《关键信息基础设施安全保护条例》推动网络安全产业迈向高质量发展

从1994 年《中华人民共和国计算机信息系统安全保护条例》开始，我国网络安全建设事业不断向前发展。《关键信息基础设施安全保护条例》(以下简称《条例》)的推出，标志着我国网络安全建设工作已经由构筑安全底线逐步向明确关键、抓住重点的高质量发展方向迈进。关键信息基础设施保护工作需把握行业化的发展趋势，兼顾通用综合实践框架与行业内部要求与业务特征，持续有效投入，保障相关安全保障任务的有序进行。

一、强化行业主体责任

《条例》自 2017 年公开征求意见，经历四年间多稿修改完善，形成当前六章五十一条的结构。《条例》于内容上不但明确了监管、运营者等多方责任，单独强调了能源、电信等关键信息基础设施的重要性，还明确了国家网信部门统筹协调、公安指导监督、国务院电信主管部门及其他有关部门分工协作的治理体系。

《条例》综合协调、分工负责的监管治理体系秉持了《中华人民共和国网络安全法》的责任划分原则，但较《中华人民共和国计算机信息系统安全保护条例》进一步突出了行业监管部门的责任，明确行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门，负责制定关键信息基础设施认定规则。

网络安全保障体系建设逐步行业化是我国网络安全产业未来的发展方向。首先，细化明确责任主体可以有效降低齐抓共管背景下的管理风险，防范因责任边界划分模糊导致无法保证网络安全保障工作落实质量；其次，细化行业主体责任，能够充分调动各方主体积极性，发挥分工协作效率，提升行业内监管机构于本行业合规建设的参与度，强化行业自律，保障和推动产业经济平稳发展；最后，基于行业特性进行关键信息基础设施认定、保护等一系列工作，可以发挥行业内监管方及被监管方的业务与资源优势，优化资源配置，有的放矢，以更专业的视角明确保护主体，真正实现最关键的信息基础设施获得最优先保护的目标。

图1 责任主体

二、通用综合实践框架

《条例》强化行业监管责任，能够有效发挥行业内监管机构积极性，为推动关键基础设施有效落实到行业，还需要采取科学的治理架构，结合行业特性，积极采用各类信息化手段，以统一高效的平台化手段构建监管能力。

关键信息基础设施的所有者、运营方等责任主体遵守各项法律要求的同时，针对关键信息基础设施保护需要兼顾信息系统等级保护、商用密码应用安全保护的要求，从安全设计、建设等各方面实现安全要求全覆盖的同时，规避因重复建设导致的管理分离和资源浪费。行业内领先机构应积极构建和推行标准体系，不断引导其他企业完善关键信息基础设施的保护工作，实现高效牵引。

图2 通用综合实践框架

在流程方面，关键信息基础设施保护需遵循先认定后实施的总体步骤。其中，关键信息基础设施保护工作部门需结合本行业、本领域实际，制定关键信息基础设施认定规则，经报国务院公安部门备案后进行明确。保护工作及实施工作需遵循安全防护、持续监测、应急响应、持续提升的闭环管理流程，保障相关信息系统于上线后即使内外部环境、配置、策略变更，依然保持控制有效。

在平台方面，关键信息基础设施应当充分发挥大数据、工业互联网、人工智能相关技术，实现流量、日志、威胁情报的合理采集、清洗、范式化工作。引入主动防御技术，支持安全威胁检测、攻击画像等数据分析功能。在综合管控方面，需要兼顾态势感知、通报预警、指挥调度、安全应急的功能，并设计实现行业内、企业间的威胁数据和情报共享，支撑平台的安全监测能力不断提升。此外，因关键信息基础设施保护工作受国家网信部门、公安部、行业内相关部门等多机构监管，针对相关监管数据的上报需单独预留接口，为未来向上报送数据进行设计。

