关键信息基础设施安全保护分析研究

易志勤，李敏，卢春景，于盟

（1.北京站酷网络科技有限公司，北京 100015；2.国家工业信息安全发展研究中心，北京 100040）

0 引言

2021年8月17日，《关键信息基础设施安全保护条例》（以下简称《条例》）正式发布，进一步明确了行业监管和企业主体责任，进一步健全了我国关键信息基础设施安全保障体系，建立全面的顶层安全管理体系。2016年出台的《网络安全法》对关键信息基础设施安全的保护对象、主体责任、安全措施等进行了总体性规定。《条例》作为《网络安全法》的重要配套法规，立足指导落实层面，对关键信息基础设施范围认定、安全监管职责、安全保护要求、安全保障措施等方面进行了界定和规范，明确提出制定行业、领域关键信息基础设施认定规则和安全规划，每年至少进行一次网络安全检测和风险评估，进一步促进运营者安全责任义务落实，对于推动开展关键信息基础设施安全保护工作提供强大助力。

1 关键信息基础设施的定义

关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等[1]。

安全是发展的前提，发展是安全的保障。关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重[2]，其重要性不言而喻，但关键信息基础设施中系统大规模集成、互联引发安全风险叠加、蔓延，面对组织化、体系化、实战化的安全攻击呈现出有限的防御能力。“乌克兰电网遭遇攻击停电事件”“委内瑞拉大规模停电事件”“澳大利亚政府能源发电机遭勒索软件攻击事件”等安全事件对国家安全、社会稳定和民众生活造成了恶劣影响，充分说明了关键信息基础设施安全保护的重要性和挑战性。关键基础设施的安全问题一直以来都是各国政府和安全企业的关注重点，保障关键信息基础设施安全，对于维护国家网络空间主权和国家安全具有重大意义。

2 安全保护现状

2.1 政策、标准及试点

国内近年围绕网络安全发布了一系列政策法规，对关键信息基础设施保护进一步明确要求。2019年10月颁布《中华人民共和国密码法》，提出对关键信息基础设施商用密码的应用要求。2020年4月，国家网信办等12部门发布《网络安全审查办法》，对关键信息基础设施供应链安全明确保障要求。2021年4月颁发《关键信息基础设施安全保护条例》，明确各方责任，保障关键信息基础设施安全及维护网络安全；4月26日，国家安全部公布《反间谍安全防范工作规定》指出：关键信息基础设施运营者应采取反间谍技术安全防范措施，防范、制止境外网络攻击、网络入侵、网络窃密等间谍行为，保障网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全。2021年6月，《中华人民共和国数据安全法》明确关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定。2021年11月1日实施的《中华人民共和国个人信息保护法》，提出关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内，确需向境外提供的，应当通过国家网信部门组织的安全评估。

在标准研制方面，目前已围绕网络安全框架、检查评估、网络安全保护基本要求等制定一系列标准。其中，信安标委会已针对《关键信息基础设施检查评估指南》开展标准试点工作，由国家工业信息安全发展研究中心等6家第三方专业测评机构，针对包含交通、能源、金融、电子政务、公共服务等行业在内的12家关键信息基础设施运营者验证标准的合理和可操作性，充分结合我国国情实际对安全标准进行不断完善，保障标准的高质量和可落地[3]。《信息安全技术 关键信息基础设施网络安全应急体系框架》《信息安全技术关键信息基础设施安全防护能力评价方法》也于2021年进行立项，围绕关键信息基础设施网络安全应急和防护评价进一步明确相关安全要求。

2.2 行业发展现状

一分部署，九分落实。为更好支撑关键信息基础设施安全保护条例的有效落地，包括国家工业信息安全发展研究中心在内的7家单位共同发起成立关键信息基础设施安全保护联盟（筹），围绕关键信息基础设施安全“保护、保卫、保障”工作，打造协同创新和资源整合平台，共同支撑国家关键信息基础设施安全保护工作。

专业联盟组织的建设，有助于加快推进关键信息基础设施安全标准和研究的开展和落地，更好地引导关键信息基础设施安全产业的健康高速发展。

3 安全检查评估

关键信息基础设施面临的安全挑战和形势日趋严峻，《网络安全法》第三十八条明确要求关键信息基础设施的运营者每年至少进行一次检测评估，《条例》在网络安全法的基础上进一步明确，运营者须每年至少进行一次网络安全检测和风险评估，开展安全检查评估成为关键信息基础设施安全保护的重要环节。

