《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）作為《網(wǎng)絡(luò)安全法》的重要配套行政法規(guī)，針對關(guān)鍵信息基礎(chǔ)設(shè)施各類責任主體、保護對象和法定義務(wù)作出了明確而具體的規(guī)定。在電子政務(wù)領(lǐng)域，《條例》對當前我國依托政務(wù)外網(wǎng)規(guī)范推進數(shù)字政府建設(shè)進程，有效提升政府開展在線履職、便民服務(wù)能力和水平，穩(wěn)步深化開發(fā)政府數(shù)據(jù)應(yīng)用，奠定堅實的法治基礎(chǔ)，發(fā)揮著重要的法治保障作用。

　　一、電子政務(wù)外網(wǎng)實施關(guān)鍵信息基礎(chǔ)設(shè)施保護的必要性凸顯

　　經(jīng)過多年建設(shè)，電子政務(wù)外網(wǎng)已經(jīng)發(fā)展成為我國覆蓋面最廣、連接政務(wù)部門最多、承載業(yè)務(wù)最全面的全國電子政務(wù)統(tǒng)一網(wǎng)絡(luò)。電子政務(wù)外網(wǎng)貫通全國“中央、省、市、縣”四級網(wǎng)絡(luò)平臺，省級、地市級實現(xiàn)全覆蓋，區(qū)縣級、鄉(xiāng)鎮(zhèn)、村級網(wǎng)絡(luò)應(yīng)需盡接，大部分區(qū)縣實現(xiàn)下轄鄉(xiāng)鎮(zhèn)全覆蓋。130 多個中央部門政務(wù)部門和相關(guān)單位、近 20 萬個各級地方部門基于政務(wù)外網(wǎng)開展電子政務(wù)。

　　電子政務(wù)外網(wǎng)是電子政務(wù)領(lǐng)域基礎(chǔ)“云、網(wǎng)、數(shù)”重要底層設(shè)施，由于其連接全國各級黨政機關(guān)，承載運行各級政務(wù)數(shù)據(jù)資源、重大信息庫和重要信息系統(tǒng)，同金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施一樣，是各級政府開展政務(wù)協(xié)同服務(wù)、老百姓網(wǎng)上辦事的網(wǎng)絡(luò)樞紐，其網(wǎng)絡(luò)安全是關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的重中之重。

　　此次《條例》發(fā)布，標志著關(guān)鍵信息基礎(chǔ)設(shè)施保護制度基本形成，與我國正在施行的等級保護制度結(jié)合，形成圍繞關(guān)鍵信息基礎(chǔ)設(shè)施的“兩個制度”格局，二者相互銜接配套，各有偏重，落實這兩個制度必將有助于電子政務(wù)外網(wǎng)更全面地推進關(guān)鍵信息基礎(chǔ)設(shè)施全網(wǎng)整體安全保護，更有效地保障各級政府利用政務(wù)外網(wǎng)在線履職、服務(wù)于民。

　?。ㄒ唬嵤┱?wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護是嚴格遵循國家法律法規(guī)的基本要求

　　《條例》出臺，是落實《網(wǎng)絡(luò)安全法》的一項舉措，也是《網(wǎng)絡(luò)安全法》的配套法規(guī)。如果將《網(wǎng)絡(luò)安全法》看作是網(wǎng)絡(luò)空間安全整體的治理，《數(shù)據(jù)安全法》則定位為數(shù)據(jù)處理活動的安全與開發(fā)利用，《個人信息保護法》定位為公民個人隱私信息保護，三部法律并行形成了我國網(wǎng)絡(luò)空間法治“三叉戟”。《條例》則突出了保護涉及我國國家安全、國計民生、公共利益的重要設(shè)施運行。政務(wù)外網(wǎng)作為法定保護對象，應(yīng)嚴格遵循法規(guī)要求，配合主管部門、監(jiān)管部門履行工作部門和運營者相關(guān)義務(wù)。

　?。ǘ嵤┱?wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護是全網(wǎng)各級單位應(yīng)對安全挑戰(zhàn)的重要抓手

