從 2021 年公開發(fā)布的網(wǎng)絡(luò)安全發(fā)展趨勢預(yù)測報告中可以看出，最新出臺的政策法規(guī)對網(wǎng)絡(luò)安全治理的影響意義深遠。我國近年來密集出臺若干政策法規(guī)，標志著我國依法治網(wǎng)、依法管網(wǎng)、依法護網(wǎng)、依法用網(wǎng)等網(wǎng)絡(luò)安全治理工作進入到了法治化的新時代。《網(wǎng)絡(luò)安全法》《密碼法》《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全審查辦法》和最新出臺的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）等均成為業(yè)界關(guān)注的重點。這些政策法規(guī)對數(shù)據(jù)安全保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護產(chǎn)生積極影響，對推動我國信息化建設(shè)、數(shù)字化轉(zhuǎn)型、網(wǎng)絡(luò)安全治理、產(chǎn)業(yè)生態(tài)健康有序發(fā)展將發(fā)揮重要作用。

　　一、國際態(tài)勢復(fù)雜，我國必須做好應(yīng)對準備

　　當今世界正經(jīng)歷一場百年未有之大變局，新時期我國正面臨許多重大風(fēng)險和挑戰(zhàn)。美國及其西方盟友不愿意看到中國發(fā)展壯大，把我國國家制度和治理體系視為對西方制度模式的重大挑戰(zhàn)，把中國發(fā)展視為對美國霸權(quán)地位的挑戰(zhàn)，變本加厲地遏制中國發(fā)展。一方面，美國用霸道的美國法律、國家力量、長臂管轄限制中國企業(yè)發(fā)展，企圖阻止中國科技領(lǐng)域的崛起。另一方面，網(wǎng)絡(luò)意識形態(tài)領(lǐng)域的斗爭更是錯綜復(fù)雜，西方國家鼓吹西方價值觀，利用互聯(lián)網(wǎng)搞“顏色革命”。再一方面，今年 8 月，美國又組織超大規(guī)模海上軍演，矛頭直指中國，用軍事威懾和軍事行動恐嚇中國。

　　顯然，西方國家的“新冷戰(zhàn)”意圖已經(jīng)十分明顯，中美在貿(mào)易、科技、外交、軍事、政治等領(lǐng)域的斗爭已經(jīng)呈現(xiàn)公開化、常態(tài)化的特點，早已在無硝煙的戰(zhàn)場上拉開了序幕。我們必須審慎對待、提高警惕，在做好各項應(yīng)急準備的同時，重點加強關(guān)鍵信息基礎(chǔ)設(shè)施的保護。

　　二、關(guān)鍵信息基礎(chǔ)設(shè)施亟須按照《條例》要求，體系化、系統(tǒng)性、創(chuàng)新性地實施保護

　　我國關(guān)鍵信息基礎(chǔ)設(shè)施面對的風(fēng)險主要是境外情報機構(gòu)的偵查竊密，互聯(lián)網(wǎng)黑客和互聯(lián)網(wǎng)有組織的網(wǎng)絡(luò)攻擊，不法分子的違法犯罪，自然災(zāi)害，以及網(wǎng)絡(luò)安全和信息安全治理方面的安全威脅或問題。近年來，我國又面臨國家間有組織、高烈度的網(wǎng)絡(luò)對抗，面臨在極端情況下的網(wǎng)絡(luò)戰(zhàn)、軍事行動的威脅。我國關(guān)鍵信息基礎(chǔ)設(shè)施一旦遭受打擊、破壞，將會喪失社會功能，使多種安全風(fēng)險相互疊加，將嚴重影響國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定和國計民生?，F(xiàn)有的傳統(tǒng)安全防護措施和保護理念，已難以應(yīng)對國家間大規(guī)模網(wǎng)絡(luò)攻擊，亟待依法依規(guī)、創(chuàng)新保護技術(shù)、改進保護策略、實施重點保護和強保護。

