當前，關鍵基礎設施正在成為網絡攻擊的主要目標。一樁樁大規模網絡攻擊事件觸目驚心，中國、德國、俄羅斯、以色列、智利、伊朗等多個國家的關鍵基礎設施均遭受過不同類型、不同程度的網絡攻擊，在全球范圍內拉響了“紅色警報”。

　　近來，國內相關政策法規密集出臺。其中，作為我國首部專門針對關鍵信息技術設施安全保護工作的行政法規，《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）即將于9月1日正式施行，為網絡安全行業的健康、有序發展點亮了一盞“航標燈”。

　　關鍵詞：范圍、授權、責任

　　實際上，通過《網絡安全法》，關鍵信息基礎設施的概念首次在我國法律層面得以明確。《條例》則是針對關鍵信息基礎設施的范圍界定、授權認定、責任機制等關鍵性問題進行了更為詳細的規定。

　　賽迪智庫網絡安全研究所所長劉權在接受《中國電子報》記者采訪時說：“《條例》采用了‘范圍列舉+授權認定’的方法，對關鍵信息基礎設施的內涵和外延做出規定。”

　　在范圍列舉方面，《條例》第二條將關鍵信息基礎設施定位于“重要網絡設施和信息系統”，并以列舉方式明確了其行業屬性和影響屬性兩大界定標準：一是“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等”八個重要行業和領域；二是“一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益”。

　　尤其值得關注的是，鑒于新興互聯網平臺用戶規模普遍在億級以上，掌握著海量的高價值數據，如遇網絡攻擊，其危害程度不亞于傳統行業，因此多位專家認為這些平臺也可能被納入關鍵信息基礎設施的范圍。

　　在授權認定方面，《條例》第二章對授權認定做出了規定，主要明確了兩個要點：一是認定主體，即“關鍵信息基礎設施安全保護工作的部門，主要包括了《條例》第二條所述八個重要行業和領域的主管或監管部門；二是認定依據，《條例》第九條還明確了制定“認定規則”時應依據的“重要程度”“危害程度”和“關聯影響”三個主要考量因素。

　　安全責任機制的明確也是《條例》的亮點之一。“《條例》的頒布傳遞出關鍵基礎設施領域中安全的重要戰略地位，關鍵基礎設施的安全防護不僅僅是相關運營者的責任，更關乎國計民生和社會利益。”騰訊安全戰略發展中心行業安全專家組負責人陳顥明在接受《中國電子報》記者采訪時表示，“主要是‘責任’，包括關鍵基礎設施運營者要落實的主體責任，以及未做好安全防護要負的法律責任。”

　　劉權補充說，《條例》對于責任機制的規定主要有三點：一是突出主體責任，運營者在整個保護工作中，因其肩負重要職責而具有的不可替代作用。 二是健全責任范圍，形成對關鍵信息基礎設施保護工作的全方位責任保障；三是明確責任方式，主要涵蓋行政責任、民事責任和刑事責任三大類別。

　　《條例》旨在解決哪些問題？

　　隨著我國國民經濟和社會信息化的全面推進，傳統的社會活動不斷向網絡空間延伸擴展，經濟與國家安全高度依賴于關鍵信息基礎設施。“完善關鍵信息基礎設施保護法律體系，全面提升關鍵信息基礎設施安全保護意識、保障能力和水平，已經成為網絡安全博弈的制勝關鍵。”陳顥明表示。

　　然而現階段，我國關鍵信息基礎設施的安全防護仍存在不少問題。華云數據控股集團高級副總裁郭曉在接受《中國電子報》記者采訪時坦言：“我國整體安全投入與全球市場還存在差距。”國家統計局和IDC數據顯示，我國網絡安全產業占GDP僅0.41%，和美國相差3.6倍，網絡安全產業規模和美國相差5.5倍。

　　不過，業界人士普遍認為，《條例》的出臺將給國內網絡安全產業帶來較大增量空間。中信證券稱，《條例》正式施行后有望帶動省級、國家級關鍵信息基礎設施安全投入增加。假設國家級、省級關鍵信息基礎設施有望達到2萬個，平均每個關鍵信息基礎設施每年的安全投入為100萬元，則《條例》帶來的增量市場每年預計有200億元。

　　陳顥明指出：“結合近期的政策，政企安全投入比重的提升將推動網安行業開啟高速增長期，預計未來安全投入與全球市場的差距將持續縮小。尤其是公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等這些《條例》要求保護的重點行業，未來將是網絡安全能力建設和投入的重點。”

