美國(guó)輸油管道勒索攻擊事件敲響全球關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)警鐘。當(dāng)前，勒索攻擊已成為各國(guó)網(wǎng)絡(luò)安全面臨的主要威脅，并呈現(xiàn)向關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域蔓延趨勢(shì)。自 2017 年WannaCry 勒索病毒爆發(fā)以來(lái)，大規(guī)模勒索攻擊事件屢屢發(fā)生，受害對(duì)象、危害后果、贖金要求不斷刷新。美國(guó)近期發(fā)生的成品油供應(yīng)商科洛尼爾公司遭遇勒索攻擊一事，因觸發(fā)所謂“國(guó)家緊急狀態(tài)”而備受關(guān)注。

　　事件發(fā)生后，美國(guó)反思現(xiàn)有關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的不足，密集出臺(tái)或推動(dòng)十余部政策立法，力圖改變被動(dòng)局面。近日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱(chēng)《條例》）正式發(fā)布，推動(dòng)我國(guó)進(jìn)入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)新階段。貫徹落實(shí)《條例》，充分應(yīng)對(duì)勒索攻擊等新興網(wǎng)絡(luò)安全威脅，應(yīng)秉持積極防御理念，強(qiáng)化風(fēng)險(xiǎn)識(shí)別和應(yīng)急處置，重視數(shù)據(jù)安全和供應(yīng)鏈安全，加強(qiáng)勒索攻擊案件打擊，綜合提升關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力。

　　一、美國(guó)輸油管道勒索攻擊事件的現(xiàn)實(shí)應(yīng)對(duì)

　　2021 年 5 月 7 日，美國(guó)最主要的成品油供應(yīng)商之一科洛尼爾公司（Colonial Pipeline）遭遇勒索攻擊，導(dǎo)致美國(guó)東海岸地區(qū) 45% 的燃油供應(yīng)受到影響（以下簡(jiǎn)稱(chēng)“輸油管道勒索攻擊事件”）。為有效應(yīng)對(duì)和緩解該事件造成的影響，科洛尼爾公司及美國(guó)聯(lián)邦政府多部門(mén)先后采取多項(xiàng)措施。

　　在應(yīng)急處置方面，鑒于攻擊者在獲得對(duì)科洛尼爾公司網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限后針對(duì) IT 網(wǎng)絡(luò)部署勒索軟件，為應(yīng)對(duì)攻擊，該公司立即啟動(dòng)應(yīng)急響應(yīng)，主動(dòng)斷開(kāi)某些 OT 系統(tǒng)以緩解事件影響。但該公司首席執(zhí)行官隨后承認(rèn)已向黑客支付價(jià)值 440 萬(wàn)美元的比特幣贖金。

　　5 月 11 日，美國(guó)白宮就此事件發(fā)布情況說(shuō)明，表示拜登政府已發(fā)動(dòng)全政府努力解決此事件，確保關(guān)鍵能源供應(yīng)鏈安全。白宮成立機(jī)構(gòu)間響應(yīng)小組，以監(jiān)測(cè)和緩解事件影響，確保燃料持續(xù)流向受影響地區(qū)。多部門(mén)發(fā)布臨時(shí)豁免，允許多個(gè)州暫時(shí)使用不合規(guī)的燃料，并為燃料運(yùn)輸提供更大的靈活性。同時(shí)，國(guó)土安全部下轄的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）還與能源部合作，并與行業(yè)溝通，就關(guān)鍵基礎(chǔ)設(shè)施保護(hù)、減少勒索攻擊事件發(fā)生提出建議。

　　在犯罪打擊方面，5 月 10 日，F(xiàn)BI 確認(rèn)黑客組織 DarkSide 實(shí)施了此次攻擊。5 月 13 日，DarkSide稱(chēng)，由于執(zhí)法行動(dòng)，他們目前已經(jīng)無(wú)法通過(guò)安全外殼協(xié)議（SSH）訪問(wèn)其基礎(chǔ)設(shè)施，包括數(shù)據(jù)泄露服務(wù)器、贖金支付服務(wù)器、主機(jī)界面等；由于來(lái)自美國(guó)的壓力，DarkSide 將終止勒索活動(dòng)。6 月 7日，美國(guó)司法部表示已追回科洛尼爾公司支付給DarkSide 價(jià)值約 230 萬(wàn)美元的比特幣贖金。