　　1. 提高網(wǎng)絡(luò)安全認識，落實“一把手”領(lǐng)導(dǎo)責(zé)任

　　做好網(wǎng)絡(luò)安全工作首先要提高網(wǎng)絡(luò)安全意識和認識，不能“說起來重要，做起來次要，忙起來不要”“或走走形式，做做表面文章”。今天的網(wǎng)絡(luò)安全工作要動真格的，要對關(guān)鍵信息基礎(chǔ)設(shè)施實施重點保護，對那些一刻都不能停的信息系統(tǒng)和基礎(chǔ)設(shè)施施行重點保護，這是形勢發(fā)展的要求，更是網(wǎng)絡(luò)強國的要求。以往，網(wǎng)絡(luò)安全主管領(lǐng)導(dǎo)大都是一個單位的副職或信息中心的領(lǐng)導(dǎo)，有的單位網(wǎng)絡(luò)安全協(xié)調(diào)難度很大，很難上升到黨委的議事日程，在黨管保密、黨管密碼、黨管網(wǎng)信的今天，單位的一把手或主要負責(zé)人應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施安全負總責(zé)。打通“一把手”協(xié)調(diào)工作上的堵點，解決網(wǎng)絡(luò)安全難點，已經(jīng)成為普遍的共識。當然，也要防止“一把手”的“不作為”和“亂作為”的問題，讓“一把手”和班子成員真正成為了解網(wǎng)絡(luò)安全知識、懂策略、施策略的行家，成為關(guān)鍵信息基礎(chǔ)設(shè)施保護的“專家”，成為信息化助力實體經(jīng)濟發(fā)展的“大咖”。

　　2. “三同步”落實是關(guān)鍵，建章立制設(shè)機制，夯實責(zé)任

　　很多部門、地方領(lǐng)導(dǎo)和專家反映，網(wǎng)絡(luò)安全建設(shè)最大的問題是安全保護措施與關(guān)鍵信息基礎(chǔ)設(shè)施等信息化建設(shè)，沒有真正落實同步規(guī)劃、同步建設(shè)、同步使用。至少在安全防護建設(shè)中不是體系化、系統(tǒng)性設(shè)計，只是按照安全方案模板，簡單堆疊一些安全產(chǎn)品，沒有采取動態(tài)防御、主動防御、精準防御、聯(lián)防聯(lián)控、縱深防御和整體防范，使安全防護效果大打折扣?！稐l例》第十二條進一步強調(diào)“三同步”要求，說明這項要求不是一個簡單要求，而是要從單位體制機制上改進，改變信息化建設(shè)管理部門與網(wǎng)絡(luò)安全部門“兩張皮”的問題，真正實現(xiàn)網(wǎng)絡(luò)安全建設(shè)和關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)融為一體，一體化設(shè)計、一體化建設(shè)、一體化運行，充分體現(xiàn)雙輪驅(qū)動作用，發(fā)揮網(wǎng)絡(luò)安全保護、保障、保衛(wèi)的作用。

　　3. 加強關(guān)鍵崗位人員管控，建立人員審查和“雙崗制”機制

　　歷史經(jīng)驗告訴我們，“堡壘最容易從內(nèi)部攻破”。一種很普遍的現(xiàn)象是，大部分單位（企業(yè)）的系統(tǒng)管理員具有超級權(quán)限，并由于編制的原因出現(xiàn)一人兼多職的情況。單位對信息系統(tǒng)大量投入，按照國家標準層層防護，似乎固若金湯。但潛在的“對手”表示，“只要用很少的資金就可以收買一個系統(tǒng)管理員”，單位精心構(gòu)筑的防線就可能出現(xiàn)因“蟻穴”而“堤毀”的結(jié)果。這種內(nèi)部人員泄露大量數(shù)據(jù)信息和制造安全事件的案例時有發(fā)生，是網(wǎng)絡(luò)安全人員管理上的一大漏洞?！稐l例》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當設(shè)置專門安全管理機構(gòu)，并對專門安全管理機構(gòu)負責(zé)人和關(guān)鍵崗位人員進行安全背景審查。審查時，公安機關(guān)、國家安全機關(guān)應(yīng)當予以協(xié)助，可見這種審查可不是一般“走過場”的審查，而是非常嚴格的審查。同時，在人員審查的基礎(chǔ)上，要建立“雙崗制”工作制度，工作中關(guān)鍵人員相互認證、相互監(jiān)督、相互檢查。需要服務(wù)機構(gòu)人員支撐時，還要開展服務(wù)機構(gòu)人員的延伸審查，從制度上杜絕人員超權(quán)限的行為。

