信息化觀察網(wǎng)

當(dāng)前，關(guān)鍵基礎(chǔ)設(shè)施正在成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。一樁樁大規(guī)模網(wǎng)絡(luò)攻擊事件觸目驚心，中國(guó)、德國(guó)、俄羅斯、以色列、智利、伊朗等多個(gè)國(guó)家的關(guān)鍵基礎(chǔ)設(shè)施均遭受過(guò)不同類(lèi)型、不同程度的網(wǎng)絡(luò)攻擊，在全球范圍內(nèi)拉響了“紅色警報(bào)”。

近來(lái)，國(guó)內(nèi)相關(guān)政策法規(guī)密集出臺(tái)。其中，作為我國(guó)首部專(zhuān)門(mén)針對(duì)關(guān)鍵信息技術(shù)設(shè)施安全保護(hù)工作的行政法規(guī)，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱(chēng)《條例》）即將于9月1日正式施行，為網(wǎng)絡(luò)安全行業(yè)的健康、有序發(fā)展點(diǎn)亮了一盞“航標(biāo)燈”。

關(guān)鍵詞：范圍、授權(quán)、責(zé)任

實(shí)際上，通過(guò)網(wǎng)絡(luò)安全法，關(guān)鍵信息基礎(chǔ)設(shè)施的概念首次在我國(guó)法律層面得以明確?！稐l例》則是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定、授權(quán)認(rèn)定、責(zé)任機(jī)制等關(guān)鍵性問(wèn)題進(jìn)行了更為詳細(xì)的規(guī)定。

賽迪智庫(kù)網(wǎng)絡(luò)安全研究所所長(zhǎng)劉權(quán)在接受《中國(guó)電子報(bào)》記者采訪時(shí)說(shuō)：“《條例》采用了‘范圍列舉+授權(quán)認(rèn)定’的方法，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和外延做出規(guī)定。”

在范圍列舉方面，《條例》第二條將關(guān)鍵信息基礎(chǔ)設(shè)施定位于“重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)”，并以列舉方式明確了其行業(yè)屬性和影響屬性?xún)纱蠼缍?biāo)準(zhǔn)：一是“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等”八個(gè)重要行業(yè)和領(lǐng)域；二是“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益”。

尤其值得關(guān)注的是，鑒于新興互聯(lián)網(wǎng)平臺(tái)用戶(hù)規(guī)模普遍在億級(jí)以上，掌握著海量的高價(jià)值數(shù)據(jù)，如遇網(wǎng)絡(luò)攻擊，其危害程度不亞于傳統(tǒng)行業(yè)，因此多位專(zhuān)家認(rèn)為這些平臺(tái)也可能被納入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。

在授權(quán)認(rèn)定方面，《條例》第二章對(duì)授權(quán)認(rèn)定做出了規(guī)定，主要明確了兩個(gè)要點(diǎn)：一是認(rèn)定主體，即“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門(mén)，主要包括了《條例》第二條所述八個(gè)重要行業(yè)和領(lǐng)域的主管或監(jiān)管部門(mén)；二是認(rèn)定依據(jù)，《條例》第九條還明確了制定“認(rèn)定規(guī)則”時(shí)應(yīng)依據(jù)的“重要程度”“危害程度”和“關(guān)聯(lián)影響”三個(gè)主要考量因素。

安全責(zé)任機(jī)制的明確也是《條例》的亮點(diǎn)之一。“《條例》的頒布傳遞出關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域中安全的重要戰(zhàn)略地位，關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)不僅僅是相關(guān)運(yùn)營(yíng)者的責(zé)任，更關(guān)乎國(guó)計(jì)民生和社會(huì)利益。”騰訊安全戰(zhàn)略發(fā)展中心行業(yè)安全專(zhuān)家組負(fù)責(zé)人陳顥明在接受《中國(guó)電子報(bào)》記者采訪時(shí)表示，“主要是‘責(zé)任’，包括關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者要落實(shí)的主體責(zé)任，以及未做好安全防護(hù)要負(fù)的法律責(zé)任。”

劉權(quán)補(bǔ)充說(shuō)，《條例》對(duì)于責(zé)任機(jī)制的規(guī)定主要有三點(diǎn)：一是突出主體責(zé)任，運(yùn)營(yíng)者在整個(gè)保護(hù)工作中，因其肩負(fù)重要職責(zé)而具有的不可替代作用。二是健全責(zé)任范圍，形成對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的全方位責(zé)任保障；三是明確責(zé)任方式，主要涵蓋行政責(zé)任、民事責(zé)任和刑事責(zé)任三大類(lèi)別。