　　二、美國(guó)對(duì)輸油管道勒索攻擊事件的立法反思

　　事件發(fā)生后，白宮表示美國(guó)近 90% 的關(guān)鍵基礎(chǔ)設(shè)施由私營(yíng)部門(mén)擁有或運(yùn)營(yíng)，但目前美國(guó)在關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)方面缺乏戰(zhàn)略層面的協(xié)調(diào)一致的要求，現(xiàn)有各部門(mén)和州一級(jí)的相關(guān)立法雖在零碎地調(diào)整，但不足以支撐美國(guó)應(yīng)對(duì)當(dāng)前關(guān)鍵基礎(chǔ)設(shè)施面臨的威脅，亟需通過(guò)立法改變這一局面。對(duì)此，聯(lián)邦政府、國(guó)會(huì)采取一系列立法措施，涉及總統(tǒng)行政令、備忘錄、部門(mén)指令以及十余部國(guó)會(huì)立法提案，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)和勒索攻擊打擊。

　　1. 立法響應(yīng)

　　一是聯(lián)邦政府層面。5 月 12 日，拜登簽署第14028 號(hào)行政令《提升國(guó)家網(wǎng)絡(luò)安全的行政令》（以下簡(jiǎn)稱(chēng)“行政令”），明確政府將網(wǎng)絡(luò)事件的預(yù)防、檢測(cè)、評(píng)估和補(bǔ)救作為重中之重，所有聯(lián)邦信息系統(tǒng)都應(yīng)滿(mǎn)足或超過(guò)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)和要求。7 月 28 日，拜登再次簽署《改善關(guān)鍵基礎(chǔ)設(shè)施控制系統(tǒng)網(wǎng)絡(luò)安全的國(guó)家安全備忘錄》，指出關(guān)鍵基礎(chǔ)設(shè)施控制和運(yùn)營(yíng)系統(tǒng)面臨的網(wǎng)絡(luò)安全威脅是當(dāng)前最重要和日益嚴(yán)重的問(wèn)題之一。

　　二是部門(mén)層面。美國(guó)運(yùn)輸安全管理局（TSA）發(fā)布兩項(xiàng)安全指令（以下簡(jiǎn)稱(chēng)“TSA 指令”），要求關(guān)鍵管道所有者和運(yùn)營(yíng)商報(bào)告已確認(rèn)和潛在的網(wǎng)絡(luò)安全事件，制定并實(shí)施網(wǎng)絡(luò)安全應(yīng)急恢復(fù)計(jì)劃，對(duì)當(dāng)前網(wǎng)絡(luò)安全實(shí)踐進(jìn)行審查并采取補(bǔ)救措施等。

　　三是國(guó)會(huì)層面。事件發(fā)生后，國(guó)會(huì)正在推動(dòng)的相關(guān)立法提案包括《2021 年美國(guó)基礎(chǔ)設(shè)施防御法案》《管道安全法案》《2021 年網(wǎng)絡(luò)事件通知法案》《2021年供應(yīng)鏈安全培訓(xùn)法案》《研究網(wǎng)絡(luò)攻擊應(yīng)對(duì)行為法案》《國(guó)際網(wǎng)絡(luò)犯罪預(yù)防法案》等十余部，涉及監(jiān)管職責(zé)、信息共享、應(yīng)急響應(yīng)、安全評(píng)估、供應(yīng)鏈安全、關(guān)鍵基礎(chǔ)設(shè)施犯罪、網(wǎng)絡(luò)攻擊反制等諸多內(nèi)容，試圖從整體關(guān)鍵基礎(chǔ)設(shè)施及能源、電力等細(xì)分領(lǐng)域全面提升安全保障能力。

