大力加强关键信息基础设施保护

◎马忠玉

工业互联网平台是智能制造赖以生存与发展的关键基础设施，其安全关系到我国制造业智能化升级与高端化发展的成败。当前，关键信息基础设施已成为国家重要的战略资源，信息化发展水平越高的国家对关键信息基础设施的依赖性越强，而其又极易遭受物理破坏和网络攻击，因此，加强关键信息基础设施的安全保护已成为各国政府关注的重点。2017年6月，《网络安全法》正式实施，从法律层面确立了关键信息基础设施保护制度。

目前我国关键信息基础设施保护工作还存在许多问题和不足，如缺乏全局的关键信息基础设施保障架构，未形成有效协同的安全管理和协调机制，网络安全威胁导致情报信息共享程度较低，关键信息基础设施安全标准体系还不完善和成熟，网络产品和服务采购存在安全隐患，网络安全技术手段有待进一步提高等。

从美国、欧盟等发达国家和地区的实践来看，关键信息基础设施保护重在明确四个方面内容：一是明确范围。即关键信息基础设施的识别和认定。美国提出了16类关键基础设施领域，日本提出了13类，澳大利亚将关键基础设施划分为10大类。我国《网络安全法》中提出了关键信息基础设施的认定标准，正在制定的“关键信息基础设施安全保护条例”将进一步明确其具体范围。但在实际操作层面，需明确列出目录清单或认定标准，显然工业互联网平台必须纳入关键信息基础设施的范畴。二是明确目标。美国提出关键基础设施保护的目标在于提高基础设施的安全性、弹性。欧盟保护的目标在于免受大规模网络攻击和中断，重点是预防和提高安全性、恢复力。我国《网络安全法》提出，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能。因此，关键信息基础设施保护应以业务连续性和安全可控性作为目标。三是明确措施方法。美国的关键基础设施网络安全保护框架是基于NIST（美国国家标准技术研究院）制定的风险管理框架提出的，其核心包括识别、保护、检测、响应和恢复五个部分。欧盟提出准备和预防、监测和响应、减灾和恢复以及国际合作四方面行动措施。我国《网络安全法》明确提出对关键信息基础设施采取监测预警、风险评估、信息共享和应急处置等保护措施。四是明确组织管理体系。各国在这方面都作了相应的制度设计，包括建立顶层协调机制、信息共享和协同保护制度，明确关键信息基础设施运营者的权责义务、监管部门的责任以及国际合作机制等。

我国的网络安全工作起步晚，关键信息基础设施保护工作较美国等网络强国还有差距。当前，需要从法律法规制定、建立信息共享机制、加强管理层面保护、加强网络产品和服务供应链审查以及提高网络安全技术能力等方面入手，共同努力，以提高我国关键基础设施的安全性和可控性。一是完善相关法律制度和安全标准规范体系，建立全局的关键信息基础设施保障体系。需要从国家层面考虑整个的复杂网络和信息系统的安全，同时从有效指导实践的角度建设关键信息基础设施保护标准系统。二是加强关键信息基础设施保护工作的组织管理。在注重技术层面的关键信息基础设施安全保护的同时，强化网信、公安和保密等相关主管部门和行业机构的协调与配合。三是建立和完善信息汇聚、共享和流动机制。减少或移除各部门内及部门间的信息共享壁垒，建立广泛的信息共享机制和通报机制。四是加强前沿科技研究，提高网络安全技术手段。