《條例》旨在解決哪些問(wèn)題？

隨著我國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)信息化的全面推進(jìn)，傳統(tǒng)的社會(huì)活動(dòng)不斷向網(wǎng)絡(luò)空間延伸擴(kuò)展，經(jīng)濟(jì)與國(guó)家安全高度依賴(lài)于關(guān)鍵信息基礎(chǔ)設(shè)施。“完善關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)法律體系，全面提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)意識(shí)、保障能力和水平，已經(jīng)成為網(wǎng)絡(luò)安全博弈的制勝關(guān)鍵。”陳顥明表示。

然而現(xiàn)階段，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)仍存在不少問(wèn)題。華云數(shù)據(jù)控股集團(tuán)高級(jí)副總裁郭曉在接受《中國(guó)電子報(bào)》記者采訪時(shí)坦言：“我國(guó)整體安全投入與全球市場(chǎng)還存在差距。”國(guó)家統(tǒng)計(jì)局和IDC數(shù)據(jù)顯示，我國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)占GDP僅0.41%，和美國(guó)相差3.6倍，網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模和美國(guó)相差5.5倍。

不過(guò)，業(yè)界人士普遍認(rèn)為，《條例》的出臺(tái)將給國(guó)內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來(lái)較大增量空間。中信證券稱(chēng)，《條例》正式施行后有望帶動(dòng)省級(jí)、國(guó)家級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施安全投入增加。假設(shè)國(guó)家級(jí)、省級(jí)關(guān)鍵信息基礎(chǔ)設(shè)施有望達(dá)到2萬(wàn)個(gè)，平均每個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施每年的安全投入為100萬(wàn)元，則《條例》帶來(lái)的增量市場(chǎng)每年預(yù)計(jì)有200億元。

陳顥明指出：“結(jié)合近期的政策，政企安全投入比重的提升將推動(dòng)網(wǎng)安行業(yè)開(kāi)啟高速增長(zhǎng)期，預(yù)計(jì)未來(lái)安全投入與全球市場(chǎng)的差距將持續(xù)縮小。尤其是公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等這些《條例》要求保護(hù)的重點(diǎn)行業(yè)，未來(lái)將是網(wǎng)絡(luò)安全能力建設(shè)和投入的重點(diǎn)。”

“除了安全投入不足，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)還面臨自主可控能力不足、缺乏完善有效的脆弱性評(píng)估機(jī)制和安全恢復(fù)計(jì)劃、安全風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警機(jī)制較弱等挑戰(zhàn)。”劉權(quán)談道。

今年5月國(guó)家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）發(fā)布的《2020年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》數(shù)據(jù)顯示，勒索病毒、APT攻擊、系統(tǒng)漏洞、數(shù)據(jù)安全等安全問(wèn)題已逐漸成為企業(yè)、政府機(jī)構(gòu)、金融機(jī)構(gòu)等對(duì)網(wǎng)絡(luò)安全性要求較高用戶(hù)群體最為關(guān)心的核心問(wèn)題之一。而關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事故多發(fā)，也從側(cè)面凸顯出產(chǎn)業(yè)生態(tài)的不完善。

《條例》的正式施行有望補(bǔ)足網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈的薄弱環(huán)節(jié)。劉權(quán)分析稱(chēng)，《條例》明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全責(zé)任，開(kāi)展安全監(jiān)測(cè)和風(fēng)險(xiǎn)評(píng)估，規(guī)范網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購(gòu)活動(dòng)。從這些要求看，網(wǎng)絡(luò)安全行業(yè)中提供風(fēng)險(xiǎn)評(píng)估、等保測(cè)評(píng)以及合規(guī)性咨詢(xún)等第三方服務(wù)企業(yè)將明顯受益。“尤其是是近年來(lái)興起的網(wǎng)絡(luò)安全托管服務(wù)，會(huì)獲得更大的市場(chǎng)增長(zhǎng)空間。”陳顥明強(qiáng)調(diào)。

“《條例》對(duì)信創(chuàng)產(chǎn)業(yè)和網(wǎng)安行業(yè)也表達(dá)了明確支持，指出應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。因此，跨越多行業(yè)，多領(lǐng)域的云服務(wù)提供商作為主要對(duì)象，其中具有信創(chuàng)和自主知識(shí)產(chǎn)權(quán)特色的企業(yè)，和具有跨界整合優(yōu)質(zhì)網(wǎng)絡(luò)安全方案能力的企業(yè)會(huì)更加受益。”郭曉表示。

另外，網(wǎng)絡(luò)安全人才問(wèn)題也將獲得更多的關(guān)注。陳顥明認(rèn)為，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位普遍存在網(wǎng)絡(luò)安全人員編制少、人才流失嚴(yán)重、現(xiàn)有人員經(jīng)驗(yàn)不足等諸多問(wèn)題，《條例》的實(shí)施會(huì)帶來(lái)更大的人才需求壓力。“一方面，在現(xiàn)有人才無(wú)法滿(mǎn)足要求的情況下，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位亟須引入外部網(wǎng)絡(luò)安全人才和服務(wù)，補(bǔ)齊和加強(qiáng)網(wǎng)絡(luò)安全力量；另一方面，也要加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全人才培訓(xùn)。”