　　4. 明確關(guān)鍵信息基礎(chǔ)設(shè)施定義，準確認定保護對象

　　業(yè)界在網(wǎng)絡(luò)安全保障中早就建立了國家關(guān)鍵信息基礎(chǔ)設(shè)施保護的概念，特別是開展“8+2”（電力、銀行、稅務(wù)、保險、證券、鐵路、民航、海關(guān)，以及電信和廣電）信息系統(tǒng)風(fēng)險評估和安全檢查后，對關(guān)鍵信息基礎(chǔ)設(shè)施保護、保障的理解更加深刻。對比國外，我國關(guān)鍵基礎(chǔ)設(shè)施保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護的研究材料也非常豐富，但對關(guān)鍵信息基礎(chǔ)設(shè)施的識別認定始終成為主管部門和專家學(xué)者討論和關(guān)注的焦點。有人會問，“8+2”內(nèi)的信息系統(tǒng)出現(xiàn)問題都會影響國家安全嗎？“8+2”之外的，如國防工業(yè)和互聯(lián)網(wǎng)信息服務(wù)企業(yè)就不會影響國家安全嗎？《條例》第二條進一步明確了關(guān)鍵信息基礎(chǔ)設(shè)施的定義，將公共通信和信息服務(wù)以及國防科技工業(yè)等納入其中?！稐l例》用第二章的整章內(nèi)容，專門說明了如何進行關(guān)鍵信息基礎(chǔ)設(shè)施認定，使保護對象更加聚焦，認定更加科學(xué)規(guī)范，過程更具有可操作性。

　　5. 減少安全檢測頻度和多部門重復(fù)檢測，重心放到問題整改的有效性上

　　以往各部門、各地區(qū)網(wǎng)絡(luò)安全的主要抓手放在“開展安全檢測、安全檢查、風(fēng)險評估、安全抽查”等工作上，基層單位經(jīng)常會感到頻繁被檢查的疲憊。有的檢查采用專門滲透和眾測等方式，發(fā)現(xiàn)的系統(tǒng)漏洞、管理漏洞、結(jié)構(gòu)漏洞等有價值漏洞不給被測單位提供，讓被測單位十分茫然，無法整改。有的地方出現(xiàn)今天這個部門來測試，明天那個機構(gòu)來檢查，增加了運營者的負擔。這些重復(fù)檢查等問題已經(jīng)引起中央的關(guān)注，“眾測”也有漏洞難以管理的風(fēng)險?！稐l例》第五條強調(diào)任何個人和組織不得實施非法侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施的活動，不得危害關(guān)鍵信息基礎(chǔ)設(shè)施安全。第二十六條明確要求，保護工作部門應(yīng)當定期開展本行業(yè)、本領(lǐng)域的安全檢查檢測，指導(dǎo)監(jiān)督運營者及時整改安全隱患、完善安全措施。今后的檢查，應(yīng)該把檢查的重點放到漏洞修復(fù)和整改的有效性上，不能只是為了找漏洞而找漏洞，關(guān)鍵信息基礎(chǔ)設(shè)施的漏洞是國家資源，需要按照保密要求嚴格管理。

　　6. 安全事件應(yīng)急響應(yīng)見實效，各地區(qū)各部門應(yīng)啟動“藍色、橙色、紅色”預(yù)警

　　我國在 2003 年就強調(diào)要建立應(yīng)急響應(yīng)機制，制定應(yīng)急預(yù)案，開展應(yīng)急演練，對發(fā)現(xiàn)的安全事件進行事件預(yù)警和通報。許多地方政府、行業(yè)保護工作部門也對此開展了相應(yīng)的應(yīng)急響應(yīng)工作，建立災(zāi)備中心、建立系統(tǒng)和數(shù)據(jù)備份措施。但有一件工作不夠規(guī)范，那就是安全事件預(yù)警。很多地方和部門出現(xiàn)安全事件不會預(yù)警、不敢預(yù)警，不知道如何處理，很多動作不符合國家應(yīng)急預(yù)案要求，沒有向本地區(qū)和中央網(wǎng)信等有關(guān)部門報告，發(fā)生比較大的安全事件也未發(fā)出藍色、橙色等程度預(yù)警。國家網(wǎng)絡(luò)安全應(yīng)急預(yù)案亟待普及，加強應(yīng)急響應(yīng)和事件預(yù)警的規(guī)范性培訓(xùn)。否則一旦出現(xiàn)影響國家安全的大事件，保護部門可能會手忙腳亂。所以應(yīng)急響應(yīng)是關(guān)鍵信息基礎(chǔ)設(shè)施保護運營者必須掌握的一項關(guān)鍵技能?！稐l例》二十五條強調(diào)保護工作部門應(yīng)當按照國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案的要求，建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，定期組織應(yīng)急演練；指導(dǎo)運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置，并根據(jù)需要組織提供技術(shù)支持與協(xié)助。

