◆冯燕飞

（陕西省网络与信息安全测评中心 陕西 710065）

关键信息基础设施是国家经济的重要神经中枢，对国家的稳定发展发挥着极端重要的作用。习近平总书记一再强调，要加快建立和实施关键信息基础设施安全保障机制，《条例》的出台与实施既是贯彻《网络安全法》、又是国家关键信息基础设施安全保障机制的顶层设计和重要举措，更是保障国家信息安全、社会稳定和经济发展的实际需求。

1 立法背景

1.1 形势严峻

随着互联网的发展，网络空间已经成为了各国竞争的新战场。近年来，对重要计算机信息基础设施的网络攻击破坏、窃密等事件日益增多，且涵盖了多个产业领域，网络空间安全问题显得极其严峻。

（1）国际方面。关键信息基础设施遭受攻击：一是导致关键服务运行中断。2010 年“震网”电脑病毒袭击了伊朗布舍尔核电站的工控系统导致核电站无法正常运转，遭受了很大的损失。2016年10 月，美国域名服务器管理机构Dyn 遭受Mirai 病毒威胁，众多网站无法访问，美国大半个互联网瘫痪。二是引发大规模信息泄漏。2021 年5 月，全美最大的成品油运输管道运营商公司工控网络系统遭到勒索病毒攻击导致停机，造成近100GB 数据窃取及成品油运输管道运营中断。

（2）国内方面。主要面临以下几个方面的风险和挑战：一是随着互联网的发展，我国一直遭受境外敌对势力、黑客组织甚至不法分子持续不断的网络攻击，以至于国内关键信息基础设施面临极高的风险。二是防护能力不高，虽然近年来我国的网络安全防护能力有所提高，但还是存在安全隐患与短板。三是随着5G 新信息技术在各个产业中的广泛应用，关乎社会民生的设施将更容易被网络攻击。四是供应链安全挑战。随着网络产品集成度的不断提升和供应链全球化大分工的不断加深，关键信息基础设施的供应链安全面临着严峻的挑战。

1.2 出台历程

《网络安全法》于2016 年在我国正式通过，关键信息基础设施安全保护的相关内容被首次提出。2017 年，国家互联网信息办公室印发了《关键信息基础设施安全保护条例（征求意见稿）》，2019 年至2021年，《条例》经过反复修订，于2021 年8 月17 日正式出台，并于2021年9 月1 日正式实施。

2 条例解读

《条例》上承《网络安全法》的规定，将更加明晰关键信息基础设施的安全性保障范围、联动责任体系、供应链安全可控、安全内控和意识培养等方面重点内容。保护原则是落实安全保护责任，加强管理和技术防护。对运营者要求：一是落实主体责任由企业一把手总负责。二是企业内部建立专门的安全机构，加强安全保障工作。三是严格按照相关要求进行检测评估，每年进行一次，可与信息系统的等级保护测评工作同步开展。四是在发生网络安全事件要及时向单位内部安全保护工作部门报告并采取应急措施同时向当地公安机关进行报备。五是在采购时应核查产品的安全可信度，选择有关安全部门授权许可的产品，并和供应链方签署保密协议等。

关键信息基础设施安全特征：一是严重依赖网络和信息系统，一旦破坏后果严重 ；二是高价值面临网络攻击威胁形势严峻，等级高、频次高 ；三是规模大、跨地域、跨责任主体、功能协同、系统互联 ；四是大部分对业务连续性要求高，且数据重要；五是由单一或多个三级以上系统构成。

关键信息基础设施安全的保护特征：一是在等级保护基础上的强化，以"三化六防"为指导思想，在信息技术系统上实现了融合 二是强化基于风险的动态发展保护，强调了威胁风险和业务发展的关联性；三是强化内部安全机制的智能化实现；四是强化监控预警和威胁应对能力的常态化；五是强化供应链管理和各类数据的保护；六是加强应急事件的处置和协同。

3 落实条例的思考

3.1 增强资源配套

首先建议国家尽快推进建立关键信息基础设施安全防护工作的国家标准、行业标准体系，为关键信息基础设施的具体防护工作进行技术指引。另外，加大国家级支持能力的培育，强化核心岗位人员和产品服务的安全管理，加强经费保障，加强考核评价，建立多层级的安全保障专业队伍，提升队伍专业素养。

3.2 增强技术攻关

一方面，汇聚全社会力量开展重点难点技术攻关，加强对关键信息基础设施所需关键部件、平台应用、生态发展的支撑，不断提升相关领域的安全自主可控能力。另一方面，严格落实网络安全审查要求，建立健全相关组织机制和支撑体系，不断强化关键信息基础设施供应链安全。

3.3 增强体系落地

一是抓好基础管理。按照我国政策立法规定，快速建立健全保障制度，围绕制度、组织、人员、建设、运维等夯实安全管理基础。二是强化技管结合，三分技术七分管理。三是推动研运一体。通过建设集中化安全运营平台，建立健全网络空间测绘、威胁情报、靶场等多种安全能力体系，打造网络安全运营"常备军"，在安全保护上提供有力的技术支撑。同时针对重要数据和个人信息强化保护措施。四是加强监管部门工作。针对网络安全事件，加大处置力度，责任到人。加强网络安全问题的整改和督办，对电信、能源等涉及关键信息基础设施的企业做好指导监督、识别认定、检查检测、打击犯罪以及对企业工作进行考核评价。携手共同确保关键信息基础设施安全，保障电信、能源等关键设施安全运行。

毋庸置疑，《条例》的颁布与实施，为我国的保护工作指明了新的发展道路，对推动保护工作向法制化、体系化、科学化发展提供了方向，将在保障国家安全、国计民生和公共利益等方面发挥重要作用。