《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱“《條例》”）正式發(fā)布，并確定于2021年9月1日起施行。

　　在《條例》全文正式發(fā)布的當(dāng)日，我們曾對(duì)其核心要點(diǎn)進(jìn)行過分析和解讀，在這里先快速回顧一下。一是《條例》不僅明確了關(guān)鍵信息基礎(chǔ)設(shè)施（以下簡稱“關(guān)基”）的定義，還明確了認(rèn)定的主體和認(rèn)定方式；二是關(guān)基的主管部門及其相應(yīng)的職責(zé)被明確，其中包括工信部、網(wǎng)信辦、公安部等部門都在其中；三是明確了關(guān)基運(yùn)營者的合規(guī)制度建設(shè)義務(wù)和主體責(zé)任，明確要建立健全網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息等相關(guān)保護(hù)制度；四是針對(duì)具體的漏洞挖掘、滲透測試等活動(dòng)提出了特殊要求和規(guī)定。

　　如今，距離《條例》正式施行剛好滿一年，那么在這一年中，《條例》對(duì)于網(wǎng)絡(luò)安全行業(yè)的促進(jìn)都有哪些體現(xiàn)？對(duì)于用戶側(cè)有著什么樣的影響？在《條例》施行的前后，在安全建設(shè)方面的關(guān)注點(diǎn)有了哪些變化呢？帶著這種種問題，我們特別連線了兩家我國在相關(guān)領(lǐng)域安全建設(shè)中的佼佼者——威努特與天地和興兩家企業(yè)，看看他們對(duì)《條例》推出前后的一些變化是如何看待的。

　　監(jiān)管力度持續(xù)加強(qiáng)

　　關(guān)基保護(hù)建設(shè)成為“一把手工程”

　　威努特認(rèn)為，《條例》提出一個(gè)總綱，明確了界定保護(hù)范圍及原則目標(biāo)，對(duì)于用戶而言更加清晰；尤其是針對(duì)能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施，明確確立為國家優(yōu)先保障重點(diǎn)。其次，《條例》設(shè)立了監(jiān)管機(jī)制及認(rèn)定機(jī)制，同時(shí)明確了關(guān)基運(yùn)營者的責(zé)任和義務(wù)，既壓實(shí)了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的主體責(zé)任，同時(shí)也規(guī)定了網(wǎng)信部門、公安機(jī)關(guān)等機(jī)構(gòu)的責(zé)任，進(jìn)一步明確網(wǎng)絡(luò)安全檢測的常態(tài)化。這些方面的明確，有利于用戶更清晰地了解關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的建設(shè)、維護(hù)、檢查等全面運(yùn)行模式，也了解各方應(yīng)承擔(dān)的法律責(zé)任。

　　談及《條例》施行這一年來，對(duì)我國網(wǎng)絡(luò)安全行業(yè)的促進(jìn)這一話題時(shí)，威努特從政策、意識(shí)以及監(jiān)管三個(gè)層面分享了他們的觀點(diǎn)。

　　//在政策層面，在政策層面，《條例》的發(fā)布讓關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)做到了有法可依，并且隨著“三法一條例”的陸續(xù)出臺(tái)實(shí)施，我國整體網(wǎng)絡(luò)安全領(lǐng)域法律法規(guī)的體系逐步地完善，條例中，涉及國家基礎(chǔ)信息、重要數(shù)據(jù)、個(gè)人信息、違法信息的治理都給予了極高的關(guān)注，不同行業(yè)主管單位也在積極構(gòu)建企業(yè)自身的安全體系；

　　//在意識(shí)層面，部分領(lǐng)域、行業(yè)的網(wǎng)絡(luò)安全防護(hù)意識(shí)進(jìn)一步的提升，主管單位負(fù)責(zé)人的網(wǎng)絡(luò)安全責(zé)任感也進(jìn)一步得到了提升，網(wǎng)絡(luò)安全人才的結(jié)構(gòu)也在進(jìn)一步優(yōu)化；

　　//在監(jiān)管層面，關(guān)鍵信息基礎(chǔ)設(shè)施主管單位對(duì)于企業(yè)安全防護(hù)能力建設(shè)的監(jiān)督檢查、對(duì)企業(yè)網(wǎng)絡(luò)存在的漏洞、風(fēng)險(xiǎn)進(jìn)一步進(jìn)行了多環(huán)節(jié)，多角度的監(jiān)測，監(jiān)管力度在持續(xù)加強(qiáng)；