　　7. 電信是 CIIP 的基礎(chǔ)，需要聯(lián)防聯(lián)控優(yōu)先保障

　　在產(chǎn)業(yè)融合的今天，關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)、領(lǐng)域的業(yè)務(wù)和網(wǎng)絡(luò)也越來越多的關(guān)聯(lián)起來，互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)與信息服務(wù)等，特別是對電力、電信和公共通信等的依賴性越來越強?？梢哉f，關(guān)鍵信息基礎(chǔ)設(shè)施保護最需要強調(diào)的是聯(lián)防聯(lián)控，防止電信、電力等關(guān)鍵基礎(chǔ)功能的喪失而造成其他社會功能的喪失，也要防止多米諾骨牌效應(yīng)的發(fā)生，防止出現(xiàn)連鎖反應(yīng)?！稐l例》第三十二條特別強調(diào)國家采取措施，優(yōu)先保障能源、電信等關(guān)鍵基礎(chǔ)設(shè)施的安全運行。能源、電信行業(yè)應(yīng)當采取措施，為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運行提供重點保障。

　　8. 在威脅情報共享方面，國家、企業(yè)、社會組織有責(zé)任開展共享交換

　　在產(chǎn)業(yè)數(shù)字化和數(shù)字產(chǎn)業(yè)化發(fā)展的今天，數(shù)據(jù)賦能作用越來越大，很多單位、企業(yè)都在進行數(shù)字化轉(zhuǎn)型，把數(shù)據(jù)當成寶貝，讓數(shù)據(jù)成為推動GDP 的動力。因此，數(shù)據(jù)共享交換需要確權(quán)，需要規(guī)則，需要利益分享，這是可以理解的。然而，網(wǎng)絡(luò)威脅情報數(shù)據(jù)應(yīng)該成為國家資源，不應(yīng)成為謀取利益的資源，需要大家站在國家利益高度看待威脅情報共享問題?！稐l例》第二十三條強調(diào)國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機制，及時匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息，促進有關(guān)部門、保護工作部門、運營者以及網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。

　　9. 重視供應(yīng)鏈安全，發(fā)揮網(wǎng)絡(luò)審查作用

　　當前，供應(yīng)鏈安全問題已經(jīng)成為制約我國信息化發(fā)展的重要問題。一方面，美國企圖在供應(yīng)鏈上制裁中國企業(yè)，限制使用關(guān)鍵技術(shù)產(chǎn)品；另一方面，卻在供應(yīng)鏈和相關(guān)產(chǎn)品中設(shè)置后門，企圖方便控制我國的網(wǎng)絡(luò)系統(tǒng)。隨著數(shù)據(jù)安全保障力度的加大，數(shù)據(jù)安全問題也進入到網(wǎng)絡(luò)安全審查范圍，這是一種技術(shù)和非技術(shù)的安全措施，應(yīng)引起足夠的重視，并加強研究，讓該項制度在關(guān)鍵信息基礎(chǔ)設(shè)施保護中發(fā)揮關(guān)鍵作用?！稐l例》第十九條強調(diào)運營者應(yīng)當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。

　　三、加大關(guān)鍵信息基礎(chǔ)設(shè)施保護技術(shù)體系研究，自力更生自主創(chuàng)新

　　在這次新冠肺炎疫情防控中，我國總結(jié)出很多好的經(jīng)驗和方法，所采取的主要措施一是“內(nèi)防”，打疫苗，提高人體免疫力；二是“外防”，采取戴口罩、隔離疫情、減少聚集、封閉園區(qū)、防范外部輸入等隔離措施；三是采用“攻防”措施，對病毒區(qū)域進行消殺；四是采取“協(xié)防”措施，聯(lián)防聯(lián)控，掃行程碼、健康碼，大數(shù)據(jù)分析人員流動情況。這些措施組合起來使用，對打贏疫情防控保衛(wèi)戰(zhàn)發(fā)揮了重要作用。這種“四防模型”是否帶有普遍性規(guī)律？網(wǎng)絡(luò)安全防護從中也可以借鑒。

