《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱(chēng)《條例》）構(gòu)建了以關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱(chēng)“運(yùn)營(yíng)者”）為主體的綜合治理體系，并將網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估作為一項(xiàng)重要責(zé)任義務(wù)。落實(shí)好網(wǎng)絡(luò)安全檢測(cè)評(píng)估工作，是保護(hù)好關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵環(huán)節(jié)。

　　一、關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估概述

　?。ㄒ唬┏浞终J(rèn)識(shí)檢測(cè)評(píng)估的工作職責(zé)

　　檢測(cè)評(píng)估工作是運(yùn)營(yíng)者開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的一項(xiàng)法定職責(zé)?！稐l例》第十五條規(guī)定，運(yùn)營(yíng)者設(shè)置的專(zhuān)門(mén)安全管理機(jī)構(gòu)應(yīng)當(dāng)履行“組織推動(dòng)網(wǎng)絡(luò)安全防護(hù)能力建設(shè)，開(kāi)展網(wǎng)絡(luò)安全監(jiān)測(cè)、檢測(cè)和風(fēng)險(xiǎn)評(píng)估”的工作職責(zé)。運(yùn)營(yíng)者必須按照《條例》第十七條的相關(guān)要求，開(kāi)展檢測(cè)評(píng)估工作。一是工作頻度方面的要求，運(yùn)營(yíng)者每年應(yīng)至少進(jìn)行一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估；二是工作形式方面的要求，有能力的運(yùn)營(yíng)者可以自行開(kāi)展檢測(cè)評(píng)估，能力不足的運(yùn)營(yíng)者可以委托專(zhuān)業(yè)的第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)開(kāi)展檢測(cè)評(píng)估；三是結(jié)果使用方面的要求，一方面，要及時(shí)整改發(fā)現(xiàn)的安全問(wèn)題，另一方面，要按保護(hù)工作部門(mén)的要求報(bào)送檢測(cè)評(píng)估、安全整改等方面的情況，便于主管監(jiān)管部門(mén)及時(shí)掌握風(fēng)險(xiǎn)現(xiàn)狀。

　?。ǘ?zhǔn)確理解檢測(cè)評(píng)估的重要作用

　　1. 從標(biāo)準(zhǔn)體系理解檢測(cè)評(píng)估工作

　　當(dāng)前，關(guān)鍵信息基礎(chǔ)設(shè)施的安全標(biāo)準(zhǔn)體系的基本框架已經(jīng)初步建立，對(duì)運(yùn)營(yíng)者應(yīng)履行的具體職責(zé)做出了更細(xì)致的規(guī)定。在《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評(píng)價(jià)方法》等報(bào)批稿或公開(kāi)征求意見(jiàn)稿的標(biāo)準(zhǔn)中，將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作劃分為五個(gè)環(huán)節(jié)：識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警、事件處置。從中可以看出，檢測(cè)評(píng)估工作不是孤立的，而是關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系中一個(gè)重要的有機(jī)組成部分。檢測(cè)評(píng)估不能代替監(jiān)測(cè)預(yù)警和事件處置，然而卻可以通過(guò)定期的深入評(píng)估，使得運(yùn)營(yíng)者對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)制度運(yùn)行情況、識(shí)別認(rèn)定的科學(xué)性和準(zhǔn)確性、安全防護(hù)措施的全面性和有效性做到及時(shí)掌握，以應(yīng)對(duì)潛在風(fēng)險(xiǎn)和隱患事件。

　　2. 區(qū)分檢測(cè)評(píng)估與等級(jí)保護(hù)測(cè)評(píng)的關(guān)系

　　準(zhǔn)確理解檢測(cè)評(píng)估的另一個(gè)重要方面，是區(qū)分檢測(cè)評(píng)估與等級(jí)保護(hù)測(cè)評(píng)的關(guān)系。首先，從工作目標(biāo)上來(lái)說(shuō)，等級(jí)保護(hù)測(cè)評(píng)的目標(biāo)是合規(guī)，檢測(cè)評(píng)估的目標(biāo)是基于合規(guī)提出更高的能力要求。等級(jí)保護(hù)測(cè)評(píng)的本質(zhì)是符合性測(cè)評(píng)，運(yùn)營(yíng)者只要完成規(guī)定的動(dòng)作和措施即可。檢測(cè)評(píng)估在滿(mǎn)足等級(jí)保護(hù)合規(guī)要求的基礎(chǔ)之上，還會(huì)提出具有關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)特色的合規(guī)要求，如專(zhuān)門(mén)安全管理機(jī)構(gòu)設(shè)置、人員經(jīng)費(fèi)配套情況等；另外，檢測(cè)評(píng)估不僅僅停留在合規(guī)要求上，還會(huì)對(duì)運(yùn)營(yíng)者的技術(shù)防護(hù)提出更高要求，如檢驗(yàn)防護(hù)措施的有效性、發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患、分析潛在可能引起的安全事件等。