　　針對(duì)同樣的話題，天地和興的專家則從需求側(cè)和供給側(cè)兩個(gè)角度進(jìn)行了分析。

　　首先是需求側(cè)方面，由于《條例》明確了關(guān)基運(yùn)營者如因防護(hù)不到位將受到嚴(yán)厲懲罰，可以說徹底扭轉(zhuǎn)了不少關(guān)基運(yùn)營者在相關(guān)安全建設(shè)方面抱有70分萬歲的心態(tài)，而是要轉(zhuǎn)而以實(shí)戰(zhàn)的心態(tài)去開展網(wǎng)絡(luò)安全建設(shè)和運(yùn)營，同時(shí)，《條例》的施行，更是讓關(guān)基相關(guān)安全建設(shè)上升為“一把手”工程，促進(jìn)了關(guān)基運(yùn)營者在重視程度以及資源投入方面相比此前都有了大幅的提升。

　　同此前相比，用戶在預(yù)算以及組織層面不再聚焦于少數(shù)幾個(gè)系統(tǒng)的等保測評(píng)相關(guān)工作，而是更側(cè)重于主動(dòng)防御、聯(lián)防聯(lián)控的網(wǎng)絡(luò)安全體系，而且在這一過程中，更重要的是在于關(guān)基運(yùn)營者在網(wǎng)絡(luò)安全建設(shè)方面的思路發(fā)生了轉(zhuǎn)變，從以往的重建設(shè)輕運(yùn)營轉(zhuǎn)變?yōu)榻ㄔO(shè)與運(yùn)營同等重要，需要從規(guī)劃設(shè)計(jì)、建設(shè)實(shí)施、運(yùn)營優(yōu)化來整體考慮，真正落實(shí)了《網(wǎng)絡(luò)安全法》和《條例》的三同步要求。

　　具體到產(chǎn)品、解決方案的需求層面，也伴隨著發(fā)生了不小的變化，早就被認(rèn)定為難以滿足需求的“三大件”時(shí)代徹底遠(yuǎn)去，SIEM和SOC已經(jīng)成為了標(biāo)配，零信任、SASE等新興技術(shù)也在該領(lǐng)域快速發(fā)展，同時(shí)包括5G安全、AI安全、虛擬化安全等多個(gè)場景的安全建設(shè)也都被納入到關(guān)基運(yùn)營者需重點(diǎn)考慮的范圍。

　　其次是供給側(cè)方面，《條例》的落地使得原來以政策合規(guī)為主的網(wǎng)絡(luò)安全產(chǎn)品服務(wù)市場，逐步轉(zhuǎn)向在滿足等保合規(guī)的基礎(chǔ)上能夠具備應(yīng)對(duì)網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻擊的安全技術(shù)產(chǎn)品，既考驗(yàn)著供給側(cè)的產(chǎn)品技術(shù)能力，也考驗(yàn)著其綜合服務(wù)能力。

　　關(guān)基行業(yè)領(lǐng)域相關(guān)執(zhí)行標(biāo)準(zhǔn)仍有欠缺

　　風(fēng)險(xiǎn)評(píng)估及應(yīng)急演練應(yīng)當(dāng)常態(tài)化

　　通過上述內(nèi)容我們可以看出，《條例》推出后，對(duì)于整體行業(yè)以及關(guān)基運(yùn)營者在相關(guān)防護(hù)體系的建設(shè)思路上、實(shí)際行動(dòng)上都有了很大的促進(jìn)，比如行業(yè)客戶對(duì)于網(wǎng)絡(luò)安全建設(shè)越來越關(guān)注，相關(guān)的主管部門越來越重視相關(guān)資金投入，尤其是安全防護(hù)能力建設(shè)方面，從安全設(shè)備部署查漏補(bǔ)缺到整體安全解決方案設(shè)計(jì)。但同時(shí)，我們也看到在具體落實(shí)層面仍存在有待加強(qiáng)之處。

　　天地和興認(rèn)為，由于受到企業(yè)自身數(shù)字化轉(zhuǎn)型進(jìn)度、安全建設(shè)能力的不平衡影響，再加上《條例》的基本要求仍然不夠細(xì)化，且沒有明確針對(duì)不同行業(yè)的執(zhí)行標(biāo)準(zhǔn)，導(dǎo)致《條例》在執(zhí)行、落地過程中，企業(yè)對(duì)于如何執(zhí)行以及執(zhí)行的重點(diǎn)方面缺乏一致的認(rèn)知，比如哪些企業(yè)是屬于關(guān)基保護(hù)的范疇？保護(hù)到什么程度？這些在執(zhí)行層面的細(xì)節(jié)部分如果不夠明確，那么企業(yè)在執(zhí)行過程中就會(huì)存在一定的偏差，而推進(jìn)的進(jìn)度以及保護(hù)的力度方面也會(huì)出現(xiàn)不一致的情況。

　　關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)領(lǐng)域尚欠缺執(zhí)行標(biāo)準(zhǔn)這一點(diǎn)，威努特也表示認(rèn)同，并同時(shí)針對(duì)用戶側(cè)方面體現(xiàn)出的不足提出了相關(guān)的改善建議，具體有如下3點(diǎn)：