　　2. 立法關(guān)切

　　一是加強(qiáng)風(fēng)險(xiǎn)識(shí)別。有提案認(rèn)為，美國(guó)聯(lián)邦政府缺乏充足的網(wǎng)絡(luò)安全準(zhǔn)備措施，且沒(méi)有用于投資關(guān)鍵領(lǐng)域的基金，使得政府無(wú)法將其對(duì)風(fēng)險(xiǎn)的理解納入戰(zhàn)略、規(guī)劃和行動(dòng)，以推動(dòng)實(shí)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施安全的核心目標(biāo)，應(yīng)從根本上改變聯(lián)邦政府在網(wǎng)絡(luò)安全方面的投資方式，將投資重點(diǎn)從被動(dòng)的網(wǎng)絡(luò)安全災(zāi)難支出轉(zhuǎn)向風(fēng)險(xiǎn)驅(qū)動(dòng)，主動(dòng)投資于加強(qiáng)網(wǎng)絡(luò)彈性。同時(shí)，有提案提出制定國(guó)家網(wǎng)絡(luò)演習(xí)計(jì)劃，該計(jì)劃應(yīng)模擬成政府或關(guān)鍵基礎(chǔ)設(shè)施因網(wǎng)絡(luò)安全事件導(dǎo)致部分或全部喪失能力的場(chǎng)景。由 CISA 建立基于云的信息共享環(huán)境，整合聯(lián)邦政府網(wǎng)絡(luò)安全風(fēng)險(xiǎn)信息，幫助其全面了解對(duì)聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施構(gòu)成的網(wǎng)絡(luò)威脅。

　　二是加強(qiáng)事件報(bào)告。行政令要求與聯(lián)邦機(jī)構(gòu)簽訂合同的 ICT 提供商在發(fā)現(xiàn)提供給聯(lián)邦機(jī)構(gòu)的產(chǎn)品、服務(wù)及支持系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件時(shí)，必須立即向聯(lián)邦機(jī)構(gòu)上報(bào)。有提案提出，為違反事件報(bào)告義務(wù)的行為配備處罰措施，提出被認(rèn)為對(duì)美國(guó)國(guó)家安全至關(guān)重要的聯(lián)邦機(jī)構(gòu)、聯(lián)邦承包商和組織在發(fā)現(xiàn)安全事件后應(yīng)在 24 小時(shí)內(nèi)向 CISA 報(bào)告。對(duì)于正在或已經(jīng)違反該報(bào)告要求的，可視情況對(duì)該實(shí)體按日處以不超過(guò)上一年總收入 0.5% 的民事罰款。TSA 指令要求關(guān)鍵管道所有者和運(yùn)營(yíng)商指定一名 7*24 小時(shí)待命的網(wǎng)絡(luò)安全協(xié)調(diào)員，報(bào)告已發(fā)生和潛在的安全事件，并制定實(shí)施網(wǎng)絡(luò)安全應(yīng)急和恢復(fù)計(jì)劃。

　　三是加強(qiáng)供應(yīng)鏈管理。行政令認(rèn)為聯(lián)邦政府所使用軟件的安全性對(duì)聯(lián)邦政府履行關(guān)鍵職能至關(guān)重要，并由此提出“關(guān)鍵軟件”概念，要求聯(lián)邦政府必須提高軟件供應(yīng)鏈的安全性和完整性，優(yōu)先解決“關(guān)鍵軟件”問(wèn)題。在 NIST 依據(jù)行政令要求發(fā)布的白皮書(shū)中，建議在行政令最初實(shí)施階段將“關(guān)鍵軟件”定義為側(cè)重于具有關(guān)鍵安全功能或在受到威脅時(shí)會(huì)造成重大危害的獨(dú)立、本地軟件，后續(xù)實(shí)施階段再涉及其他類(lèi)別的軟件。有提案提出，為關(guān)鍵信息和通信技術(shù)建立并運(yùn)營(yíng)自愿的國(guó)家網(wǎng)絡(luò)安全認(rèn)證和標(biāo)簽計(jì)劃，創(chuàng)建標(biāo)準(zhǔn)化培訓(xùn)項(xiàng)目，幫助關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)者更好地了解使用的技術(shù)和產(chǎn)品的安全性。

　　四是加強(qiáng)案件打擊。司法部提交的《關(guān)于勒索軟件和數(shù)字勒索調(diào)查和案件的指導(dǎo)意見(jiàn)》備忘錄提出必須強(qiáng)化和集中內(nèi)部對(duì)勒索攻擊團(tuán)伙的調(diào)查和起訴，將勒索攻擊、數(shù)字領(lǐng)域敲詐勒索，以及反病毒服務(wù)、僵尸網(wǎng)絡(luò)、加密貨幣等為勒索攻擊提供支撐的基礎(chǔ)設(shè)施均納入打擊范圍。此外，多部提案提議修訂《計(jì)算機(jī)欺詐和濫用法》，提出在第 1030 條“與計(jì)算機(jī)有關(guān)的欺詐及其相關(guān)活動(dòng)”后新增一條“嚴(yán)重?fù)p害關(guān)鍵基礎(chǔ)設(shè)施計(jì)算機(jī)”，將“明知或企圖對(duì)關(guān)鍵基礎(chǔ)設(shè)施計(jì)算機(jī)運(yùn)營(yíng)造成實(shí)質(zhì)性損害”的行為認(rèn)定為犯罪，處以罰款和/或不超過(guò) 20 年的監(jiān)禁。也有提案提出，應(yīng)研究允許私營(yíng)實(shí)體在指定聯(lián)邦機(jī)構(gòu)的監(jiān)管下，對(duì)非法網(wǎng)絡(luò)入侵采取反擊行動(dòng)。