　　“除了安全投入不足，我國關鍵信息基礎設施安全保護還面臨自主可控能力不足、缺乏完善有效的脆弱性評估機制和安全恢復計劃、安全風險監測和預警機制較弱等挑戰。”劉權談道。

　　今年5月國家互聯網應急中心（CNCERT）發布的《2020年我國互聯網網絡安全態勢綜述》數據顯示，勒索病毒、APT攻擊、系統漏洞、數據安全等安全問題已逐漸成為企業、政府機構、金融機構等對網絡安全性要求較高用戶群體最為關心的核心問題之一。而關鍵信息基礎設施網絡安全事故多發，也從側面凸顯出產業生態的不完善。

　　《條例》的正式施行有望補足網絡安全產業鏈的薄弱環節。劉權分析稱，《條例》明確規定關鍵信息基礎設施運營者應當落實網絡安全責任，開展安全監測和風險評估，規范網絡產品和服務采購活動。從這些要求看，網絡安全行業中提供風險評估、等保測評以及合規性咨詢等第三方服務企業將明顯受益。“尤其是是近年來興起的網絡安全托管服務，會獲得更大的市場增長空間。”陳顥明強調。

　　“《條例》對信創產業和網安行業也表達了明確支持，指出應當優先采購安全可信的網絡產品和服務。因此，跨越多行業，多領域的云服務提供商作為主要對象，其中具有信創和自主知識產權特色的企業，和具有跨界整合優質網絡安全方案能力的企業會更加受益。”郭曉表示。

　　另外，網絡安全人才問題也將獲得更多的關注。陳顥明認為，關鍵信息基礎設施運營單位普遍存在網絡安全人員編制少、人才流失嚴重、現有人員經驗不足等諸多問題，《條例》的實施會帶來更大的人才需求壓力。“一方面，在現有人才無法滿足要求的情況下，關鍵信息基礎設施運營單位亟須引入外部網絡安全人才和服務，補齊和加強網絡安全力量；另一方面，也要加強內部網絡安全人才培訓。”

　　究竟應該怎么做？

　　傳統的安全建設往往注重先進和高效的技術防御平臺建設，卻忽視了平臺的持續運營能力和對事件的應急處置能力。大多數單位真正缺乏的是“用好安全產品”和“應對突發事件”的能力，這無論是對關鍵信息基礎設施運營單位的安全團隊還是對提供產品和服務的安全企業，都是一個需要投入精力去解決的問題。在陳顥明看來，關鍵信息基礎設施安全保護體系的建設，將更加強調安全運營、應急處置等“軟”實力的構建，要求業內企業和單位更加注重安全能力的持續、有效運作。

　　一方面，關鍵基礎設施運營者在其中扮演著不可替代的重要角色。劉權建議：“運營者需重點做好以下三個方面工作。一是落實主體責任，通過建立安全保護制度、設立專門管理機構、加強網絡安全意識教育等多種形式，切實保障相關資金落實，建立網絡安全保障體系；二是高度重視安全保護工作，合規做好系統建設相關工作；三是定期開展網絡安全檢測和風險評估，發生重大安全事件應及時向相關部門報告。”

　　另一方面，企業與安全從業者也是重要參與者，需提供更符合實際場景需求的安全解決方案。陳顥明談到：“關鍵信息基礎設施的保護體系不應再是類似等保的‘基線’式防護，而必須是有重點、有目標的針對性管控體系。安全行業從業者必須深入到不同關鍵信息基礎設施行業的業務場景中，基于不同的行業風險考慮系統的應對措施。”

　　郭曉指出，從網絡安全角度出發，包括內外網安全、虛擬化安全、云原生安全都是關鍵信息基礎設施安全保護的范圍；業務數據多副本機制、本地保護策略、異地備份和恢復機制都應成為企業上云的必備前提。同時，服務商也應積極對照《條例》及《網絡安全法》等法律法規，擔起安全合規義務和責任，主動擁抱網絡安全監管，規避合規風險，并依托創新技術，不斷完善網絡安全防御體系，為政府和企業用戶構筑起一道云上的安全屏障。

　　總體來看，關鍵信息基礎設施安全保護體系的建設更強調總體規劃、技術可信、持續運營和有效性監管，要求整個行業的從業者共同協作，建立更完善的產業生態體系。陳顥明認為：“這包括但不限于——規劃層面，完善基于行業屬性的安全標準與最佳實踐；建設層面，促進安全可信技術的發展、安全產品和運營能力的規范化評價體系；運營層面，建立更順暢的信息共享和技術協同機制，充分發揮運營者內部自查、行業監管和國家監管的多層保障和促進作用。”（記者 宋婧）

　　 轉自：中國電子報