网络安全行业点亮“航标灯”——《关键信息基础设施安全保护条例》解读

编者按

能源、交通、水利、金融、公共服务等重要行业和领域作为经济社会运行的神经中枢，长期面临着各类安全威胁。近年来，世界各国纷纷出台网络安全战略并不断完善网络安全立法，加强关键信息基础设施保护。

在我国，作为首部专门针对关键信息技术设施安全保护工作的行政法规，《关键信息基础设施安全保护条例》施行在即。

本期产业安全TALK 分享一篇来自《中国电子报》的解读，作者通过深度剖析《条例》亮点与意义，进一步探讨了其对网络安全行业发展的影响。

记者：宋婧

来源：中国电子报

当前，关键基础设施正在成为网络攻击的主要目标。一桩桩大规模网络攻击事件触目惊心，中国、德国、俄罗斯、以色列、智利、伊朗等多个国家的关键基础设施均遭受过不同类型、不同程度的网络攻击，在全球范围内拉响了“红色警报”。

近来，国内相关政策法规密集出台。其中，作为我国首部专门针对关键信息技术设施安全保护工作的行政法规，《关键信息基础设施安全保护条例》（以下简称《条例》）即将于9月1日正式施行，为网络安全行业的健康、有序发展点亮了一盏“航标灯”。

关键词：范围、授权、责任

实际上，通过网络安全法，关键信息基础设施的概念首次在我国法律层面得以明确。《条例》则是针对关键信息基础设施的范围界定、授权认定、责任机制等关键性问题进行了更为详细的规定。

赛迪智库网络安全研究所所长刘权在接受《中国电子报》记者采访时说：“《条例》采用了‘范围列举+授权认定’的方法，对关键信息基础设施的内涵和外延做出规定。”

在范围列举方面，《条例》第二条将关键信息基础设施定位于“重要网络设施和信息系统”，并以列举方式明确了其行业属性和影响属性两大界定标准：一是“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等”八个重要行业和领域；二是“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”。

尤其值得关注的是，鉴于新兴互联网平台用户规模普遍在亿级以上，掌握着海量的高价值数据，如遇网络攻击，其危害程度不亚于传统行业，因此多位专家认为这些平台也可能被纳入关键信息基础设施的范围。

在授权认定方面，《条例》第二章对授权认定做出了规定，主要明确了两个要点：一是认定主体，即“关键信息基础设施安全保护工作的部门，主要包括了《条例》第二条所述八个重要行业和领域的主管或监管部门；二是认定依据，《条例》第九条还明确了制定“认定规则”时应依据的“重要程度”“危害程度”和“关联影响”三个主要考量因素。

安全责任机制的明确也是《条例》的亮点之一。“《条例》的颁布传递出关键基础设施领域中安全的重要战略地位，关键基础设施的安全防护不仅仅是相关运营者的责任，更关乎国计民生和社会利益。”腾讯安全战略发展中心行业安全专家组负责人陈颢明在接受《中国电子报》记者采访时表示，“主要是‘责任’，包括关键基础设施运营者要落实的主体责任，以及未做好安全防护要负的法律责任。”

刘权补充说，《条例》对于责任机制的规定主要有三点：一是突出主体责任，运营者在整个保护工作中，因其肩负重要职责而具有的不可替代作用。二是健全责任范围，形成对关键信息基础设施保护工作的全方位责任保障；三是明确责任方式，主要涵盖行政责任、民事责任和刑事责任三大类别。 

《条例》旨在解决哪些问题？

随着我国国民经济和社会信息化的全面推进，传统的社会活动不断向网络空间延伸扩展，经济与国家安全高度依赖于关键信息基础设施。“完善关键信息基础设施保护法律体系，全面提升关键信息基础设施安全保护意识、保障能力和水平，已经成为网络安全博弈的制胜关键。”陈颢明表示。

然而现阶段，我国关键信息基础设施的安全防护仍存在不少问题。华云数据控股集团高级副总裁郭晓在接受《中国电子报》记者采访时坦言：“我国整体安全投入与全球市场还存在差距。”国家统计局和IDC数据显示，我国网络安全产业占GDP仅0.41%，和美国相差3.6倍，网络安全产业规模和美国相差5.5倍。

不过，业界人士普遍认为，《条例》的出台将给国内网络安全产业带来较大增量空间。中信证券称，《条例》正式施行后有望带动省级、国家级关键信息基础设施安全投入增加。假设国家级、省级关键信息基础设施有望达到2万个，平均每个关键信息基础设施每年的安全投入为100万元，则《条例》带来的增量市场每年预计有200亿元。

