從 2021 年公開發(fā)布的網絡安全發(fā)展趨勢預測報告中可以看出，最新出臺的政策法規(guī)對網絡安全治理的影響意義深遠。我國近年來密集出臺若干政策法規(guī)，標志著我國依法治網、依法管網、依法護網、依法用網等網絡安全治理工作進入到了法治化的新時代。《網絡安全法》《密碼法》《數(shù)據(jù)安全法》《網絡安全審查辦法》和最新出臺的《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）等均成為業(yè)界關注的重點。這些政策法規(guī)對數(shù)據(jù)安全保護、關鍵信息基礎設施保護產生積極影響，對推動我國信息化建設、數(shù)字化轉型、網絡安全治理、產業(yè)生態(tài)健康有序發(fā)展將發(fā)揮重要作用。

　　一、國際態(tài)勢復雜，我國必須做好應對準備

　　當今世界正經歷一場百年未有之大變局，新時期我國正面臨許多重大風險和挑戰(zhàn)。美國及其西方盟友不愿意看到中國發(fā)展壯大，把我國國家制度和治理體系視為對西方制度模式的重大挑戰(zhàn)，把中國發(fā)展視為對美國霸權地位的挑戰(zhàn)，變本加厲地遏制中國發(fā)展。一方面，美國用霸道的美國法律、國家力量、長臂管轄限制中國企業(yè)發(fā)展，企圖阻止中國科技領域的崛起。另一方面，網絡意識形態(tài)領域的斗爭更是錯綜復雜，西方國家鼓吹西方價值觀，利用互聯(lián)網搞“顏色革命”。再一方面，今年 8 月，美國又組織超大規(guī)模海上軍演，矛頭直指中國，用軍事威懾和軍事行動恐嚇中國。

　　顯然，西方國家的“新冷戰(zhàn)”意圖已經十分明顯，中美在貿易、科技、外交、軍事、政治等領域的斗爭已經呈現(xiàn)公開化、常態(tài)化的特點，早已在無硝煙的戰(zhàn)場上拉開了序幕。我們必須審慎對待、提高警惕，在做好各項應急準備的同時，重點加強關鍵信息基礎設施的保護。

　　二、關鍵信息基礎設施亟須按照《條例》要求，體系化、系統(tǒng)性、創(chuàng)新性地實施保護

　　我國關鍵信息基礎設施面對的風險主要是境外情報機構的偵查竊密，互聯(lián)網黑客和互聯(lián)網有組織的網絡攻擊，不法分子的違法犯罪，自然災害，以及網絡安全和信息安全治理方面的安全威脅或問題。近年來，我國又面臨國家間有組織、高烈度的網絡對抗，面臨在極端情況下的網絡戰(zhàn)、軍事行動的威脅。我國關鍵信息基礎設施一旦遭受打擊、破壞，將會喪失社會功能，使多種安全風險相互疊加，將嚴重影響國家安全、經濟發(fā)展、社會穩(wěn)定和國計民生?，F(xiàn)有的傳統(tǒng)安全防護措施和保護理念，已難以應對國家間大規(guī)模網絡攻擊，亟待依法依規(guī)、創(chuàng)新保護技術、改進保護策略、實施重點保護和強保護。

　　1. 提高網絡安全認識，落實“一把手”領導責任

　　做好網絡安全工作首先要提高網絡安全意識和認識，不能“說起來重要，做起來次要，忙起來不要”“或走走形式，做做表面文章”。今天的網絡安全工作要動真格的，要對關鍵信息基礎設施實施重點保護，對那些一刻都不能停的信息系統(tǒng)和基礎設施施行重點保護，這是形勢發(fā)展的要求，更是網絡強國的要求。以往，網絡安全主管領導大都是一個單位的副職或信息中心的領導，有的單位網絡安全協(xié)調難度很大，很難上升到黨委的議事日程，在黨管保密、黨管密碼、黨管網信的今天，單位的一把手或主要負責人應對關鍵信息基礎設施安全負總責。打通“一把手”協(xié)調工作上的堵點，解決網絡安全難點，已經成為普遍的共識。當然，也要防止“一把手”的“不作為”和“亂作為”的問題，讓“一把手”和班子成員真正成為了解網絡安全知識、懂策略、施策略的行家，成為關鍵信息基礎設施保護的“專家”，成為信息化助力實體經濟發(fā)展的“大咖”。

