《关键信息基础设施安全保护条例》实施一周年专题分享 - 网安

随着信息技术的快速发展，以及万物互联时代的到来，关系着国家安全、社会稳定和经济发展的关键信息基础设施已成为网络空间安全的“必争之地”。当前，关键信息基础设施面临的安全形势严峻，网络攻击威胁事件频发。持续做好关键信息基础设施安全保护、不断推动《关键信息基础设施安全保护条例》（以下简称《条例》）落地实施意义重大。

在《条例》颁布实施一周年之际，由光明网网络安全频道、中国信息协会信息安全专业委员会主办，北京六方云信息技术有限公司承办的“推进落实《关键信息基础设施安全保护条例》”专题分享会在京举行。来自各界的专家学者共聚一堂，为推进我国关键信息基础设施安全保护建言献策。

夯实法治基底，持续推动《条例》落地实施

如果说入侵个人计算机中的病毒是一场普通感冒，那么关键信息基础设施一旦“被感染”，便是一场重度流感。如何有效应对日益复杂的网络安全环境，保护国家关键信息基础设施安全，已经成为各界面临的重要课题。分享会上，中国信息协会信息安全专业委员会主任叶红表示，随着《条例》和网络安全法、数据安全法、个人信息保护法等“三法一条例”陆续出台实施，我国网络安全领域法律法规体系得到了逐步完善。

“《条例》的性质不仅是法律规则汇集，也是一个‘工具箱’，是战略引领和业务操作的规则。”北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括认为，《条例》与新技术、新应用产生的风险相伴而生，并要求防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性，建构以网络安全信息共享机制为核心，不同主体共同参与保护工作的全方位系统。“《条例》对于国家基础信息、重要数据、个人信息以及违法信息治理有极高的关注，形成了关键信息基础设施安全保护制度的亮点。”吴沈括说。

《条例》颁布实施一年来，我国关键信息基础设施领域的网络安全保护取得了诸多成果。叶红介绍，国家层面出台了相关标准、办法及配套法规，部分领域、行业的网络安全防护意识进一步提升，网络安全人才结构进一步优化。中国科学技术大学教授左晓栋也表示，近年来，按照相关政策要求及《网络安全法》等法律法规规定，各地各领域正在全面加强网络安全工作，有力保障国家关键信息基础设施以及重要数据的安全，构建以关键基础设施保护为基础的安全保障体系势在必行。

强化保护体系，构建多方协同机制

“我国关键信息基础设施安全保护尚处于起步阶段，其安全保护理念、体系框架、最佳实践等尚需探索和研究。”路云天网络安全研究院副院长王少杰坦言，关键信息基础设施保护以防范安全威胁隐患、有效化解安全风险、保障业务应用的安全持续、稳定运行为目标，具备闭环管理动态化、能力迭代自动化、安全能力流程化、安全运营一体化等特征。

北京六方云信息技术有限公司总裁李江力认为，当前，我国关键信息基础设施安全保护的基本措施可以总结为“三化六防”。其中，实战化、体系化、常态化是基本要求，六防指动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控，具体工作包含分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个环节。“在实际工作中，需要多种技术来支撑六个环节。”

如何进一步夯实关键信息基础设施安全保护、保障国家网络安全？叶红谈到五个方面：一是不断健全关键信息基础设施保护体系，完善配套的标准、制度；二是关键信息基础设施安全保护主管单位要强化对相关工作的监督检查，对既有网络系统的漏洞和弱点，以及相关行业和单位的安全环节作多角度监测；三是加强技术的攻关和创新，支持网络安全产业发展，发现并解决新技术、新应用带来的新漏洞、新问题；四是促进网络安全人才培养，持续推动相关专业人才的职业教育，打通人才进步通道，鼓励人才加入网络安全保障队伍；五是加强对关键信息基础设施安全风险的预测及研判，可在网络安全研究中注重苗头性、倾向性、潜在性风险，做好预判提前布局防御措施。

“关键信息基础设施保护是一个系统工程，其安全理念、本质内涵、建设实施等，需要不断深入研究与设计实践。加强探索构建各行业的框架体系，将成为各行业的重点工作。”针对保护体系框架设计，王少杰认为，相关工作部门及运营者在开展本行业或单位的关键信息基础设施安全保护整体规划和体系设计时，需要综合考虑专门安全管理机构、管理制度、业务流程、技术框架等核心要素，探索、设计、构建本行业或单位关键信息基础设施安全保护综合管理中心，通过分析该中心的建设需求、原则目标和主要效能，逐次推进完善该中心的运营、管理、技术、队伍、保障等能力建设，构建关键信息基础设施安全保护体系，构建“网络安全数据中台”系统。

在李江力看来，进一步做好我国的关键信息基础设施安全保护，要在落实《条例》基础上，同步推动安全设备生产商自我革新，充分调动全社会的积极力量，在建立起一套完整、科学、严密的制度框架基础上，落实责任、共商共建，将安全化为实体，将安心落到实处。

左晓栋还建议，推进制定关键信息基础设施安全保护计划；同时，各部门之间进一步加强协调，认真研究这项制度，明确其本质，并对其有更加清晰的定位，推动相关法律法规落地，让它成为维护国家安全的一个重要屏障。