　　國家電子政務(wù)外網(wǎng)是按照中辦發(fā)〔2002〕17 號文件和〔2006〕18 號文件要求建設(shè)的我國電子政務(wù)重要公共基礎(chǔ)設(shè)施，是服務(wù)于各級黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。

　　政務(wù)外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共享和業(yè)務(wù)協(xié)同，以及不需在政務(wù)內(nèi)網(wǎng)上運行的業(yè)務(wù)。政務(wù)外網(wǎng)由中央政務(wù)外網(wǎng)和地方政務(wù)外網(wǎng)組成，與互聯(lián)網(wǎng)嚴格隔離。國家電子政務(wù)外網(wǎng)管理中心近年來陸續(xù)組織開展全網(wǎng)邊界安全檢查專項工作和全網(wǎng)網(wǎng)絡(luò)安全風險排查工作，經(jīng)梳理發(fā)現(xiàn)，經(jīng)過近年來網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，政務(wù)外網(wǎng)已初步具備較完善的安全管理體系、安全防護體系和安全監(jiān)測體系。但隨著政務(wù)外網(wǎng)業(yè)務(wù)承載量逐漸增多以及業(yè)務(wù)上云化帶來的諸多挑戰(zhàn)，政務(wù)外網(wǎng)面臨的整體安全形勢仍舊比較嚴峻，形成設(shè)施保護方面的一些挑戰(zhàn)。

　　1. 基層網(wǎng)絡(luò)安全管理仍不足

　　地方政務(wù)外網(wǎng)基層單位存在安全管理機構(gòu)缺失、安全管理制度不完善、制度更新不及時、執(zhí)行不到位、責任不明確等各種各樣的安全管理短板問題，部分地方基層單位存在未完成等級保護測評工作的情況。

　　2. 各地數(shù)據(jù)安全建設(shè)水平參差不齊

　　政務(wù)信息整合共享工作基本實現(xiàn)“網(wǎng)絡(luò)通、數(shù)據(jù)通”的階段性目標，全國一體化數(shù)據(jù)共享交換平臺建成，公共信息資源開放有效展開。各級政務(wù)外網(wǎng)業(yè)務(wù)承載急劇增加，大量政務(wù)數(shù)據(jù)在政務(wù)外網(wǎng)匯聚，各地政務(wù)外網(wǎng)在數(shù)據(jù)采集、存儲、傳輸、使用、銷毀等環(huán)節(jié)還須加強對管理和技術(shù)要求全面的“雙落實”，圍繞數(shù)據(jù)全生命周期安全保護能力建設(shè)仍需下力氣“大投入”。

　　3. 終端安全尚未實現(xiàn)全網(wǎng)統(tǒng)籌管控

　　全網(wǎng)終端接入分散控制，整體安全管控策略必要但還無法實現(xiàn)，目前仍存在終端同時訪問政務(wù)外網(wǎng)和互聯(lián)網(wǎng)的情況，部分單位無法對所有接入政務(wù)外網(wǎng)的終端進行有效管控，主機安全防護一旦措施落實不到位，非法用戶就有了“可乘之機”，終端一旦感染病毒、中了后門木馬，對政務(wù)外網(wǎng)設(shè)施產(chǎn)生的威脅不可忽視。

　　4. 監(jiān)測措施還不夠完備

　　政務(wù)外網(wǎng)存在著不少的新型攻擊形態(tài)，各地區(qū)政務(wù)外網(wǎng)網(wǎng)絡(luò)安全采集、分析水平參差不齊，安全設(shè)備部署較為分散，部分單位安全監(jiān)測難以實現(xiàn)全天候值守，實時發(fā)現(xiàn)和安全事件聯(lián)動處置能力存在不足。

　　《條例》出臺為政務(wù)外網(wǎng)履行法定保護，化解問題和挑戰(zhàn)，重新規(guī)劃落實設(shè)施保護措施，建立更加有效的實戰(zhàn)化、體系化、常態(tài)化等新理念，全方位構(gòu)建主動防御、安全可信、動態(tài)感知和全面審計，強化安全集中管控，持續(xù)增強動態(tài)防御、主動防御、縱深防御、精準防護、整體防控、聯(lián)防聯(lián)控等新能力，提供依據(jù)和抓手。

