《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）構建了以關鍵信息基礎設施運營者（以下簡稱“運營者”）為主體的綜合治理體系，并將網(wǎng)絡安全檢測和風險評估作為一項重要責任義務。落實好網(wǎng)絡安全檢測評估工作，是保護好關鍵信息基礎設施的關鍵環(huán)節(jié)。

　　一、關鍵信息基礎設施檢測評估概述

　　（一）充分認識檢測評估的工作職責

　　檢測評估工作是運營者開展關鍵信息基礎設施安全保護的一項法定職責?！稐l例》第十五條規(guī)定，運營者設置的專門安全管理機構應當履行“組織推動網(wǎng)絡安全防護能力建設，開展網(wǎng)絡安全監(jiān)測、檢測和風險評估”的工作職責。運營者必須按照《條例》第十七條的相關要求，開展檢測評估工作。一是工作頻度方面的要求，運營者每年應至少進行一次網(wǎng)絡安全檢測和風險評估；二是工作形式方面的要求，有能力的運營者可以自行開展檢測評估，能力不足的運營者可以委托專業(yè)的第三方網(wǎng)絡安全服務機構開展檢測評估；三是結果使用方面的要求，一方面，要及時整改發(fā)現(xiàn)的安全問題，另一方面，要按保護工作部門的要求報送檢測評估、安全整改等方面的情況，便于主管監(jiān)管部門及時掌握風險現(xiàn)狀。

　　（二）準確理解檢測評估的重要作用

　　1. 從標準體系理解檢測評估工作

　　當前，關鍵信息基礎設施的安全標準體系的基本框架已經(jīng)初步建立，對運營者應履行的具體職責做出了更細致的規(guī)定。在《信息安全技術 關鍵信息基礎設施網(wǎng)絡安全保護基本要求》《信息安全技術關鍵信息基礎設施安全防護能力評價方法》等報批稿或公開征求意見稿的標準中，將關鍵信息基礎設施保護工作劃分為五個環(huán)節(jié)：識別認定、安全防護、檢測評估、監(jiān)測預警、事件處置。從中可以看出，檢測評估工作不是孤立的，而是關鍵信息基礎設施安全標準體系中一個重要的有機組成部分。檢測評估不能代替監(jiān)測預警和事件處置，然而卻可以通過定期的深入評估，使得運營者對關鍵信息基礎設施的保護制度運行情況、識別認定的科學性和準確性、安全防護措施的全面性和有效性做到及時掌握，以應對潛在風險和隱患事件。

　　2. 區(qū)分檢測評估與等級保護測評的關系

　　準確理解檢測評估的另一個重要方面，是區(qū)分檢測評估與等級保護測評的關系。首先，從工作目標上來說，等級保護測評的目標是合規(guī)，檢測評估的目標是基于合規(guī)提出更高的能力要求。等級保護測評的本質(zhì)是符合性測評，運營者只要完成規(guī)定的動作和措施即可。檢測評估在滿足等級保護合規(guī)要求的基礎之上，還會提出具有關鍵信息基礎設施保護特色的合規(guī)要求，如專門安全管理機構設置、人員經(jīng)費配套情況等；另外，檢測評估不僅僅停留在合規(guī)要求上，還會對運營者的技術防護提出更高要求，如檢驗防護措施的有效性、發(fā)現(xiàn)網(wǎng)絡安全隱患、分析潛在可能引起的安全事件等。

　　其次，從安全責任上看，等級保護測評的效果是合規(guī)，運營者需要按照等級保護工作框架，嚴格落實標準規(guī)范所要求的規(guī)定動作，盡可能避免發(fā)生安全事故。關鍵信息基礎設施作為經(jīng)濟社會運行的神經(jīng)中樞，其運營者肩負重大的保護責任，等級保護測評的合規(guī)理念，難以有效督促運營者發(fā)揮安全保護作用。關鍵信息基礎設施檢測評估工作則不僅僅著眼于合規(guī)，運營者在完成合規(guī)動作之外，還應在標準規(guī)范的指導下，通過檢測評估檢驗安全防護措施的有效性，全面識別脆弱性和安全威脅，分析潛在風險事件，提出整改措施。若因應發(fā)現(xiàn)而未發(fā)現(xiàn)的風險，造成了可避免而未避免的重大網(wǎng)絡安全事件，《條例》第四十七條對運營者或其他有關部門因失職、瀆職造成重大和特別重大網(wǎng)絡安全事件的責任追究保留了依據(jù)，合規(guī)動作不能成為重大責任事故的免責借口，有效地彌補了等級保護測評的不足。