　　三、對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的啟示

　　《網(wǎng)絡(luò)安全法》確立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的基本框架，從預(yù)防、控制、打擊三個(gè)維度明確保護(hù)要求?！毒W(wǎng)絡(luò)安全法》施行以來(lái)，網(wǎng)信、公安以及行業(yè)主管監(jiān)管部門(mén)積極推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定、安全保護(hù)和監(jiān)督檢查等工作，并以國(guó)家標(biāo)準(zhǔn)切入選取部分重點(diǎn)行業(yè)和領(lǐng)域率先開(kāi)展安全保護(hù)試點(diǎn)。2020 年，公安部發(fā)布《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》，明確由公安機(jī)關(guān)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。近期公布的《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》，將關(guān)鍵信息基礎(chǔ)設(shè)施遭遇網(wǎng)絡(luò)攻擊的特定情形認(rèn)定為嚴(yán)重危害網(wǎng)絡(luò)安全的行為，要求逐級(jí)倒查，追究責(zé)任。2021 年 8 月，歷時(shí)五年制定的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》正式公布。《條例》是對(duì)前期我國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面嘗試與探索的經(jīng)驗(yàn)總結(jié)，通過(guò)優(yōu)化監(jiān)管體制、調(diào)整識(shí)別規(guī)則、強(qiáng)化安全要求，為后續(xù)貫徹落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作提供指引。

　　在此次輸油管道勒索攻擊事件中，美國(guó)在事件報(bào)告、供應(yīng)鏈安全、案件打擊方面的處置及立法反思，對(duì)在《條例》實(shí)施后落實(shí)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度具有參考價(jià)值。

　　1. 堅(jiān)持積極防御，加強(qiáng)風(fēng)險(xiǎn)識(shí)別

　　勒索攻擊的非對(duì)稱(chēng)性持續(xù)加劇。美國(guó)諸多提案強(qiáng)調(diào)事前風(fēng)險(xiǎn)識(shí)別和信息共享，提出將聯(lián)邦投資的重點(diǎn)從被動(dòng)的災(zāi)難恢復(fù)轉(zhuǎn)向風(fēng)險(xiǎn)驅(qū)動(dòng)的主動(dòng)投資。我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)應(yīng)強(qiáng)化積極防御理念，充分理解和認(rèn)識(shí)關(guān)鍵信息基礎(chǔ)設(shè)施的“關(guān)鍵性”。

　　《網(wǎng)絡(luò)安全法》和《條例》均強(qiáng)調(diào)建立監(jiān)測(cè)預(yù)警機(jī)制?！稐l例》進(jìn)一步將開(kāi)展本單位網(wǎng)絡(luò)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估的職責(zé)賦予專(zhuān)門(mén)安全管理機(jī)構(gòu)?？山柚\(yùn)營(yíng)者每年至少進(jìn)行一次的網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估，及有關(guān)部門(mén)的網(wǎng)絡(luò)安全檢查檢測(cè)工作，加強(qiáng)風(fēng)險(xiǎn)識(shí)別，發(fā)揮網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、第三方安全平臺(tái)、信息安全測(cè)試員在風(fēng)險(xiǎn)識(shí)別方面的作用，重視部署物聯(lián)網(wǎng)、人工智能等新技術(shù)新應(yīng)用可能引入的風(fēng)險(xiǎn)及其在安全保障方面的價(jià)值，切實(shí)用好業(yè)已建立的應(yīng)急演練、監(jiān)測(cè)預(yù)警和信息通報(bào)機(jī)制。

　　2. 加強(qiáng)應(yīng)急處置，多部門(mén)形成合力

　　輸油管道勒索攻擊事件發(fā)生后，科洛尼爾公司、美國(guó)聯(lián)邦政府交通、能源、國(guó)土安全、FBI 等多部門(mén)共同參與處置，確保能源供應(yīng)，消解事件影響。公安部《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》已明確要求公安機(jī)關(guān)、網(wǎng)絡(luò)安全行業(yè)主管部門(mén)等主體依法履行職責(zé)，形成網(wǎng)絡(luò)安全保護(hù)工作合力。

