當前，關鍵基礎設施正在成為網絡攻擊的主要目標。一樁樁大規(guī)模網絡攻擊事件觸目驚心，中國、德國、俄羅斯、以色列、智利、伊朗等多個國家的關鍵基礎設施均遭受過不同類型、不同程度的網絡攻擊，在全球范圍內拉響了“紅色警報”。

　　近來，國內相關政策法規(guī)密集出臺。其中，作為我國首部專門針對關鍵信息技術設施安全保護工作的行政法規(guī)，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）即將于9月1日正式施行，為網絡安全行業(yè)的健康、有序發(fā)展點亮了一盞“航標燈”。

　　關鍵詞：范圍、授權、責任

　　實際上，通過《網絡安全法》，關鍵信息基礎設施的概念首次在我國法律層面得以明確。《條例》則是針對關鍵信息基礎設施的范圍界定、授權認定、責任機制等關鍵性問題進行了更為詳細的規(guī)定。

　　賽迪智庫網絡安全研究所所長劉權在接受《中國電子報》記者采訪時說：“《條例》采用了‘范圍列舉+授權認定’的方法，對關鍵信息基礎設施的內涵和外延做出規(guī)定�！�

　　在范圍列舉方面，《條例》第二條將關鍵信息基礎設施定位于“重要網絡設施和信息系統(tǒng)”，并以列舉方式明確了其行業(yè)屬性和影響屬性兩大界定標準：一是“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等”八個重要行業(yè)和領域；二是“一旦遭到破壞、喪失功能或者數(shù)據泄露，可能嚴重危害國家安全、國計民生、公共利益”。

　　尤其值得關注的是，鑒于新興互聯(lián)網平臺用戶規(guī)模普遍在億級以上，掌握著海量的高價值數(shù)據，如遇網絡攻擊，其危害程度不亞于傳統(tǒng)行業(yè)，因此多位專家認為這些平臺也可能被納入關鍵信息基礎設施的范圍。

　　在授權認定方面，《條例》第二章對授權認定做出了規(guī)定，主要明確了兩個要點：一是認定主體，即“關鍵信息基礎設施安全保護工作的部門，主要包括了《條例》第二條所述八個重要行業(yè)和領域的主管或監(jiān)管部門；二是認定依據，《條例》第九條還明確了制定“認定規(guī)則”時應依據的“重要程度”“危害程度”和“關聯(lián)影響”三個主要考量因素。

　　安全責任機制的明確也是《條例》的亮點之一�！啊稐l例》的頒布傳遞出關鍵基礎設施領域中安全的重要戰(zhàn)略地位，關鍵基礎設施的安全防護不僅僅是相關運營者的責任，更關乎國計民生和社會利益�！彬v訊安全戰(zhàn)略發(fā)展中心行業(yè)安全專家組負責人陳顥明在接受《中國電子報》記者采訪時表示，“主要是‘責任’，包括關鍵基礎設施運營者要落實的主體責任，以及未做好安全防護要負的法律責任�！�

　　劉權補充說，《條例》對于責任機制的規(guī)定主要有三點：一是突出主體責任，運營者在整個保護工作中，因其肩負重要職責而具有的不可替代作用。 二是健全責任范圍，形成對關鍵信息基礎設施保護工作的全方位責任保障；三是明確責任方式，主要涵蓋行政責任、民事責任和刑事責任三大類別。

　　《條例》旨在解決哪些問題？

　　隨著我國國民經濟和社會信息化的全面推進，傳統(tǒng)的社會活動不斷向網絡空間延伸擴展，經濟與國家安全高度依賴于關鍵信息基礎設施�！巴晟脐P鍵信息基礎設施保護法律體系，全面提升關鍵信息基礎設施安全保護意識、保障能力和水平，已經成為網絡安全博弈的制勝關鍵�！标愵椕鞅硎�。

　　然而現(xiàn)階段，我國關鍵信息基礎設施的安全防護仍存在不少問題。華云數(shù)據控股集團高級副總裁郭曉在接受《中國電子報》記者采訪時坦言：“我國整體安全投入與全球市場還存在差距�！眹�家統(tǒng)計局和IDC數(shù)據顯示，我國網絡安全產業(yè)占GDP僅0.41%，和美國相差3.6倍，網絡安全產業(yè)規(guī)模和美國相差5.5倍。

　　不過，業(yè)界人士普遍認為，《條例》的出臺將給國內網絡安全產業(yè)帶來較大增量空間。中信證券稱，《條例》正式施行后有望帶動省級、國家級關鍵信息基礎設施安全投入增加。假設國家級、省級關鍵信息基礎設施有望達到2萬個，平均每個關鍵信息基礎設施每年的安全投入為100萬元，則《條例》帶來的增量市場每年預計有200億元。

　　陳顥明指出：“結合近期的政策，政企安全投入比重的提升將推動網安行業(yè)開啟高速增長期，預計未來安全投入與全球市場的差距將持續(xù)縮小。尤其是公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等這些《條例》要求保護的重點行業(yè)，未來將是網絡安全能力建設和投入的重點�！�

　　“除了安全投入不足，我國關鍵信息基礎設施安全保護還面臨自主可控能力不足、缺乏完善有效的脆弱性評估機制和安全恢復計劃、安全風險監(jiān)測和預警機制較弱等挑戰(zhàn)。”劉權談道。