陈颢明指出：“结合近期的政策，政企安全投入比重的提升将推动网安行业开启高速增长期，预计未来安全投入与全球市场的差距将持续缩小。尤其是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等这些《条例》要求保护的重点行业，未来将是网络安全能力建设和投入的重点。”

“除了安全投入不足，我国关键信息基础设施安全保护还面临自主可控能力不足、缺乏完善有效的脆弱性评估机制和安全恢复计划、安全风险监测和预警机制较弱等挑战。”刘权谈道。

今年5月国家互联网应急中心（CNCERT）发布的《2020年我国互联网网络安全态势综述》数据显示，勒索病毒、APT攻击、系统漏洞、数据安全等安全问题已逐渐成为企业、政府机构、金融机构等对网络安全性要求较高用户群体最为关心的核心问题之一。而关键信息基础设施网络安全事故多发，也从侧面凸显出产业生态的不完善。

《条例》的正式施行有望补足网络安全产业链的薄弱环节。刘权分析称，《条例》明确规定关键信息基础设施运营者应当落实网络安全责任，开展安全监测和风险评估，规范网络产品和服务采购活动。从这些要求看，网络安全行业中提供风险评估、等保测评以及合规性咨询等第三方服务企业将明显受益。“尤其是是近年来兴起的网络安全托管服务，会获得更大的市场增长空间。”陈颢明强调。

“《条例》对信创产业和网安行业也表达了明确支持，指出应当优先采购安全可信的网络产品和服务。因此，跨越多行业，多领域的云服务提供商作为主要对象，其中具有信创和自主知识产权特色的企业，和具有跨界整合优质网络安全方案能力的企业会更加受益。”郭晓表示。

另外，网络安全人才问题也将获得更多的关注。陈颢明认为，关键信息基础设施运营单位普遍存在网络安全人员编制少、人才流失严重、现有人员经验不足等诸多问题，《条例》的实施会带来更大的人才需求压力。“一方面，在现有人才无法满足要求的情况下，关键信息基础设施运营单位亟须引入外部网络安全人才和服务，补齐和加强网络安全力量；另一方面，也要加强内部网络安全人才培训。”

究竟应该怎么做？

传统的安全建设往往注重先进和高效的技术防御平台建设，却忽视了平台的持续运营能力和对事件的应急处置能力。大多数单位真正缺乏的是“用好安全产品”和“应对突发事件”的能力，这无论是对关键信息基础设施运营单位的安全团队还是对提供产品和服务的安全企业，都是一个需要投入精力去解决的问题。在陈颢明看来，关键信息基础设施安全保护体系的建设，将更加强调安全运营、应急处置等“软”实力的构建，要求业内企业和单位更加注重安全能力的持续、有效运作。

一方面，关键基础设施运营者在其中扮演着不可替代的重要角色。刘权建议：“运营者需重点做好以下三个方面工作。一是落实主体责任，通过建立安全保护制度、设立专门管理机构、加强网络安全意识教育等多种形式，切实保障相关资金落实，建立网络安全保障体系；二是高度重视安全保护工作，合规做好系统建设相关工作；三是定期开展网络安全检测和风险评估，发生重大安全事件应及时向相关部门报告。”

另一方面，企业与安全从业者也是重要参与者，需提供更符合实际场景需求的安全解决方案。陈颢明谈到：“关键信息基础设施的保护体系不应再是类似等保的‘基线’式防护，而必须是有重点、有目标的针对性管控体系。安全行业从业者必须深入到不同关键信息基础设施行业的业务场景中，基于不同的行业风险考虑系统的应对措施。”

郭晓指出，从网络安全角度出发，包括内外网安全、虚拟化安全、云原生安全都是关键信息基础设施安全保护的范围；业务数据多副本机制、本地保护策略、异地备份和恢复机制都应成为企业上云的必备前提。同时，服务商也应积极对照《条例》及网络安全法等法律法规，担起安全合规义务和责任，主动拥抱网络安全监管，规避合规风险，并依托创新技术，不断完善网络安全防御体系，为政府和企业用户构筑起一道云上的安全屏障。

总体来看，关键信息基础设施安全保护体系的建设更强调总体规划、技术可信、持续运营和有效性监管，要求整个行业的从业者共同协作，建立更完善的产业生态体系。陈颢明认为：“这包括但不限于——规划层面，完善基于行业属性的安全标准与最佳实践；建设层面，促进安全可信技术的发展、安全产品和运营能力的规范化评价体系；运营层面，建立更顺畅的信息共享和技术协同机制，充分发挥运营者内部自查、行业监管和国家监管的多层保障和促进作用。”