　　二、檢測評估的主要內(nèi)容

　　掌握科學、有效、全面的檢測評估方法對于運營者來說至關重要。當前，正在制定完善中的關鍵信息基礎設施安全標準體系提出了一套檢測評估方法，可作為《條例》施行后、標準正式發(fā)布前，運營者開展檢測評估的工作參考。

　?。ㄒ唬┙z測評估制度

　　運營者應建立健全關鍵信息基礎設施安全檢測評估制度，包括但不限于檢測評估流程、方式方法、周期、人員組織、資金保障等。

　?。ǘ┖弦?guī)檢查

　　運營者在關鍵信息基礎設施安全保護工作框架內(nèi)，應滿足基本的工作要求和職責。一是評估關鍵信息基礎設施認定情況，檢查是否已將支撐關鍵業(yè)務的網(wǎng)絡設備和信息系統(tǒng)均納入了認定范圍，確保沒有存在漏報、誤報、瞞報的情況。二是評估法律法規(guī)、政策文件和標準規(guī)范梳理情況，確保運營者沒有遺漏重要的工作依據(jù)工作。三是網(wǎng)絡安全等級保護落實情況，確保基本的等級保護合規(guī)工作落實到位。四是個人隱私數(shù)據(jù)保護情況，評估是否按照相關法律法規(guī)開展個人信息保護。五是安全管理機構設置和人員安全管理情況，確保專門安全管理機構設置、安全背景審查、安全教育、技術培訓考核等工作落實到位。六是安全保障措施落實情況，如安全管理制度、安全建設、安全運維、日常監(jiān)測、備份與恢復、應急響應與處置等工作落實情況。

　?。ㄈ┘夹g檢查

　　運營者在合規(guī)檢查的基礎上，應開展技術檢查。一是安全檢測。以人員現(xiàn)場操作為主要手段，包括信息收集、漏洞掃描、漏洞驗證、業(yè)務安全測試、社會工程學測試、無線安全測試、內(nèi)網(wǎng)安全測試、安全域測試、入侵檢測、安全意識測試、安全整改情況復查等共 11 項內(nèi)容。二是安全監(jiān)測。以部署軟硬件設備的方式為主要手段，在信息嗅探行為、漏洞利用攻擊、間諜軟件、病毒蠕蟲攻擊、木馬后門攻擊、惡意郵件攻擊、應用攻擊和漏洞、惡意域名、異常流量、敏感信息泄露等共 10 個方面開展監(jiān)測。

　　三、下一步思考

　　隨著技術應用的不斷發(fā)展和國內(nèi)外網(wǎng)絡空間安全態(tài)勢的演變，需要不斷完善關鍵信息基礎設施檢測評估的重點內(nèi)容，以應對關鍵信息基礎設施安全保護工作面臨的一系列新問題新挑戰(zhàn)。

　　一是將技術對抗納入關鍵信息基礎設施網(wǎng)絡安全保護基本要求和檢測評估的內(nèi)容。技術對抗指的是在現(xiàn)有的關鍵信息基礎設施保護基本要求五大環(huán)節(jié)的監(jiān)測預警的基礎之上，以態(tài)勢感知和追蹤溯源技術為支撐，實現(xiàn)對攻擊行為的自動化阻斷，對攻擊者的身份溯源。技術對抗不僅是一種保護手段，也是一種積極防御和潛在反制手段，將對攻擊者形成威懾，促使其從“不能攻”轉變?yōu)椤安桓夜ァ睆亩鴮崿F(xiàn)更好的防御。

　　二是加強關鍵信息基礎設施供應鏈安全的檢測評估手段。近年來，全球分工體系深刻變化，國際貿(mào)易、地緣政治等因素持續(xù)沖擊全球供應鏈結構，新冠肺炎疫情更是加劇全球供應鏈動蕩，威脅我國關鍵信息基礎設施安全。然而，由于產(chǎn)業(yè)結構的復雜性、供應鏈關系的隱蔽性、風險傳導的滯后性、事件爆發(fā)的突發(fā)性等因素，供應鏈風險的感知、評估、預警能力非常不足，成為關鍵信息基礎設施安全保護的重大短板?！笆奈濉币?guī)劃提出，“建立重要資源和產(chǎn)品全球供應鏈風險預警系統(tǒng)”，對我國關鍵信息基礎設施安全保護工作提出了新要求。

　　三是加強關鍵信息基礎設施的數(shù)據(jù)安全和個人信息保護檢測評估能力。隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)安全和個人信息保護在關鍵信息基礎設施安全保護中的分量越來越重。隨著《數(shù)據(jù)安全法》和《個人信息保護法》的出臺生效，關鍵信息基礎設施安全標準體系中關于數(shù)據(jù)安全和個人信息保護的工作要求已不能滿足上位法的相關要求，需要進一步補充完善。