　　面對(duì)網(wǎng)絡(luò)安全事件，公安機(jī)關(guān)、保護(hù)工作部門(mén)、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、可能涉及的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者等主體應(yīng)在各自職權(quán)和義務(wù)范圍內(nèi)參與事件處置，協(xié)同聯(lián)動(dòng)。保護(hù)工作部門(mén)應(yīng)采取措施，維持關(guān)鍵信息基礎(chǔ)設(shè)施正常運(yùn)轉(zhuǎn)，優(yōu)先保障能源、電信等領(lǐng)域安全運(yùn)行，最小化事件影響。同時(shí)，發(fā)揮公安機(jī)關(guān)、CNCERT 在內(nèi)的應(yīng)急響應(yīng)中心等部門(mén)在預(yù)警通報(bào)、追蹤溯源方面的能力?！毒W(wǎng)絡(luò)安全法》第五十七條、第五十八條在事件處置過(guò)程中的適用。運(yùn)營(yíng)者應(yīng)切實(shí)承擔(dān)主體責(zé)任，落實(shí)網(wǎng)絡(luò)安全事件/威脅報(bào)告義務(wù)，用好現(xiàn)有事件分級(jí)及應(yīng)急響應(yīng)相關(guān)規(guī)定，將其轉(zhuǎn)化為自身網(wǎng)絡(luò)安全事件應(yīng)對(duì)能力。

　　3. 重視數(shù)據(jù)安全，銜接分類(lèi)分級(jí)

　　對(duì)數(shù)據(jù)進(jìn)行加密、以披露數(shù)據(jù)相威脅是勒索攻擊的常見(jiàn)威脅手段。作為國(guó)家基礎(chǔ)性戰(zhàn)略性資源，數(shù)據(jù)安全已成為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要環(huán)節(jié)，網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等遭遇數(shù)據(jù)泄露可能帶來(lái)的危害程度也是影響關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定的依據(jù)之一。數(shù)據(jù)安全領(lǐng)域的基礎(chǔ)性立法《數(shù)據(jù)安全法》明確我國(guó)建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，在此基礎(chǔ)上提出“重要數(shù)據(jù)”“國(guó)家核心數(shù)據(jù)”概念，并通過(guò)第三十一條再次明確關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的重要數(shù)據(jù)出境安全管理要求。

　　《網(wǎng)絡(luò)安全法》的網(wǎng)絡(luò)安全等級(jí)保護(hù)制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度與《數(shù)據(jù)安全法》的數(shù)據(jù)分級(jí)分類(lèi)、重要數(shù)據(jù)、國(guó)家核心數(shù)據(jù)均是分等級(jí)保護(hù)、突出重點(diǎn)理念的體現(xiàn)。關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域需關(guān)注《數(shù)據(jù)安全法》下數(shù)據(jù)分類(lèi)分級(jí)、重要數(shù)據(jù)識(shí)別與保護(hù)要求，以《條例》要求的專(zhuān)門(mén)安全管理機(jī)構(gòu)建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度為切入落實(shí)運(yùn)營(yíng)者主體責(zé)任，將保障關(guān)鍵信息基礎(chǔ)設(shè)施安全作為保障數(shù)據(jù)安全的途徑之一，推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中的數(shù)據(jù)安全從靜態(tài)安全走向動(dòng)態(tài)安全。

　　4. 延伸安全視角，重視供應(yīng)鏈安全

　　鑒于單次供應(yīng)鏈攻擊所產(chǎn)生的級(jí)聯(lián)效應(yīng)可能造成廣泛影響，供應(yīng)鏈攻擊已成為網(wǎng)絡(luò)安全領(lǐng)域不容忽視的安全問(wèn)題之一。太陽(yáng)風(fēng)（SolarWinds）供應(yīng)鏈攻擊事件，以及美國(guó)近期發(fā)生的利用托管服務(wù)提供商 Kaseya 對(duì)其供應(yīng)鏈上的客戶(hù)進(jìn)行勒索攻擊的事件均是例證。美國(guó)在行政令和諸多提案中均強(qiáng)調(diào)加強(qiáng)供應(yīng)鏈安全，幫助關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者識(shí)別和管理供應(yīng)鏈風(fēng)險(xiǎn)。