3.1 安全检查评估目标

安全检查评估是检测基础设施脆弱性和安全威胁最可靠的手段。通过持续性的检查评估可以有效验证关键信息基础设施的安全保护措施落实状况，为关键信息基础设施的建设运维管理提供整改和规划方向和依据，以评促建、以评促管、以评促改，逐步提升关键信息基础设施的网络安全保障能力。

3.2 安全检查评估工作

结合《条例》《网络安全审查办法》等法规要求及相关安全保护实践，安全检查评估工作可重点关注以下方面：

（1）合规性安全。《条例》第六条明确，运营者在网络安全等级保护的基础上，保障关键信息基础设施安全稳定运行。国家对关键信息基础设施实行重点保护，其安全能力评估范围应覆盖网络安全等级保护对应等级技术和管理层面的合规性测评要求，关注备份恢复能力的建立情况，并加强技术层面的安全攻防测试，确保关键信息基础设施承载的核心业务具备抵抗大规模、较强恶意攻击的能力，对于服务保障性要求高的基础设施，具有快速恢复正常运行状态的能力。目前，国家层面、行业层面均未发布正式、统一的关键信息基础设施安全评估标准，针对性的安全评估体系需要各方共同推进。

（2）供应链安全。《条例》第十九条规定，运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查[1]。关键信息基础设施运营者在“采购网络产品和服务可能影响国家安全的”情况下应落实《网络安全审查办法》的相关要求。由于当前关键信息基础设施自主可控技术水平有限，存在较大潜在安全隐患和供应链安全风险，运营者在核心技术研究、资产底数掌控、供应流程管理等方面应进一步提升主动性，保障供应链攻击下关键信息基础设施的业务可持续性。

（3）风险监测预警机制。《条例》第五条明确规定国家应采取措施监测、防御、处置网络安全风险和威胁，第十五条要求运营者应开展网络安全监测、检测和风险评估，第二十四条规定了保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，预警通报网络安全威胁和隐患，指导做好安全防范工作[1]。目前我国各行业尚未制定具体的监测与预警标准，且已有的监测与预警机制以企业、集团为主体，行业领域层面未形成持续联动、安全共享的监测预警机制，需要各有关部门进一步常态化推动完善。

3.3 关保、等保间联系与区别

《网络安全法》中明确国家实行网络安全等级保护制度，《条例》中明确运营者在网络安全等级保护的基础上保障关键信息基础设施安全稳定运行。等级保护（以下简称“等保”）是关键信息基础设施保护（以下简称“关保”）的基础，关键信息基础设施是等级保护的重点防护对象。

等保工作中，遵循“谁主管谁负责，谁运营谁负责”的原则，接受公安部门的监管。由于等保评估对象覆盖所有的网络和信息系统，等保评估内容具有广泛的通用性，相关安全要求是信息系统相应等级的基本能力要求。

《条例》中将关保的监管权力下放至各行业监管部门，更有利于发挥行业的主动性，加强关保在行业落地的推动性和针对性。关键基础设施建设过程中，将涉及数据安全、个人信息保护和信创类、保密性产品安全，其安全覆盖面更广，专业要求更高。

4 思考与展望

随着《条例》的发布，当前基本形成以网络安全等级保护为基础，以关键信息基础设施安全保护为重点的安全格局。《条例》相关配套国家标准及行业标准也将相继出台，关键信息基础设施安全合规要求必将进一步细化，持续化的安全检查评估将成为提升我国关键信息基础设施安全保护水平的有效手段。

4.1 安全标准体系建设持续推进，试点工作深入开展

关键信息基础设施相关标准将持续以支撑安全保护等网络安全工作为重点，结合我国国情实际，创新出一批高质量、可操作的标准化工作成果，通过深入开展标准试点示范工作，推进关键信息基础设施标准的落地，逐步建设形成完善的安全标准体系，为全面构建关键信息基础设施安全保障体系提供规范支撑。

4.2 安全评估体系规范发展，检查评估指引安全方向

标准化体系的构建和已有安全联盟组织的形成，有助于推动专业化的关键信息基础设施安全评估体系的形成和落地。通过安全评估将同步促进标准化试点和完善更迭工作，推进关键信息基础设施安全能力的提升。通过持续化的检查评估工作，可进一步总结关键信息基础设施保护实践经验，将对我国的关键信息基础设施安全建设和发展方向提供指导作用。

4.3 安全防护体系逐步构建，关键信息基础设施合规运营

通过安全标准体系和安全评估体系的建立和发展，既明确关键信息基础设施安全建设的合规性要求，又为运营者提供专业性的外部支撑力量，可为关键信息基础设施单位提供由内而外的安全支持，促进企业的安全防护能力体系的建设，保障关键信息基础设施可持续、安全运营。