　　2. “三同步”落實是關鍵，建章立制設機制，夯實責任

　　很多部門、地方領導和專家反映，網絡安全建設最大的問題是安全保護措施與關鍵信息基礎設施等信息化建設，沒有真正落實同步規(guī)劃、同步建設、同步使用。至少在安全防護建設中不是體系化、系統(tǒng)性設計，只是按照安全方案模板，簡單堆疊一些安全產品，沒有采取動態(tài)防御、主動防御、精準防御、聯(lián)防聯(lián)控、縱深防御和整體防范，使安全防護效果大打折扣?！稐l例》第十二條進一步強調“三同步”要求，說明這項要求不是一個簡單要求，而是要從單位體制機制上改進，改變信息化建設管理部門與網絡安全部門“兩張皮”的問題，真正實現(xiàn)網絡安全建設和關鍵信息基礎設施建設融為一體，一體化設計、一體化建設、一體化運行，充分體現(xiàn)雙輪驅動作用，發(fā)揮網絡安全保護、保障、保衛(wèi)的作用。

　　3. 加強關鍵崗位人員管控，建立人員審查和“雙崗制”機制

　　歷史經驗告訴我們，“堡壘最容易從內部攻破”。一種很普遍的現(xiàn)象是，大部分單位（企業(yè)）的系統(tǒng)管理員具有超級權限，并由于編制的原因出現(xiàn)一人兼多職的情況。單位對信息系統(tǒng)大量投入，按照國家標準層層防護，似乎固若金湯。但潛在的“對手”表示，“只要用很少的資金就可以收買一個系統(tǒng)管理員”，單位精心構筑的防線就可能出現(xiàn)因“蟻穴”而“堤毀”的結果。這種內部人員泄露大量數(shù)據(jù)信息和制造安全事件的案例時有發(fā)生，是網絡安全人員管理上的一大漏洞?！稐l例》規(guī)定，關鍵信息基礎設施運營者應當設置專門安全管理機構，并對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。審查時，公安機關、國家安全機關應當予以協(xié)助，可見這種審查可不是一般“走過場”的審查，而是非常嚴格的審查。同時，在人員審查的基礎上，要建立“雙崗制”工作制度，工作中關鍵人員相互認證、相互監(jiān)督、相互檢查。需要服務機構人員支撐時，還要開展服務機構人員的延伸審查，從制度上杜絕人員超權限的行為。

　　4. 明確關鍵信息基礎設施定義，準確認定保護對象

　　業(yè)界在網絡安全保障中早就建立了國家關鍵信息基礎設施保護的概念，特別是開展“8+2”（電力、銀行、稅務、保險、證券、鐵路、民航、海關，以及電信和廣電）信息系統(tǒng)風險評估和安全檢查后，對關鍵信息基礎設施保護、保障的理解更加深刻。對比國外，我國關鍵基礎設施保護、關鍵信息基礎設施保護的研究材料也非常豐富，但對關鍵信息基礎設施的識別認定始終成為主管部門和專家學者討論和關注的焦點。有人會問，“8+2”內的信息系統(tǒng)出現(xiàn)問題都會影響國家安全嗎？“8+2”之外的，如國防工業(yè)和互聯(lián)網信息服務企業(yè)就不會影響國家安全嗎？《條例》第二條進一步明確了關鍵信息基礎設施的定義，將公共通信和信息服務以及國防科技工業(yè)等納入其中?！稐l例》用第二章的整章內容，專門說明了如何進行關鍵信息基礎設施認定，使保護對象更加聚焦，認定更加科學規(guī)范，過程更具有可操作性。

　　5. 減少安全檢測頻度和多部門重復檢測，重心放到問題整改的有效性上

　　以往各部門、各地區(qū)網絡安全的主要抓手放在“開展安全檢測、安全檢查、風險評估、安全抽查”等工作上，基層單位經常會感到頻繁被檢查的疲憊。有的檢查采用專門滲透和眾測等方式，發(fā)現(xiàn)的系統(tǒng)漏洞、管理漏洞、結構漏洞等有價值漏洞不給被測單位提供，讓被測單位十分茫然，無法整改。有的地方出現(xiàn)今天這個部門來測試，明天那個機構來檢查，增加了運營者的負擔。這些重復檢查等問題已經引起中央的關注，“眾測”也有漏洞難以管理的風險?！稐l例》第五條強調任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動，不得危害關鍵信息基礎設施安全。第二十六條明確要求，保護工作部門應當定期開展本行業(yè)、本領域的安全檢查檢測，指導監(jiān)督運營者及時整改安全隱患、完善安全措施。今后的檢查，應該把檢查的重點放到漏洞修復和整改的有效性上，不能只是為了找漏洞而找漏洞，關鍵信息基礎設施的漏洞是國家資源，需要按照保密要求嚴格管理。