　　關(guān)鍵信息基礎(chǔ)設(shè)施面臨互聯(lián)網(wǎng)的、技術(shù)的、社工的、人為的和故障等各種各樣的威脅，系統(tǒng)和設(shè)施存在多種脆弱性和漏洞，網(wǎng)絡(luò)安全問題復(fù)雜多樣。因此，關(guān)鍵基礎(chǔ)設(shè)施的保護必須體系化防控。以往專家、學(xué)者參考國外資料，提出許多信息安全保護框架，有的在技術(shù)標準中加以規(guī)范。借鑒疫情防控的“四防”，關(guān)鍵信息基礎(chǔ)設(shè)施保護也可以采取“四防”模型，如下圖所示。

　　圖 1 四防模型圖

　　一般安全防控框架（模型）的主要內(nèi)容是：“內(nèi)防”指內(nèi)生安全，“外防”是外防輸入，“攻防”指環(huán)境治理，“協(xié)防”是過程管理。中間是保護對象。很多業(yè)內(nèi)專家都在積極探索和創(chuàng)新安全技術(shù)，特別是在信息系統(tǒng)和網(wǎng)絡(luò)的內(nèi)生安全方面，如可信計算、密碼技術(shù)、動態(tài)防護等，體現(xiàn)了原生保護的理念。我國信息安全企業(yè)在防火墻、網(wǎng)閘、入侵檢測、入侵保護等方面提供了很多成熟安全技術(shù)、產(chǎn)品和服務(wù)，體現(xiàn)了外圍技術(shù)防護的理念。在網(wǎng)絡(luò)攻防方面，近年來國家組織了多次網(wǎng)絡(luò)安全保護專項行動，大大提高了信息系統(tǒng)運行者的安全意識，以及主動保護、主動保障、主動保衛(wèi)的積極性；有關(guān)部門還組織了網(wǎng)絡(luò)安全審查，提高了供應(yīng)鏈產(chǎn)品的安全性和可控性；多部門組織了 App 治理行動，打擊了網(wǎng)絡(luò)犯罪活動，體現(xiàn)了保衛(wèi)理念。在協(xié)防方面，通過廣泛的安全檢測、過程管理、協(xié)同管理，體現(xiàn)管理保障的理念。

　　關(guān)鍵信息基礎(chǔ)設(shè)施保護有很多關(guān)鍵要點值得關(guān)注。其中要關(guān)注六個重要環(huán)節(jié)和六種防御，如下圖所示。

　　圖 2 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護模型

　　六個重要環(huán)節(jié)包括：識別認定、安全保護、檢測評估、監(jiān)測預(yù)警、技術(shù)對抗和應(yīng)急處置。六種防御為：動態(tài)防御（內(nèi)生安全）、主動防御（外防輸入）、精準防御（環(huán)境治理）、聯(lián)防聯(lián)控（過程管理）、縱深防御（南北向）、整體防御（東西向）。同時，條（垂直系統(tǒng)）和塊（各省系統(tǒng)）要加強管理制度和防護能力建設(shè)。這個模型與 P2DR 動態(tài)安全模型有相似之處，只是結(jié)合我國實際情況增加了攻防（技術(shù)對抗），體現(xiàn)了相關(guān)主管部門的保衛(wèi)職能。這個模型可以順時針循環(huán)往復(fù)，不斷技術(shù)迭代，使關(guān)鍵信息基礎(chǔ)設(shè)施防護能力不斷提升。

　　關(guān)鍵信息基礎(chǔ)設(shè)施需要加強體系化設(shè)計、系統(tǒng)化部署，不斷完善法律法規(guī)、政策規(guī)范、技術(shù)標準、安全保護、安全保衛(wèi)、安全保障等 6 大制度體系。其中很重要的策略是在關(guān)鍵信息基礎(chǔ)設(shè)施保護中要立足自力更生，自主創(chuàng)新，防止“卡脖子”。按照《條例》要求，國家要支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展，組織力量實施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)，在創(chuàng)新中培養(yǎng)人，在實踐中鍛煉人。相信在黨中央的集中統(tǒng)一領(lǐng)導(dǎo)下，依據(jù)國家不斷完善的法規(guī)政策，網(wǎng)信部門統(tǒng)籌協(xié)調(diào)，公安機關(guān)和各保護部門協(xié)同監(jiān)管和指導(dǎo)，以及社會安全服務(wù)機構(gòu)的大力支持，關(guān)鍵信息基礎(chǔ)設(shè)施運營者主體責(zé)任的落實，國家關(guān)鍵信息基礎(chǔ)設(shè)施保護能力一定會提升到一個新的高度，達到一個新的水平。