　　● 1. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估是開展網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)，尤其是涉及行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施，要有優(yōu)先開展安全風(fēng)險(xiǎn)評(píng)估，并將風(fēng)險(xiǎn)評(píng)估作為一個(gè)常態(tài)化的動(dòng)作，每年至少一次風(fēng)險(xiǎn)評(píng)估。

　　● 2. 常態(tài)化進(jìn)行行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件應(yīng)急演練，保證一旦出現(xiàn)網(wǎng)絡(luò)安全事件，能夠有條不紊的開展應(yīng)急響應(yīng)工作。

　　● 3.  行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施單位應(yīng)重視對(duì)企業(yè)自身資產(chǎn)的梳理，識(shí)別企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的類別并形成關(guān)鍵信息基礎(chǔ)設(shè)施資產(chǎn)列表，通過常態(tài)化的風(fēng)險(xiǎn)評(píng)估，實(shí)時(shí)掌握企業(yè)自身資產(chǎn)的風(fēng)險(xiǎn)情況。

　　關(guān)基運(yùn)營者不應(yīng)止步于“合規(guī)”

　　要從實(shí)戰(zhàn)角度出發(fā)做好安全建設(shè)

　　作為網(wǎng)絡(luò)安全市場的重要推動(dòng)力，“合規(guī)”是一個(gè)不能繞開的話題，每當(dāng)新的法律法規(guī)等相關(guān)政策的出臺(tái)，都會(huì)引起業(yè)內(nèi)的廣泛討論，那么在《條例》施行后，從合規(guī)的角度看，關(guān)基運(yùn)營者最應(yīng)該關(guān)注哪些方面呢？

　　面對(duì)這個(gè)話題，天地和興指出，關(guān)基運(yùn)營者應(yīng)能夠確保關(guān)基保護(hù)閉環(huán)，從識(shí)別和梳理自身的重要業(yè)務(wù)和資產(chǎn)開始，梳理可能存在的攻擊路徑，以實(shí)戰(zhàn)的角度去部署產(chǎn)品技術(shù)、落實(shí)管理制度和安全策略，并加強(qiáng)監(jiān)測預(yù)警和檢測評(píng)估工作，能夠及時(shí)的發(fā)現(xiàn)存在的隱患和可能的攻擊，同時(shí)能夠針對(duì)已經(jīng)發(fā)生的攻擊或安全事件能夠及時(shí)響應(yīng)和處置。

　　威努特則進(jìn)一步指出，對(duì)于關(guān)基運(yùn)營者而言，不應(yīng)僅僅止步于“合規(guī)”，合規(guī)僅僅是基礎(chǔ)能力基線，更應(yīng)該關(guān)注在合規(guī)的基礎(chǔ)上，進(jìn)一步強(qiáng)化企業(yè)網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)預(yù)測和研判能力、網(wǎng)絡(luò)安全的應(yīng)急響應(yīng)和安全運(yùn)營能力。尤其是態(tài)勢感知的建設(shè)，是非常關(guān)鍵的。最終關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)以防范安全威脅、有效降低安全風(fēng)險(xiǎn)、保障業(yè)務(wù)的安全持續(xù)、穩(wěn)定運(yùn)行，實(shí)現(xiàn)閉環(huán)管理動(dòng)態(tài)化、能力迭代自動(dòng)化、安全能力流程化、安全運(yùn)營一體化。

　　Gartner此前曾表示，許多國家的政府已經(jīng)意識(shí)到，幾十年來，國家的關(guān)鍵信息基礎(chǔ)設(shè)施一直是一個(gè)未公開的戰(zhàn)場，因此大家都紛紛采取行動(dòng)，要求對(duì)支撐這些資產(chǎn)的基礎(chǔ)系統(tǒng)實(shí)施更多的安全控制措施。在具體行動(dòng)上，關(guān)鍵信息基礎(chǔ)設(shè)施的安全已經(jīng)成為世界各國政府首要關(guān)切的重點(diǎn)，美國、英國、歐盟、加拿大和澳大利亞等國家都成立了“關(guān)鍵信息基礎(chǔ)設(shè)施部門”，涵蓋通信、運(yùn)輸、能源、水利、醫(yī)療保健和公共設(shè)施等領(lǐng)域。在這一形勢之下，《條例》的施行對(duì)于我國整體網(wǎng)絡(luò)安全乃至國家安全都有著重要的意義和價(jià)值，通過上述內(nèi)容我們可以看出，這一年來，它已經(jīng)在多個(gè)行業(yè)、領(lǐng)域產(chǎn)生了積極的影響，我們也相信隨著后續(xù)相關(guān)政策的不斷細(xì)化、完善，將進(jìn)一步在保障關(guān)鍵信息基礎(chǔ)設(shè)施安全方面發(fā)揮更大作用，為筑牢國家網(wǎng)絡(luò)安全屏障提供有力支撐。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<