　　6. 安全事件應急響應見實效，各地區(qū)各部門應啟動“藍色、橙色、紅色”預警

　　我國在 2003 年就強調要建立應急響應機制，制定應急預案，開展應急演練，對發(fā)現(xiàn)的安全事件進行事件預警和通報。許多地方政府、行業(yè)保護工作部門也對此開展了相應的應急響應工作，建立災備中心、建立系統(tǒng)和數(shù)據(jù)備份措施。但有一件工作不夠規(guī)范，那就是安全事件預警。很多地方和部門出現(xiàn)安全事件不會預警、不敢預警，不知道如何處理，很多動作不符合國家應急預案要求，沒有向本地區(qū)和中央網信等有關部門報告，發(fā)生比較大的安全事件也未發(fā)出藍色、橙色等程度預警。國家網絡安全應急預案亟待普及，加強應急響應和事件預警的規(guī)范性培訓。否則一旦出現(xiàn)影響國家安全的大事件，保護部門可能會手忙腳亂。所以應急響應是關鍵信息基礎設施保護運營者必須掌握的一項關鍵技能?！稐l例》二十五條強調保護工作部門應當按照國家網絡安全事件應急預案的要求，建立健全本行業(yè)、本領域的網絡安全事件應急預案，定期組織應急演練；指導運營者做好網絡安全事件應對處置，并根據(jù)需要組織提供技術支持與協(xié)助。

　　7. 電信是 CIIP 的基礎，需要聯(lián)防聯(lián)控優(yōu)先保障

　　在產業(yè)融合的今天，關鍵信息基礎設施行業(yè)、領域的業(yè)務和網絡也越來越多的關聯(lián)起來，互聯(lián)網等公共網絡與信息服務等，特別是對電力、電信和公共通信等的依賴性越來越強?？梢哉f，關鍵信息基礎設施保護最需要強調的是聯(lián)防聯(lián)控，防止電信、電力等關鍵基礎功能的喪失而造成其他社會功能的喪失，也要防止多米諾骨牌效應的發(fā)生，防止出現(xiàn)連鎖反應?！稐l例》第三十二條特別強調國家采取措施，優(yōu)先保障能源、電信等關鍵基礎設施的安全運行。能源、電信行業(yè)應當采取措施，為其他行業(yè)和領域的關鍵信息基礎設施安全運行提供重點保障。

　　8. 在威脅情報共享方面，國家、企業(yè)、社會組織有責任開展共享交換

　　在產業(yè)數(shù)字化和數(shù)字產業(yè)化發(fā)展的今天，數(shù)據(jù)賦能作用越來越大，很多單位、企業(yè)都在進行數(shù)字化轉型，把數(shù)據(jù)當成寶貝，讓數(shù)據(jù)成為推動GDP 的動力。因此，數(shù)據(jù)共享交換需要確權，需要規(guī)則，需要利益分享，這是可以理解的。然而，網絡威脅情報數(shù)據(jù)應該成為國家資源，不應成為謀取利益的資源，需要大家站在國家利益高度看待威脅情報共享問題?！稐l例》第二十三條強調國家網信部門統(tǒng)籌協(xié)調有關部門建立網絡安全信息共享機制，及時匯總、研判、共享、發(fā)布網絡安全威脅、漏洞、事件等信息，促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。

　　9. 重視供應鏈安全，發(fā)揮網絡審查作用

　　當前，供應鏈安全問題已經成為制約我國信息化發(fā)展的重要問題。一方面，美國企圖在供應鏈上制裁中國企業(yè)，限制使用關鍵技術產品；另一方面，卻在供應鏈和相關產品中設置后門，企圖方便控制我國的網絡系統(tǒng)。隨著數(shù)據(jù)安全保障力度的加大，數(shù)據(jù)安全問題也進入到網絡安全審查范圍，這是一種技術和非技術的安全措施，應引起足夠的重視，并加強研究，讓該項制度在關鍵信息基礎設施保護中發(fā)揮關鍵作用?！稐l例》第十九條強調運營者應當優(yōu)先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規(guī)定通過安全審查。