　　二、電子政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作實踐

　　《條例》為當前政務(wù)外網(wǎng)全網(wǎng)各級設(shè)施運營單位做好設(shè)施保護工作提供了全面的指導，各級運營單位應(yīng)加緊對照法定要求，依法推進政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施各項保護措施穩(wěn)步落地。

　　重點應(yīng)加強三項措施：一是依托現(xiàn)有組織體系架構(gòu)，構(gòu)建政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作機構(gòu)，保障各級外網(wǎng)各項工作有序展開。依托國家電子政務(wù)外網(wǎng)管理中心網(wǎng)絡(luò)和安全等組織架構(gòu)和人員，設(shè)立全國政務(wù)外網(wǎng)統(tǒng)一的保護工作專門機構(gòu)，監(jiān)督指導各級外網(wǎng)開展保護工作，并構(gòu)建專門安全管理職責隊伍，建立健全保護制度和責任機制，推進人力、財力、物力投入，定期開展安全管理、技術(shù)人員培訓，開展“有獎有罰”的公平考核評價機制。

　　二是立足政務(wù)外網(wǎng)主管、監(jiān)管、運營職能劃分，加強上下內(nèi)外左右“三協(xié)同”，形成主管、監(jiān)管、運營工作“三合力”。各級政務(wù)外網(wǎng)共建共管、共享共治，形成全國全網(wǎng)一盤棋。政務(wù)外網(wǎng)運營者在已經(jīng)明確關(guān)基范圍、認定工作流程和考慮因素的基礎(chǔ)上，加強與國家網(wǎng)信部門、國務(wù)院辦公廳電子政務(wù)辦、公安部門、安全保護部門的協(xié)作配合，進一步完善保護對象體系化工作，與地方外網(wǎng)、部門使用單位劃分責任和工作邊界，避免設(shè)施保護工作各自為戰(zhàn)、條塊分割等問題。

　　三是遵循《條例》和等保制度指引，落實條例重點保護措施，提升政務(wù)外網(wǎng)安全服務(wù)支撐水平。基于國家電子政務(wù)外網(wǎng)實施三級等級保護工作成效，進一步完善網(wǎng)絡(luò)安全防護、數(shù)據(jù)共享交換安全、安全服務(wù)支撐、日常安全管理四位一體的網(wǎng)絡(luò)安全體系，落實政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施五方面重點保護任務(wù)。一是重點建立資產(chǎn)檔案；二是強化核心崗位人員管理；三是加強網(wǎng)絡(luò)攻擊威脅管控、整體防護、監(jiān)測預(yù)警、應(yīng)急處置、數(shù)據(jù)保護等重點保護措施；四是強化全網(wǎng)技術(shù)系統(tǒng)聯(lián)動；五是委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年開展網(wǎng)絡(luò)安全檢測和風險評估；六是發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，及時向保護部門、公安機關(guān)報告。

　　圍繞做好電子政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作，建議在實踐中重點注意以下幾點：

　?。ㄒ唬┳R別認定政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施范圍和邊界

　　電子政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施具有《條例》中所定義的電子政務(wù)這一重要行業(yè)和領(lǐng)域?qū)ο蟮娘@著特性，是一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)。政務(wù)外網(wǎng)由全國各級外網(wǎng)設(shè)施組成，政務(wù)外網(wǎng)各級骨干網(wǎng)含城域網(wǎng)、廣域網(wǎng)，政務(wù)外網(wǎng)數(shù)據(jù)中心及集中地提供公共服務(wù)的云計算平臺設(shè)施、數(shù)據(jù)共享交換平臺等所構(gòu)成的整體信息基礎(chǔ)設(shè)施，統(tǒng)一認定為一個關(guān)鍵信息基礎(chǔ)設(shè)施，其邊界統(tǒng)一設(shè)定為政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邊界、各級政務(wù)部門接入邊界，政務(wù)外網(wǎng)數(shù)據(jù)中心與其他數(shù)據(jù)中心的邊界。