　　今年5月國家互聯(lián)網應急中心（CNCERT）發(fā)布的《2020年我國互聯(lián)網網絡安全態(tài)勢綜述》數(shù)據顯示，勒索病毒、APT攻擊、系統(tǒng)漏洞、數(shù)據安全等安全問題已逐漸成為企業(yè)、政府機構、金融機構等對網絡安全性要求較高用戶群體最為關心的核心問題之一。而關鍵信息基礎設施網絡安全事故多發(fā)，也從側面凸顯出產業(yè)生態(tài)的不完善。

　　《條例》的正式施行有望補足網絡安全產業(yè)鏈的薄弱環(huán)節(jié)。劉權分析稱，《條例》明確規(guī)定關鍵信息基礎設施運營者應當落實網絡安全責任，開展安全監(jiān)測和風險評估，規(guī)范網絡產品和服務采購活動。從這些要求看，網絡安全行業(yè)中提供風險評估、等保測評以及合規(guī)性咨詢等第三方服務企業(yè)將明顯受益�！坝绕涫鞘墙�年來興起的網絡安全托管服務，會獲得更大的市場增長空間�！标愵椕鲝娬{。

　　“《條例》對信創(chuàng)產業(yè)和網安行業(yè)也表達了明確支持，指出應當優(yōu)先采購安全可信的網絡產品和服務。因此，跨越多行業(yè)，多領域的云服務提供商作為主要對象，其中具有信創(chuàng)和自主知識產權特色的企業(yè)，和具有跨界整合優(yōu)質網絡安全方案能力的企業(yè)會更加受益。”郭曉表示。

　　另外，網絡安全人才問題也將獲得更多的關注。陳顥明認為，關鍵信息基礎設施運營單位普遍存在網絡安全人員編制少、人才流失嚴重、現(xiàn)有人員經驗不足等諸多問題，《條例》的實施會帶來更大的人才需求壓力�！耙环矫妫�在現(xiàn)有人才無法滿足要求的情況下，關鍵信息基礎設施運營單位亟須引入外部網絡安全人才和服務，補齊和加強網絡安全力量；另一方面，也要加強內部網絡安全人才培訓。”

　　究竟應該怎么做？

　　傳統(tǒng)的安全建設往往注重先進和高效的技術防御平臺建設，卻忽視了平臺的持續(xù)運營能力和對事件的應急處置能力。大多數(shù)單位真正缺乏的是“用好安全產品”和“應對突發(fā)事件”的能力，這無論是對關鍵信息基礎設施運營單位的安全團隊還是對提供產品和服務的安全企業(yè)，都是一個需要投入精力去解決的問題。在陳顥明看來，關鍵信息基礎設施安全保護體系的建設，將更加強調安全運營、應急處置等“軟”實力的構建，要求業(yè)內企業(yè)和單位更加注重安全能力的持續(xù)、有效運作。

　　一方面，關鍵基礎設施運營者在其中扮演著不可替代的重要角色。劉權建議：“運營者需重點做好以下三個方面工作。一是落實主體責任，通過建立安全保護制度、設立專門管理機構、加強網絡安全意識教育等多種形式，切實保障相關資金落實，建立網絡安全保障體系；二是高度重視安全保護工作，合規(guī)做好系統(tǒng)建設相關工作；三是定期開展網絡安全檢測和風險評估，發(fā)生重大安全事件應及時向相關部門報告�！�

　　另一方面，企業(yè)與安全從業(yè)者也是重要參與者，需提供更符合實際場景需求的安全解決方案。陳顥明談到：“關鍵信息基礎設施的保護體系不應再是類似等保的‘基線’式防護，而必須是有重點、有目標的針對性管控體系。安全行業(yè)從業(yè)者必須深入到不同關鍵信息基礎設施行業(yè)的業(yè)務場景中，基于不同的行業(yè)風險考慮系統(tǒng)的應對措施。”

　　郭曉指出，從網絡安全角度出發(fā)，包括內外網安全、虛擬化安全、云原生安全都是關鍵信息基礎設施安全保護的范圍；業(yè)務數(shù)據多副本機制、本地保護策略、異地備份和恢復機制都應成為企業(yè)上云的必備前提。同時，服務商也應積極對照《條例》及《網絡安全法》等法律法規(guī)，擔起安全合規(guī)義務和責任，主動擁抱網絡安全監(jiān)管，規(guī)避合規(guī)風險，并依托創(chuàng)新技術，不斷完善網絡安全防御體系，為政府和企業(yè)用戶構筑起一道云上的安全屏障。

　　總體來看，關鍵信息基礎設施安全保護體系的建設更強調總體規(guī)劃、技術可信、持續(xù)運營和有效性監(jiān)管，要求整個行業(yè)的從業(yè)者共同協(xié)作，建立更完善的產業(yè)生態(tài)體系。陳顥明認為：“這包括但不限于——規(guī)劃層面，完善基于行業(yè)屬性的安全標準與最佳實踐；建設層面，促進安全可信技術的發(fā)展、安全產品和運營能力的規(guī)范化評價體系；運營層面，建立更順暢的信息共享和技術協(xié)同機制，充分發(fā)揮運營者內部自查、行業(yè)監(jiān)管和國家監(jiān)管的多層保障和促進作用�！保ㄓ浾� 宋婧）

　　 轉自：中國電子報