《關鍵信息基礎設施安全保護條例》的解讀與思考

◆馮燕飛

（陜西省網絡與信息安全測評中心 陜西 710065）

關鍵信息基礎設施是國家經濟的重要神經中樞，對國家的穩定發展發揮著極端重要的作用。習近平總書記一再強調，要加快建立和實施關鍵信息基礎設施安全保障機制，《條例》的出臺與實施既是貫徹《網絡安全法》、又是國家關鍵信息基礎設施安全保障機制的頂層設計和重要舉措，更是保障國家信息安全、社會穩定和經濟發展的實際需求。

1 立法背景

1.1 形勢嚴峻

隨著互聯網的發展，網絡空間已經成為了各國競爭的新戰場。近年來，對重要計算機信息基礎設施的網絡攻擊破壞、竊密等事件日益增多，且涵蓋了多個產業領域，網絡空間安全問題顯得極其嚴峻。

（1）國際方面。關鍵信息基礎設施遭受攻擊：一是導致關鍵服務運行中斷。2010 年“震網”電腦病毒襲擊了伊朗布舍爾核電站的工控系統導致核電站無法正常運轉，遭受了很大的損失。2016年10 月，美國域名服務器管理機構Dyn 遭受Mirai 病毒威脅，眾多網站無法訪問，美國大半個互聯網癱瘓。二是引發大規模信息泄漏。2021 年5 月，全美最大的成品油運輸管道運營商公司工控網絡系統遭到勒索病毒攻擊導致停機，造成近100GB 數據竊取及成品油運輸管道運營中斷。

（2）國內方面。主要面臨以下幾個方面的風險和挑戰：一是隨著互聯網的發展，我國一直遭受境外敵對勢力、黑客組織甚至不法分子持續不斷的網絡攻擊，以至于國內關鍵信息基礎設施面臨極高的風險。二是防護能力不高，雖然近年來我國的網絡安全防護能力有所提高，但還是存在安全隱患與短板。三是隨著5G 新信息技術在各個產業中的廣泛應用，關乎社會民生的設施將更容易被網絡攻擊。四是供應鏈安全挑戰。隨著網絡產品集成度的不斷提升和供應鏈全球化大分工的不斷加深，關鍵信息基礎設施的供應鏈安全面臨著嚴峻的挑戰。

1.2 出臺歷程

《網絡安全法》于2016 年在我國正式通過，關鍵信息基礎設施安全保護的相關內容被首次提出。2017 年，國家互聯網信息辦公室印發了《關鍵信息基礎設施安全保護條例（征求意見稿）》，2019 年至2021年，《條例》經過反復修訂，于2021 年8 月17 日正式出臺，并于2021年9 月1 日正式實施。

2 條例解讀

《條例》上承《網絡安全法》的規定，將更加明晰關鍵信息基礎設施的安全性保障范圍、聯動責任體系、供應鏈安全可控、安全內控和意識培養等方面重點內容。保護原則是落實安全保護責任，加強管理和技術防護。對運營者要求：一是落實主體責任由企業一把手總負責。二是企業內部建立專門的安全機構，加強安全保障工作。三是嚴格按照相關要求進行檢測評估，每年進行一次，可與信息系統的等級保護測評工作同步開展。四是在發生網絡安全事件要及時向單位內部安全保護工作部門報告并采取應急措施同時向當地公安機關進行報備。五是在采購時應核查產品的安全可信度，選擇有關安全部門授權許可的產品，并和供應鏈方簽署保密協議等。

關鍵信息基礎設施安全特征：一是嚴重依賴網絡和信息系統，一旦破壞后果嚴重 ；二是高價值面臨網絡攻擊威脅形勢嚴峻，等級高、頻次高 ；三是規模大、跨地域、跨責任主體、功能協同、系統互聯 ；四是大部分對業務連續性要求高，且數據重要；五是由單一或多個三級以上系統構成。

關鍵信息基礎設施安全的保護特征：一是在等級保護基礎上的強化，以"三化六防"為指導思想，在信息技術系統上實現了融合 二是強化基于風險的動態發展保護，強調了威脅風險和業務發展的關聯性；三是強化內部安全機制的智能化實現；四是強化監控預警和威脅應對能力的常態化；五是強化供應鏈管理和各類數據的保護；六是加強應急事件的處置和協同。

3 落實條例的思考

3.1 增強資源配套

首先建議國家盡快推進建立關鍵信息基礎設施安全防護工作的國家標準、行業標準體系，為關鍵信息基礎設施的具體防護工作進行技術指引。另外，加大國家級支持能力的培育，強化核心崗位人員和產品服務的安全管理，加強經費保障，加強考核評價，建立多層級的安全保障專業隊伍，提升隊伍專業素養。

3.2 增強技術攻關

一方面，匯聚全社會力量開展重點難點技術攻關，加強對關鍵信息基礎設施所需關鍵部件、平臺應用、生態發展的支撐，不斷提升相關領域的安全自主可控能力。另一方面，嚴格落實網絡安全審查要求，建立健全相關組織機制和支撐體系，不斷強化關鍵信息基礎設施供應鏈安全。

3.3 增強體系落地

一是抓好基礎管理。按照我國政策立法規定，快速建立健全保障制度，圍繞制度、組織、人員、建設、運維等夯實安全管理基礎。二是強化技管結合，三分技術七分管理。三是推動研運一體。通過建設集中化安全運營平臺，建立健全網絡空間測繪、威脅情報、靶場等多種安全能力體系，打造網絡安全運營"常備軍"，在安全保護上提供有力的技術支撐。同時針對重要數據和個人信息強化保護措施。四是加強監管部門工作。針對網絡安全事件，加大處置力度，責任到人。加強網絡安全問題的整改和督辦，對電信、能源等涉及關鍵信息基礎設施的企業做好指導監督、識別認定、檢查檢測、打擊犯罪以及對企業工作進行考核評價。攜手共同確保關鍵信息基礎設施安全，保障電信、能源等關鍵設施安全運行。

毋庸置疑，《條例》的頒布與實施，為我國的保護工作指明了新的發展道路，對推動保護工作向法制化、體系化、科學化發展提供了方向，將在保障國家安全、國計民生和公共利益等方面發揮重要作用。