　?。ǘ┩晟聘骷壵?wù)外網(wǎng)內(nèi)部專門組織管理機構(gòu)

　　在國家電子政務(wù)外網(wǎng)管理中心現(xiàn)有分工基礎(chǔ)上，設(shè)立專門負責推進關(guān)鍵信息基礎(chǔ)設(shè)施保護的全網(wǎng)安全管理機構(gòu)，由各級外網(wǎng)單位共同參加，并對機構(gòu)所有關(guān)鍵崗位人員進行安全背景審查。各地政務(wù)外網(wǎng)專門安全管理機構(gòu)具體負責政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作，履行下列職責。一是建立健全本地政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理、評價考核制度，擬訂本地政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃。二是組織推動本地政務(wù)外網(wǎng)網(wǎng)絡(luò)安全防護能力建設(shè)，開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風險評估。三是按照國家外網(wǎng)網(wǎng)絡(luò)安全協(xié)同應(yīng)急體系要求，構(gòu)建本地政務(wù)外網(wǎng)協(xié)同應(yīng)急平臺，制定本單位應(yīng)急預(yù)案，定期開展應(yīng)急演練，處置網(wǎng)絡(luò)安全事件。四是認定政務(wù)外網(wǎng)網(wǎng)絡(luò)安全關(guān)鍵崗位，參加國家外網(wǎng)組織開展的網(wǎng)絡(luò)安全工作考核，開展本地外網(wǎng)考核。五是參加國家外網(wǎng)統(tǒng)一認證培訓，組織本地網(wǎng)絡(luò)安全教育、培訓，加大政務(wù)外網(wǎng)網(wǎng)絡(luò)安全保障人才培養(yǎng)力度，定期組織開展技能培訓。六是履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度。七是開展本地政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施設(shè)計、建設(shè)、運行、維護等服務(wù)實施安全管理。八是通過全國政務(wù)外網(wǎng)協(xié)同應(yīng)急平臺及安全通報渠道及時向國家外網(wǎng)報告網(wǎng)絡(luò)安全事件和重要事項。

　　（三）明確各級政務(wù)外網(wǎng)運營者主體責任

　　在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作上，明確地方政務(wù)外網(wǎng)運營者所需承擔的具體責任，并嚴格遵照執(zhí)行八項要求。一是安全保護措施應(yīng)當與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。二是建立健全本地政務(wù)外網(wǎng)網(wǎng)絡(luò)安全保護制度和責任制，保障人力、財力、物力投入。主要負責人對本地政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護負總責，領(lǐng)導本地政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問題。三是保障專門安全管理機構(gòu)的運行經(jīng)費、配備相應(yīng)的人員，開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策應(yīng)當有專門安全管理機構(gòu)人員參與。四是自行或者委托網(wǎng)絡(luò)安全服務(wù)機構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施每年至少進行一次網(wǎng)絡(luò)安全檢測和風險評估，對發(fā)現(xiàn)的安全問題及時整改，并按照政務(wù)外網(wǎng)保護工作部門要求報送情況。五是本地政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運營者應(yīng)當按照有關(guān)規(guī)定向政務(wù)外網(wǎng)保護工作部門、公安機關(guān)報告。六是優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查。七是采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當按照國家有關(guān)規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確提供者的技術(shù)支持和安全保密義務(wù)與責任，并對義務(wù)與責任履行情況進行監(jiān)督。八是配合政務(wù)外網(wǎng)保護工作部門以及公安、國家安全、保密行政管理、密碼管理等有關(guān)部門依法開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作。