　　其次，從安全責(zé)任上看，等級(jí)保護(hù)測(cè)評(píng)的效果是合規(guī)，運(yùn)營(yíng)者需要按照等級(jí)保護(hù)工作框架，嚴(yán)格落實(shí)標(biāo)準(zhǔn)規(guī)范所要求的規(guī)定動(dòng)作，盡可能避免發(fā)生安全事故。關(guān)鍵信息基礎(chǔ)設(shè)施作為經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，其運(yùn)營(yíng)者肩負(fù)重大的保護(hù)責(zé)任，等級(jí)保護(hù)測(cè)評(píng)的合規(guī)理念，難以有效督促運(yùn)營(yíng)者發(fā)揮安全保護(hù)作用。關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估工作則不僅僅著眼于合規(guī)，運(yùn)營(yíng)者在完成合規(guī)動(dòng)作之外，還應(yīng)在標(biāo)準(zhǔn)規(guī)范的指導(dǎo)下，通過(guò)檢測(cè)評(píng)估檢驗(yàn)安全防護(hù)措施的有效性，全面識(shí)別脆弱性和安全威脅，分析潛在風(fēng)險(xiǎn)事件，提出整改措施。若因應(yīng)發(fā)現(xiàn)而未發(fā)現(xiàn)的風(fēng)險(xiǎn)，造成了可避免而未避免的重大網(wǎng)絡(luò)安全事件，《條例》第四十七條對(duì)運(yùn)營(yíng)者或其他有關(guān)部門(mén)因失職、瀆職造成重大和特別重大網(wǎng)絡(luò)安全事件的責(zé)任追究保留了依據(jù)，合規(guī)動(dòng)作不能成為重大責(zé)任事故的免責(zé)借口，有效地彌補(bǔ)了等級(jí)保護(hù)測(cè)評(píng)的不足。

　　二、檢測(cè)評(píng)估的主要內(nèi)容

　　掌握科學(xué)、有效、全面的檢測(cè)評(píng)估方法對(duì)于運(yùn)營(yíng)者來(lái)說(shuō)至關(guān)重要。當(dāng)前，正在制定完善中的關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系提出了一套檢測(cè)評(píng)估方法，可作為《條例》施行后、標(biāo)準(zhǔn)正式發(fā)布前，運(yùn)營(yíng)者開(kāi)展檢測(cè)評(píng)估的工作參考。

　?。ㄒ唬┙z測(cè)評(píng)估制度

　　運(yùn)營(yíng)者應(yīng)建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測(cè)評(píng)估制度，包括但不限于檢測(cè)評(píng)估流程、方式方法、周期、人員組織、資金保障等。

　?。ǘ┖弦?guī)檢查

　　運(yùn)營(yíng)者在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作框架內(nèi)，應(yīng)滿(mǎn)足基本的工作要求和職責(zé)。一是評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定情況，檢查是否已將支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)均納入了認(rèn)定范圍，確保沒(méi)有存在漏報(bào)、誤報(bào)、瞞報(bào)的情況。二是評(píng)估法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范梳理情況，確保運(yùn)營(yíng)者沒(méi)有遺漏重要的工作依據(jù)工作。三是網(wǎng)絡(luò)安全等級(jí)保護(hù)落實(shí)情況，確?；镜牡燃?jí)保護(hù)合規(guī)工作落實(shí)到位。四是個(gè)人隱私數(shù)據(jù)保護(hù)情況，評(píng)估是否按照相關(guān)法律法規(guī)開(kāi)展個(gè)人信息保護(hù)。五是安全管理機(jī)構(gòu)設(shè)置和人員安全管理情況，確保專(zhuān)門(mén)安全管理機(jī)構(gòu)設(shè)置、安全背景審查、安全教育、技術(shù)培訓(xùn)考核等工作落實(shí)到位。六是安全保障措施落實(shí)情況，如安全管理制度、安全建設(shè)、安全運(yùn)維、日常監(jiān)測(cè)、備份與恢復(fù)、應(yīng)急響應(yīng)與處置等工作落實(shí)情況。