究竟應(yīng)該怎么做？

傳統(tǒng)的安全建設(shè)往往注重先進(jìn)和高效的技術(shù)防御平臺(tái)建設(shè)，卻忽視了平臺(tái)的持續(xù)運(yùn)營(yíng)能力和對(duì)事件的應(yīng)急處置能力。大多數(shù)單位真正缺乏的是“用好安全產(chǎn)品”和“應(yīng)對(duì)突發(fā)事件”的能力，這無(wú)論是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位的安全團(tuán)隊(duì)還是對(duì)提供產(chǎn)品和服務(wù)的安全企業(yè)，都是一個(gè)需要投入精力去解決的問(wèn)題。在陳顥明看來(lái)，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系的建設(shè)，將更加強(qiáng)調(diào)安全運(yùn)營(yíng)、應(yīng)急處置等“軟”實(shí)力的構(gòu)建，要求業(yè)內(nèi)企業(yè)和單位更加注重安全能力的持續(xù)、有效運(yùn)作。

一方面，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者在其中扮演著不可替代的重要角色。劉權(quán)建議：“運(yùn)營(yíng)者需重點(diǎn)做好以下三個(gè)方面工作。一是落實(shí)主體責(zé)任，通過(guò)建立安全保護(hù)制度、設(shè)立專(zhuān)門(mén)管理機(jī)構(gòu)、加強(qiáng)網(wǎng)絡(luò)安全意識(shí)教育等多種形式，切實(shí)保障相關(guān)資金落實(shí)，建立網(wǎng)絡(luò)安全保障體系；二是高度重視安全保護(hù)工作，合規(guī)做好系統(tǒng)建設(shè)相關(guān)工作；三是定期開(kāi)展網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，發(fā)生重大安全事件應(yīng)及時(shí)向相關(guān)部門(mén)報(bào)告。”

另一方面，企業(yè)與安全從業(yè)者也是重要參與者，需提供更符合實(shí)際場(chǎng)景需求的安全解決方案。陳顥明談到：“關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)體系不應(yīng)再是類(lèi)似等保的‘基線’式防護(hù)，而必須是有重點(diǎn)、有目標(biāo)的針對(duì)性管控體系。安全行業(yè)從業(yè)者必須深入到不同關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的業(yè)務(wù)場(chǎng)景中，基于不同的行業(yè)風(fēng)險(xiǎn)考慮系統(tǒng)的應(yīng)對(duì)措施。”

郭曉指出，從網(wǎng)絡(luò)安全角度出發(fā)，包括內(nèi)外網(wǎng)安全、虛擬化安全、云原生安全都是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的范圍；業(yè)務(wù)數(shù)據(jù)多副本機(jī)制、本地保護(hù)策略、異地備份和恢復(fù)機(jī)制都應(yīng)成為企業(yè)上云的必備前提。同時(shí)，服務(wù)商也應(yīng)積極對(duì)照《條例》及網(wǎng)絡(luò)安全法等法律法規(guī)，擔(dān)起安全合規(guī)義務(wù)和責(zé)任，主動(dòng)擁抱網(wǎng)絡(luò)安全監(jiān)管，規(guī)避合規(guī)風(fēng)險(xiǎn)，并依托創(chuàng)新技術(shù)，不斷完善網(wǎng)絡(luò)安全防御體系，為政府和企業(yè)用戶(hù)構(gòu)筑起一道云上的安全屏障。

總體來(lái)看，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系的建設(shè)更強(qiáng)調(diào)總體規(guī)劃、技術(shù)可信、持續(xù)運(yùn)營(yíng)和有效性監(jiān)管，要求整個(gè)行業(yè)的從業(yè)者共同協(xié)作，建立更完善的產(chǎn)業(yè)生態(tài)體系。陳顥明認(rèn)為：“這包括但不限于——規(guī)劃層面，完善基于行業(yè)屬性的安全標(biāo)準(zhǔn)與最佳實(shí)踐；建設(shè)層面，促進(jìn)安全可信技術(shù)的發(fā)展、安全產(chǎn)品和運(yùn)營(yíng)能力的規(guī)范化評(píng)價(jià)體系；運(yùn)營(yíng)層面，建立更順暢的信息共享和技術(shù)協(xié)同機(jī)制，充分發(fā)揮運(yùn)營(yíng)者內(nèi)部自查、行業(yè)監(jiān)管和國(guó)家監(jiān)管的多層保障和促進(jìn)作用。”