　?。ㄋ模┘訌娬?wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全和數(shù)據(jù)安全

　　在基礎(chǔ)防護能力建設(shè)方面，構(gòu)建全方位的政務(wù)外網(wǎng)安全防御體系，在網(wǎng)絡(luò)側(cè)、互聯(lián)網(wǎng)接入側(cè)、應(yīng)用側(cè)部署相應(yīng)的安全防護措施，建立較強的邊界防護能力、終端防護能力、安全審計能力。在安全監(jiān)測能力建設(shè)方面，積極開展政務(wù)外網(wǎng)安全監(jiān)測類平臺建設(shè)，提供 7*24 小時的全方位安全監(jiān)測服務(wù)，逐步具備整網(wǎng)安全事件及時發(fā)現(xiàn)并處置的能力。在終端安全管控能力建設(shè)方面，強化政務(wù)外網(wǎng)接入終端安全管控，杜絕終端政務(wù)外網(wǎng)、互聯(lián)網(wǎng)兩網(wǎng)通聯(lián)，有效查殺蠕蟲病毒、惡意軟件、勒索軟件、引導區(qū)病毒、木馬等惡意文件，從系統(tǒng)的更底層發(fā)現(xiàn)漏洞攻擊代碼的執(zhí)行，防護“零日”（0Day）漏洞等，按需收集終端的軟硬件信息，包括硬件信息、操作系統(tǒng)信息、終端登記信息等，形成資產(chǎn)檔案。

　　在數(shù)據(jù)安全保護能力建設(shè)方面，在促進數(shù)據(jù)共享使用的同時，推動政務(wù)外網(wǎng)數(shù)據(jù)安全保護能力建設(shè)，深入推廣數(shù)據(jù)訪問控制與權(quán)限管理、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)標識、數(shù)據(jù)審計等防護措施的建設(shè)和應(yīng)用，提升數(shù)據(jù)安全交換功能和性能，加強數(shù)據(jù)容災(zāi)備份設(shè)施建設(shè)，實現(xiàn)數(shù)據(jù)安全管控。同時，提升政務(wù)外網(wǎng)國產(chǎn)密碼一體化支撐能力，推進國產(chǎn)密碼在政務(wù)網(wǎng)絡(luò)、政務(wù)云、各業(yè)務(wù)系統(tǒng)、數(shù)據(jù)共享體系方面的規(guī)模化部署和替代，持續(xù)開展政務(wù)外網(wǎng)密碼應(yīng)用安全性評估相關(guān)工作。

　?。ㄎ澹┨岣哒?wù)外網(wǎng)協(xié)同處置能力

　　構(gòu)建覆蓋中央、省、市、縣四級的政務(wù)外網(wǎng)安全事件管理協(xié)同處置機制，明確工作范圍、職責、流程等內(nèi)容。建設(shè)政務(wù)外網(wǎng)安全事件管理平臺，及時收集、匯總、分析、共享各方網(wǎng)絡(luò)安全信息，為各級政務(wù)外網(wǎng)安全管理部門處置跨地域、跨層級、跨系統(tǒng)的安全事件搭建協(xié)同處置通道。依托國家網(wǎng)絡(luò)與信息安全信息通報機制，加強國家電子政務(wù)外網(wǎng)網(wǎng)絡(luò)信息安全通報預(yù)警力量建設(shè)，推進與網(wǎng)信、公安、保密等主管部門和主流安全廠商網(wǎng)絡(luò)安全威脅情報共享協(xié)同，聯(lián)合機構(gòu)、院校、廠商深度挖掘分析，形成具有政務(wù)外網(wǎng)特色的威脅情報信息庫，支撐政務(wù)外網(wǎng)安全事件管理協(xié)同處置機制能力建設(shè)。建設(shè)政務(wù)外網(wǎng)安全應(yīng)急演練平臺，為各級政務(wù)外網(wǎng)安全管理部門搭建演練環(huán)境，提升政務(wù)外網(wǎng)安全事件協(xié)同處置能力。

　　三、結(jié)語

　　隨著政府數(shù)字化轉(zhuǎn)型、應(yīng)用新模式的推進發(fā)展，電子政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施保護工作不容小覷，貫徹落實關(guān)鍵信息基礎(chǔ)設(shè)施保護和網(wǎng)絡(luò)安全等級保護兩個制度，完善政務(wù)外網(wǎng)體制機制建設(shè)，以全局規(guī)劃、戰(zhàn)略布局、整體推進為原則，堅持全國“一盤棋”，發(fā)揮各級政務(wù)外網(wǎng)積極性，全面協(xié)同推進國家電子政務(wù)外網(wǎng)關(guān)鍵信息基礎(chǔ)設(shè)施全網(wǎng)安全保護取得新進展。