　?。ㄈ┘夹g(shù)檢查

　　運(yùn)營(yíng)者在合規(guī)檢查的基礎(chǔ)上，應(yīng)開(kāi)展技術(shù)檢查。一是安全檢測(cè)。以人員現(xiàn)場(chǎng)操作為主要手段，包括信息收集、漏洞掃描、漏洞驗(yàn)證、業(yè)務(wù)安全測(cè)試、社會(huì)工程學(xué)測(cè)試、無(wú)線安全測(cè)試、內(nèi)網(wǎng)安全測(cè)試、安全域測(cè)試、入侵檢測(cè)、安全意識(shí)測(cè)試、安全整改情況復(fù)查等共 11 項(xiàng)內(nèi)容。二是安全監(jiān)測(cè)。以部署軟硬件設(shè)備的方式為主要手段，在信息嗅探行為、漏洞利用攻擊、間諜軟件、病毒蠕蟲(chóng)攻擊、木馬后門(mén)攻擊、惡意郵件攻擊、應(yīng)用攻擊和漏洞、惡意域名、異常流量、敏感信息泄露等共 10 個(gè)方面開(kāi)展監(jiān)測(cè)。

　　三、下一步思考

　　隨著技術(shù)應(yīng)用的不斷發(fā)展和國(guó)內(nèi)外網(wǎng)絡(luò)空間安全態(tài)勢(shì)的演變，需要不斷完善關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)評(píng)估的重點(diǎn)內(nèi)容，以應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作面臨的一系列新問(wèn)題新挑戰(zhàn)。

　　一是將技術(shù)對(duì)抗納入關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求和檢測(cè)評(píng)估的內(nèi)容。技術(shù)對(duì)抗指的是在現(xiàn)有的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)基本要求五大環(huán)節(jié)的監(jiān)測(cè)預(yù)警的基礎(chǔ)之上，以態(tài)勢(shì)感知和追蹤溯源技術(shù)為支撐，實(shí)現(xiàn)對(duì)攻擊行為的自動(dòng)化阻斷，對(duì)攻擊者的身份溯源。技術(shù)對(duì)抗不僅是一種保護(hù)手段，也是一種積極防御和潛在反制手段，將對(duì)攻擊者形成威懾，促使其從“不能攻”轉(zhuǎn)變?yōu)椤安桓夜ァ睆亩鴮?shí)現(xiàn)更好的防御。

　　二是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的檢測(cè)評(píng)估手段。近年來(lái)，全球分工體系深刻變化，國(guó)際貿(mào)易、地緣政治等因素持續(xù)沖擊全球供應(yīng)鏈結(jié)構(gòu)，新冠肺炎疫情更是加劇全球供應(yīng)鏈動(dòng)蕩，威脅我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全。然而，由于產(chǎn)業(yè)結(jié)構(gòu)的復(fù)雜性、供應(yīng)鏈關(guān)系的隱蔽性、風(fēng)險(xiǎn)傳導(dǎo)的滯后性、事件爆發(fā)的突發(fā)性等因素，供應(yīng)鏈風(fēng)險(xiǎn)的感知、評(píng)估、預(yù)警能力非常不足，成為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的重大短板?！笆奈濉币?guī)劃提出，“建立重要資源和產(chǎn)品全球供應(yīng)鏈風(fēng)險(xiǎn)預(yù)警系統(tǒng)”，對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作提出了新要求。

　　三是加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全和個(gè)人信息保護(hù)檢測(cè)評(píng)估能力。隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)安全和個(gè)人信息保護(hù)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中的分量越來(lái)越重。隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的出臺(tái)生效，關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系中關(guān)于數(shù)據(jù)安全和個(gè)人信息保護(hù)的工作要求已不能滿(mǎn)足上位法的相關(guān)要求，需要進(jìn)一步補(bǔ)充完善。