三、关注业务连续性保障

关键信息基础设施保护主体范围涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域，其蕴含了为社会生产和居民生活提供公共服务的重要特性。在数据保护方面，凡是大范围采集民众信息的关键信息系统，因数据泄露、破坏所带来的负面影响均较一般信息系统所波及的范围更广，危害更大，所以，数据安全需要单独设计。而众多关键信息基础设施并不直接大范围采集用户数据，也不涉及国家、商业机密，如制造工艺流程、产品参数等信息，其根本任务是保障民众日常生活不受影响，如电信服务、电力调度、油气输配、交通服务、水利调度等均对业务连续性保障提出了极高的要求。所以，围绕安全保障的机密性、完整性、可用性目标，相关的关键信息基础设施的可用性成为安全三要素的首要保护重点。

关键信息基础设施业务连续性保护依据时间敏感度针对相应业务单独设计，时间敏感性需要考量三大参数，分别为恢复点目标(RPO)、恢复时间目标(RTO)、最大业务中断时间(MTD)。对数据丢失极度敏感的关键业务如金融行业，需要明确相关系统 RPO，确定能够容忍的数据丢失量，依此进行数据备份与恢复设计。对于业务可用性非常重要的关键信息基础设施，必须明确业务恢复时间RTO，以及表征最长业务中断时间的 MTD 指标参数。电信系统、电力调度、油气输配等关键信息基础设施对业务中断时间拥有极高的敏感性，相关业务中断后，将迅速波及用户，造成大规模负面影响。基于业务连续性要求，需要针对相关业务进行业务影响分析，采用风险管理框架，梳理业务依赖的信息化资产，综合考虑相关资产内部脆弱性、资产暴漏面、外部威胁，评估相关业务风险。通过定性与定量风险评估，再次依据风险大小，在综合考虑国家安全、公共利益、社会影响、成本效益多个因素的基础上，采取合理的风险处置措施。

关键信息基础设施风险的处置较一般信息系统拥有一大关键性差异，一般信息系统因其重商业属性，可以采取外包、购买商业保险的方式进行风险转移，但其本质是降低能够以货币进行衡量的资产损失。关键信息基础设施因其承载了极强的服务社会生产和居民生活的属性，不能单独以货币计量，部分系统的风险控制措施甚至超越传统财务领域成本效益原则，所以，必须以更高的安全治理视角进行级别对等的安全防护。此外，因行业属性、业务关键性差异，用于处置各类安全事件的应急响应流程与方案也需分类、分级，科学更新维护，并依照一定频率进行不同级别的演练，使应急响应方案达到可执行的目标。

四、坚持持续有效投入

《条例》明确运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入，同时强调了省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。

构建行业监管能力不但要求顶层设计、底层落地，更要求持续不断投入。持续有效的安全投入是保证网络安全产业高速健康发展、实现产业规模化的基础，《条例》强调网络安全投入，进一步表明国家推动网络安全工作扎实落地的核心诉求与坚定决心。

图3 持续有效投入

网络安全产业的良性发展首先需要国家顶层法律、法规体系的不断建设和完善，推动各级政府配套建立网络安全产业发展政策，鼓励各级财政投资信息化项目中同步配套建设网络安全技术措施，并在项目验收阶段加强对网络安全方面的评审。

其次，需要推动重点行业、企业组织加大网络安全投入，以有效需求牵引供给，从而保障关键信息基础设施保护工作在内的各项网络安全工作扎实落地。行业内拥有核心资产、国家关键技术的企业应该加大网络安全投入，单独列支网络安全预算，推动网络安全技术、产品和服务部署应用，稳步落实网络安全与企业业务发展相同步。

最后，网络安全厂商及相关服务方，需要不断加大研发投入，强化知识产权保护和技术创新，在需求端不断牵引下，持续推动网络安全产品向服务化、高级化转变，以高质量供给创造高层次需求，实现供给与需求的有机双向促进。从而促使拥有核心关键技术的网络安全企业能够进一步整合产业链，做大做强，形成产业生态，推动我国网络安全产业整体的规模化发展。

转载请注明来自网盾网络安全培训，本文标题：《《关键信息基础设施安全保护条例》推动网络安全产业迈向高质量发展》

标签：网络安全关键信息发展