隨著資訊科技的快速發展，以及萬物互聯時代的到來，關係著國家安全、社會穩定和經濟發展的關鍵資訊基礎設施已成為網路空間安全的“必爭之地”。當前，關鍵資訊基礎設施面臨的安全形勢嚴峻，網路攻擊威脅事件頻發。持續做好關鍵資訊基礎設施安全保護、不斷推動《關鍵資訊基礎設施安全保護條例》（以下簡稱《條例》）落地實施意義重大。

在《條例》頒佈實施一週年之際，由光明網網路安全頻道、中國資訊協會資訊保安專業委員會主辦，北京六方雲資訊科技有限公司承辦的“推進落實《關鍵資訊基礎設施安全保護條例》”專題分享會在京舉行。來自各界的專家學者共聚一堂，為推進我國關鍵資訊基礎設施安全保護建言獻策。

夯實法治基底，持續推動《條例》落地實施

如果說入侵個人計算機中的病毒是一場普通感冒，那麼關鍵資訊基礎設施一旦“被感染”，便是一場重度流感。如何有效應對日益複雜的網路安全環境，保護國家關鍵資訊基礎設施安全，已經成為各介面臨的重要課題。“在《條例》釋出一週年之際，應該對其一年來為整個行業帶來的影響和變化，從管理、技術與應用等方面各界關注的問題進行深入分析，尤其應重點在落實上下功夫。”中國資訊保安雜誌社原副社長、主編崔光耀說。

分享會上，中國資訊協會資訊保安專業委員會主任葉紅表示，隨著《條例》和網路安全法、資料安全法、個人資訊保護法等“三法一條例”陸續出臺實施，我國網路安全領域法律法規體系得到了逐步完善。

“《條例》的性質不僅是法律規則彙集，也是一個‘工具箱’，是戰略引領和業務操作的規則。”北京師範大學網際網路發展研究院院長助理、中國網際網路協會研究中心副主任吳沈括認為，《條例》與新技術、新應用產生的風險相伴而生，並要求防範網路攻擊和違法犯罪活動，保障關鍵資訊基礎設施安全穩定執行，維護資料的完整性、保密性和可用性，建構以網路安全資訊共享機制為核心，不同主體共同參與保護工作的全方位系統。“《條例》對於國家基礎資訊、重要資料、個人資訊以及違法資訊治理有極高的關注，形成了關鍵資訊基礎設施安全保護制度的亮點。”吳沈括說。

《條例》頒佈實施一年來，我國關鍵資訊基礎設施領域的網路安全保護取得了諸多成果。葉紅介紹，國家層面出臺了相關標準、辦法及配套法規，部分領域、行業的網路安全防護意識進一步提升，網路安全人才結構進一步最佳化。中國科學技術大學教授左曉棟也表示，近年來，按照相關政策要求及《網路安全法》等法律法規規定，各地各領域正在全面加強網路安全工作，有力保障國家關鍵資訊基礎設施以及重要資料的安全，構建以關鍵基礎設施保護為基礎的安全保障體系勢在必行。

強化保護體系，構建多方協同機制

“我國關鍵資訊基礎設施安全保護尚處於起步階段，其安全保護理念、體系框架、最佳實踐等尚需探索和研究。”路雲天網路安全研究院副院長王少傑坦言，關鍵資訊基礎設施保護以防範安全威脅隱患、有效化解安全風險、保障業務應用的安全持續、穩定執行為目標，具備閉環管理動態化、能力迭代自動化、安全能力流程化、安全運營一體化等特徵。

北京六方雲資訊科技有限公司總裁李江力認為，當前，我國關鍵資訊基礎設施安全保護的基本措施可以總結為“三化六防”。其中，實戰化、體系化、常態化是基本要求，六防指動態防禦、主動防禦、縱深防禦、精準防護、整體防護、聯防聯控，具體工作包含分析識別、安全防護、檢測評估、監測預警、主動防禦、事件處置等六個環節。“在實際工作中，需要多種技術來支撐六個環節。”

如何進一步夯實關鍵資訊基礎設施安全保護、保障國家網路安全？葉紅談到五個方面：一是不斷健全關鍵資訊基礎設施保護體系，完善配套的標準、制度；二是關鍵資訊基礎設施安全保護主管單位要強化對相關工作的監督檢查，對既有網路系統的漏洞和弱點，以及相關行業和單位的安全環節作多角度監測；三是加強技術的攻關和創新，支援網路安全產業發展，發現並解決新技術、新應用帶來的新漏洞、新問題；四是促進網路安全人才培養，持續推動相關專業人才的職業教育，打通人才進步通道，鼓勵人才加入網路安全保障隊伍；五是加強對關鍵資訊基礎設施安全風險的預測及研判，可在網路安全研究中注重苗頭性、傾向性、潛在性風險，做好預判提前佈局防禦措施。

“關鍵資訊基礎設施保護是一個系統工程，其安全理念、本質內涵、建設實施等，需要不斷深入研究與設計實踐。加強探索構建各行業的框架體系，將成為各行業的重點工作。”針對保護體系框架設計，王少傑認為，相關工作部門及運營者在開展本行業或單位的關鍵資訊基礎設施安全保護整體規劃和體系設計時，需要綜合考慮專門安全管理機構、管理制度、業務流程、技術框架等核心要素，探索、設計、構建本行業或單位關鍵資訊基礎設施安全保護綜合管理中心，透過分析該中心的建設需求、原則目標和主要效能，逐次推進完善該中心的運營、管理、技術、隊伍、保障等能力建設，構建關鍵資訊基礎設施安全保護體系，構建“網路安全資料中臺”系統。

在李江力看來，進一步做好我國的關鍵資訊基礎設施安全保護，要在落實《條例》基礎上，同步推動安全裝置生產商自我革新，充分調動全社會的積極力量，在建立起一套完整、科學、嚴密的制度框架基礎上，落實責任、共商共建，將安全化為實體，將安心落到實處。

左曉棟還建議，推進制定關鍵資訊基礎設施安全保護計劃；同時，各部門之間進一步加強協調，認真研究這項制度，明確其本質，並對其有更加清晰的定位，推動相關法律法規落地，讓它成為維護國家安全的一個重要屏障。（記者 李政葳 孔繁鑫）