　　為全面保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全，應(yīng)延伸安全視角，將供應(yīng)鏈上各主體納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范疇。完善制定網(wǎng)絡(luò)產(chǎn)品和服務(wù)管理辦法，落實(shí)網(wǎng)絡(luò)安全審查、云計(jì)算服務(wù)安全評(píng)估、網(wǎng)絡(luò)產(chǎn)品安全漏洞管理、國(guó)家強(qiáng)制性標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》等制度。優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，將網(wǎng)絡(luò)安全保障和抗風(fēng)險(xiǎn)能力作為考量因素之一；建立并維護(hù)供應(yīng)商清單，厘清直接和間接供應(yīng)商，加強(qiáng)對(duì)供應(yīng)鏈人員及機(jī)構(gòu)管理，明確技術(shù)支持和安全保密義務(wù)，要求及時(shí)報(bào)告網(wǎng)絡(luò)安全事件及風(fēng)險(xiǎn)，將供應(yīng)商納入網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制。同時(shí)，加快推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施國(guó)產(chǎn)化替代，鼓勵(lì)開(kāi)發(fā)核心技術(shù)和底層技術(shù)。

　　5. 強(qiáng)化法律責(zé)任，加強(qiáng)案件打擊

　　勒索攻擊的打擊正變得愈加艱難。跨境發(fā)動(dòng)攻擊，借助加密貨幣、加密通信等工具，“勒索軟件即服務(wù)”模式的盛行使勒索攻擊的門(mén)檻進(jìn)一步降低，溯源追蹤難度加大。在輸油管道勒索攻擊事件中，美國(guó)通過(guò)執(zhí)法行動(dòng)摧毀 DarkSide 服務(wù)器，成功追回支付的部分贖金，沉重打擊勒索攻擊犯罪團(tuán)伙；同時(shí)，在立法提案中提出增加“嚴(yán)重?fù)p害關(guān)鍵基礎(chǔ)設(shè)施計(jì)算機(jī)”罪名。

　　《網(wǎng)絡(luò)安全法》實(shí)施以來(lái)，我國(guó)公安機(jī)關(guān)通過(guò)“凈網(wǎng)”等專(zhuān)項(xiàng)行動(dòng)和日常監(jiān)督檢查持續(xù)加強(qiáng)網(wǎng)絡(luò)安全領(lǐng)域執(zhí)法，嚴(yán)厲打擊網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)黑灰產(chǎn)等違法犯罪活動(dòng)，取得顯著成效?！稐l例》要求公安機(jī)關(guān)和國(guó)家安全機(jī)關(guān)加強(qiáng)打擊針對(duì)和利用關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施的違法犯罪活動(dòng)。為推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域執(zhí)法進(jìn)入新階段，我國(guó)需在罪名認(rèn)定、打擊手段、跨境打擊等方面做好準(zhǔn)備。

　　首先，考慮《刑法》現(xiàn)有罪名的覆蓋程度，研究增加關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的專(zhuān)門(mén)罪名，考量現(xiàn)有計(jì)算機(jī)類(lèi)型犯罪的法律責(zé)任與關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事件導(dǎo)致的危害后果之間的適配性。其次，我國(guó)現(xiàn)行法律沒(méi)有針對(duì)勒索軟件的專(zhuān)門(mén)性規(guī)定，但針對(duì)制作傳播計(jì)算機(jī)病毒、敲詐勒索、信息網(wǎng)絡(luò)技術(shù)支持和幫助等危害網(wǎng)絡(luò)安全方面的法律規(guī)定相當(dāng)完善。靈活運(yùn)用現(xiàn)有規(guī)定和“一案雙查”機(jī)制，強(qiáng)化行政執(zhí)法，斬?cái)嗬账鞴羯舷掠卫骀湕l。最后，《網(wǎng)絡(luò)安全法》和《條例》均明確我國(guó)有權(quán)處置來(lái)源于境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅；境外主體從事危害我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施活動(dòng)，造成嚴(yán)重后果的，我國(guó)有權(quán)依法追究法律責(zé)任，并采取制裁措施。面對(duì)跨境勒索攻擊，應(yīng)在推動(dòng)國(guó)際合作，呼吁各國(guó)在管轄范圍內(nèi)打擊勒索攻擊的同時(shí)，強(qiáng)化自身能力和潛在威懾力，用好對(duì)等制裁措施。