基礎(chǔ)設(shè)施安全政策和戰(zhàn)略，且這些政策和戰(zhàn)略隨著形勢變化而逐步調(diào)整強化。

美國關(guān)鍵信息基礎(chǔ)設(shè)施保護法律匯總

（來源：賽迪智庫）

美國關(guān)基安全保護計劃將風險管理作為保護工作的基礎(chǔ)和指針，將保護范疇、責任者與協(xié)作方、目標與措施有機連接在一起，構(gòu)建了與行業(yè)實際相適應的保護體系。

《白皮書》指出，該計劃具有：根據(jù)行業(yè)發(fā)展和風險點確定保護重點，依據(jù)風險特性建立了多層次的保護工作組織體系，依托全風險評估方法，注重有效性衡量，建立了風險管理措施效果指標體系等特點。

歐盟制定了關(guān)基保護相關(guān)行動計劃，并從準備和預防、檢測和響應、緩解和恢復、國際合作、關(guān)鍵基礎(chǔ)設(shè)施標準五個方面提出了保護措施。

此外，俄羅斯在2013年出臺《俄聯(lián)邦關(guān)鍵網(wǎng)絡基礎(chǔ)設(shè)施安全》，日本出臺了諸如《關(guān)鍵信息基礎(chǔ)設(shè)施保護基本政策》等一系列政策法律文件，都對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護進行了法律規(guī)定。

而對于我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護而言，《條例》不僅是落實《網(wǎng)絡安全法》有關(guān)要求，即“關(guān)鍵信息基礎(chǔ)設(shè)施在網(wǎng)絡安全等級保護制度的基礎(chǔ)上，實行重點保護”，而且以堅持問題導向、壓實責任、做好與相關(guān)法律、行政法規(guī)的銜接為總體思路，體現(xiàn)了權(quán)益和責任的一致。

360集團創(chuàng)始人、董事長周鴻祎表示，《條例》不僅為我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護提供了先進的理念，可操作的解決方案，精細的工作指導，其也以《網(wǎng)絡安全法》為法律基礎(chǔ)，對“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”進行落實、細化和完善，體現(xiàn)了國家頂層設(shè)計的通盤考慮。

據(jù)360安全專家介紹，對照《網(wǎng)絡安全法》的已有規(guī)定，《條例》的增改內(nèi)容中有幾大亮點值得關(guān)注：一方面，《條例》確立了關(guān)鍵信息基礎(chǔ)設(shè)施的范疇、認定原則和組織流程，進一步明確了網(wǎng)絡安全保護責任制和網(wǎng)絡安全檢測的常態(tài)化；

另一方面，《條例》還十分強調(diào)專業(yè)性的支撐和保障，在明確各方職責后，通過處罰規(guī)定等，重點壓實了關(guān)鍵信息基礎(chǔ)設(shè)施運營者的主體責任，增加了對網(wǎng)絡安全從業(yè)人員和關(guān)鍵崗位人員的要求。

02  一場關(guān)基合規(guī)的“及時雨”

《條例》的正式發(fā)布不管是對于關(guān)基行業(yè)還是網(wǎng)絡安全等行業(yè)，其帶來的影響都是非常深遠的。對于網(wǎng)絡安全企業(yè)而言，《條例》的頒布是重大利好。

360安全專家分析，《條例》重視發(fā)揮網(wǎng)絡安全服務機構(gòu)在關(guān)基安全保護中的作用。

比如關(guān)基的運營者“應當自行或者委托網(wǎng)絡安全服務機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡安全檢測和風險評估”。

其次，《條例》明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者“應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務”，對信創(chuàng)產(chǎn)業(yè)也表達了明確支持。

這對于安全廠商，特別是安全技術(shù)創(chuàng)新廠商，以及網(wǎng)絡安全檢測和評估機構(gòu)，都是利好政策，在這一輪更高規(guī)格和要求的合規(guī)升級中，享受到政策紅利和獲得更多機會，在推動我國網(wǎng)絡安全產(chǎn)業(yè)的自主創(chuàng)新，以及網(wǎng)絡安全產(chǎn)業(yè)發(fā)展方面又進一步提供了新的動力，瑞數(shù)信息認為。

而對于相關(guān)關(guān)基行業(yè)企業(yè)而言更是責任。

《條例》提出了“國家采取措施，優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行。能源、電信行業(yè)應當采取措施，為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障。”

瑞數(shù)信息指出，能源、電信作為關(guān)基的重中之重行業(yè)，一方面，在關(guān)基安全保護工作中無論從使命、社會責任，還是落實具體的關(guān)基要求方面都被賦予更高的要求，關(guān)基的落實將是一個基礎(chǔ)，需要制定更加完備、具體的管理和技術(shù)要求，安全運行的保障支持體系，自查自檢的風評體系。

另一方面，以其重要性和受到攻擊后的影響程度，在面對網(wǎng)絡空間的威脅與對抗中，必將面臨更復雜和嚴峻的安全威脅局面，需要應對更新、更多樣、更高級的攻擊手段。

在關(guān)鍵信息基礎(chǔ)設(shè)施信息安全防護方面，360已經(jīng)積累了豐富的安全大數(shù)據(jù)和攻防實戰(zhàn)經(jīng)驗，形成了一套以“作戰(zhàn)、對抗、攻防思維”為指導，將安全體系與數(shù)字體系融合，攻防能力與管控能力融合的新戰(zhàn)法，構(gòu)建以360安全大腦為核心的新一代安全能力框架，為國家、政府、軍隊、企業(yè)、教育、金融等機構(gòu)和組織提供網(wǎng)絡安全技術(shù)、產(chǎn)品和運營服務。

瑞數(shù)信息倡導安全防御要從事后向事前轉(zhuǎn)變，從被動防御向主動安全轉(zhuǎn)變。

瑞數(shù)信息通過自主創(chuàng)新的動態(tài)安全技術(shù)，和主動安全的防御理念，以及AI智能化技術(shù)的加持，在應對關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)面臨的新興威脅中，從靜態(tài)特征分析向智能數(shù)據(jù)分析轉(zhuǎn)變，實現(xiàn)關(guān)口的前移和提前預警，以高效率、底成本、輕維護的特點，提供企業(yè)關(guān)基重要應用和業(yè)務系統(tǒng)的安全防護，為關(guān)鍵基礎(chǔ)設(shè)施提供更具創(chuàng)新性的網(wǎng)絡安全解決方案，以應對日益復雜和嚴峻的安全威脅局面。

03  關(guān)基保護工作路還很長

未完待續(xù)

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的春天以來，但針對關(guān)基保護的具體工作還有很長的路要走。

賽迪智庫在《白皮書》中提出關(guān)于提升我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護水平的對策建議：一是做好基礎(chǔ)性研究，制定科學保護框架；二是增強自主創(chuàng)新能力，推動國產(chǎn)技術(shù)研發(fā)；三是完善檢測預警機制，制定應急響應制度與事后恢復計劃；四是完善安全風險評估認證機制，設(shè)立關(guān)鍵信息基礎(chǔ)設(shè)施專項安全防治體系。