　　三、加大關鍵信息基礎設施保護技術體系研究，自力更生自主創(chuàng)新

　　在這次新冠肺炎疫情防控中，我國總結出很多好的經驗和方法，所采取的主要措施一是“內防”，打疫苗，提高人體免疫力；二是“外防”，采取戴口罩、隔離疫情、減少聚集、封閉園區(qū)、防范外部輸入等隔離措施；三是采用“攻防”措施，對病毒區(qū)域進行消殺；四是采取“協(xié)防”措施，聯(lián)防聯(lián)控，掃行程碼、健康碼，大數(shù)據(jù)分析人員流動情況。這些措施組合起來使用，對打贏疫情防控保衛(wèi)戰(zhàn)發(fā)揮了重要作用。這種“四防模型”是否帶有普遍性規(guī)律？網絡安全防護從中也可以借鑒。

　　關鍵信息基礎設施面臨互聯(lián)網的、技術的、社工的、人為的和故障等各種各樣的威脅，系統(tǒng)和設施存在多種脆弱性和漏洞，網絡安全問題復雜多樣。因此，關鍵基礎設施的保護必須體系化防控。以往專家、學者參考國外資料，提出許多信息安全保護框架，有的在技術標準中加以規(guī)范。借鑒疫情防控的“四防”，關鍵信息基礎設施保護也可以采取“四防”模型，如下圖所示。

　　圖 1 四防模型圖

　　一般安全防控框架（模型）的主要內容是：“內防”指內生安全，“外防”是外防輸入，“攻防”指環(huán)境治理，“協(xié)防”是過程管理。中間是保護對象。很多業(yè)內專家都在積極探索和創(chuàng)新安全技術，特別是在信息系統(tǒng)和網絡的內生安全方面，如可信計算、密碼技術、動態(tài)防護等，體現(xiàn)了原生保護的理念。我國信息安全企業(yè)在防火墻、網閘、入侵檢測、入侵保護等方面提供了很多成熟安全技術、產品和服務，體現(xiàn)了外圍技術防護的理念。在網絡攻防方面，近年來國家組織了多次網絡安全保護專項行動，大大提高了信息系統(tǒng)運行者的安全意識，以及主動保護、主動保障、主動保衛(wèi)的積極性；有關部門還組織了網絡安全審查，提高了供應鏈產品的安全性和可控性；多部門組織了 App 治理行動，打擊了網絡犯罪活動，體現(xiàn)了保衛(wèi)理念。在協(xié)防方面，通過廣泛的安全檢測、過程管理、協(xié)同管理，體現(xiàn)管理保障的理念。

　　關鍵信息基礎設施保護有很多關鍵要點值得關注。其中要關注六個重要環(huán)節(jié)和六種防御，如下圖所示。

　　圖 2 關鍵信息基礎設施網絡安全保護模型

　　六個重要環(huán)節(jié)包括：識別認定、安全保護、檢測評估、監(jiān)測預警、技術對抗和應急處置。六種防御為：動態(tài)防御（內生安全）、主動防御（外防輸入）、精準防御（環(huán)境治理）、聯(lián)防聯(lián)控（過程管理）、縱深防御（南北向）、整體防御（東西向）。同時，條（垂直系統(tǒng)）和塊（各省系統(tǒng)）要加強管理制度和防護能力建設。這個模型與 P2DR 動態(tài)安全模型有相似之處，只是結合我國實際情況增加了攻防（技術對抗），體現(xiàn)了相關主管部門的保衛(wèi)職能。這個模型可以順時針循環(huán)往復，不斷技術迭代，使關鍵信息基礎設施防護能力不斷提升。

　　關鍵信息基礎設施需要加強體系化設計、系統(tǒng)化部署，不斷完善法律法規(guī)、政策規(guī)范、技術標準、安全保護、安全保衛(wèi)、安全保障等 6 大制度體系。其中很重要的策略是在關鍵信息基礎設施保護中要立足自力更生，自主創(chuàng)新，防止“卡脖子”。按照《條例》要求，國家要支持關鍵信息基礎設施安全防護技術創(chuàng)新和產業(yè)發(fā)展，組織力量實施關鍵信息基礎設施安全技術攻關，在創(chuàng)新中培養(yǎng)人，在實踐中鍛煉人。相信在黨中央的集中統(tǒng)一領導下，依據(jù)國家不斷完善的法規(guī)政策，網信部門統(tǒng)籌協(xié)調，公安機關和各保護部門協(xié)同監(jiān)管和指導，以及社會安全服務機構的大力支持，關鍵信息基礎設施運營者主體責任的落實，國家關鍵信息基礎設施保護能力一定會提升到一個新的高度，達到一個新的水平。