抓好“重中之重”，守好“神經(jīng)中樞”，切實筑牢國家網(wǎng)絡安全防線

——加強關鍵信息基礎設施安全保護體系和能力建設實踐

金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到攻擊的重點目標。堅持協(xié)同防護、抓好統(tǒng)籌協(xié)調、注重與時俱進，建立完善全方位、深層次的聯(lián)合防御體系，扎實有力推進關鍵信息基礎設施安全保護工作，筑牢關鍵信息基礎設施網(wǎng)絡安全屏障。

一、 深刻理解關鍵信息基礎設施保護的重要意義

黨的十八大以來，黨中央站在全局和戰(zhàn)略高度，準確把握世界互聯(lián)網(wǎng)發(fā)展潮流、國內外網(wǎng)絡安全形勢和我國互聯(lián)網(wǎng)治理實踐，系統(tǒng)闡述了事關網(wǎng)信事業(yè)發(fā)展的一系列重大理論和實踐問題，提出了一系列新理念新思想新觀點新論斷。做好關鍵信息基礎設施保護工作，必須加強黨中央對關鍵信息基礎設施保護工作的集中統(tǒng)一領導，把關鍵信息基礎設施保護工作擺在黨和國家事業(yè)全局中來謀劃，加快構建關鍵信息基礎設施安全保障體系，提升關鍵信息基礎設施保護水平。

當前，世界正經(jīng)歷百年未有之大變局，不穩(wěn)定不確定因素日益增多、國際格局復雜多變，針對關鍵信息基礎設施的高級可持續(xù)威脅、數(shù)據(jù)竊取等事件頻發(fā)，國家網(wǎng)絡安全形勢復雜嚴峻。

能源領域。2019年3月7日，委內瑞拉古里水電站發(fā)電系統(tǒng)遭受網(wǎng)絡攻擊，導致全國23個州中的18個州發(fā)生停電，加拉加斯和委內瑞拉大部分地區(qū)停電超過24小時，停電導致加拉加斯地鐵無法運行和大規(guī)模交通擁堵，城市最大的機場受停電影響且備用發(fā)電機也失效，手機和網(wǎng)絡都無法正常使用。2021年5月，美國最大的成品油管道系統(tǒng)運營商遭遇勒索軟件攻擊，攻擊導致燃油輸送管線被迫關停，東海岸45%的燃料供應暫停，美國交通部宣布受影響區(qū)域實施緊急狀態(tài)。

金融領域。2021年10月，巴基斯坦國家銀行遭受破壞性網(wǎng)絡攻擊，影響了銀行的自動取款機、內部網(wǎng)絡和移動應用程序，使得銀行部分系統(tǒng)癱瘓，導致資金擠兌。2022年2月15日，烏克蘭兩家國有銀行Privatbank和Oschadbank遭受DDoS攻擊，導致銀行客戶無法正常訪問網(wǎng)上銀行賬戶。

通信領域。2021年9月，新西蘭第三大電信運營商Vocus遭DDoS攻擊，導致全國多地斷網(wǎng)達30分鐘，包括奧克蘭、惠靈頓及基督城等多個大城市受到影響。2022年2月，國際電信運營商沃達豐葡萄牙公司遭網(wǎng)絡攻擊，該公司4G和5G網(wǎng)絡被迫中斷，固定電話、電視、短信等服務癱瘓，大部分客戶數(shù)據(jù)服務被迫下線。

這些案例為我們敲響了警鐘。我國關鍵信息基礎設施面臨較大風險隱患，網(wǎng)絡安全態(tài)勢感知、監(jiān)測預警、應急處置特別是追蹤溯源能力不足，安全防護多采用合規(guī)性靜態(tài)防護、圍墻式單點防護，難以有效應對國家級、有組織的高強度網(wǎng)絡攻擊。筑牢關鍵信息基礎設施安全保護防線，對于國家總體安全至關重要。

二、 大力推進關鍵信息基礎設施保護工作走深走實

（一）加強頂層設計，出臺《關鍵信息基礎設施安全保護條例》

中央網(wǎng)信辦會同工業(yè)和信息化部、公安部等部門制定出臺《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）。2021年8月17日正式公布，自2021年9月1日起施行。出臺《條例》是近年來國家網(wǎng)絡安全和信息化工作成功經(jīng)驗的制度化提升，回應了社會各界對加強關鍵信息基礎設施安全保護的關注，為我國深入開展關鍵信息基礎設施安全保護工作提供有力法治保障。貫徹落實《條例》有關要求，保護工作部門結合本行業(yè)、本領域實際，制定出臺相關管理辦法，交通運輸部發(fā)布《公路水路關鍵信息基礎設施安全保護管理辦法》，國家鐵路局制定《鐵路關鍵信息基礎設施安全保護管理辦法》，推動各行業(yè)領域關鍵信息基礎設施安全保護水平不斷提升。

（二）突出規(guī)范引領，發(fā)布關鍵信息基礎設施安全標準

2022年11月，市場監(jiān)管總局、中央網(wǎng)信辦、公安部聯(lián)合召開《信息安全技術關鍵信息基礎設施安全保護要求》（GB/T39204-2022）國家標準發(fā)布宣貫會。該標準是關鍵信息基礎設施安全保護標準體系的構建基礎，2023年5月1日正式實施。標準提出了以關鍵業(yè)務為核心的整體防控、以風險管理為導向的動態(tài)防護、以信息共享為基礎的協(xié)同聯(lián)防的關鍵信息基礎設施3項基本原則，從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等6個方面提出111條安全要求，為運營者開展關鍵信息基礎設施安全保護工作提供了強有力的標準保障。

（三）抓好關鍵環(huán)節(jié)，保障關鍵信息基礎設施供應鏈安全

建立網(wǎng)絡安全審查制度，制定出臺《網(wǎng)絡安全審查辦法》，保障關鍵信息基礎設施供應鏈安全。關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務，要依據(jù)行業(yè)網(wǎng)絡安全審查預判指南，預判該產(chǎn)品和服務投入使用后可能帶來的網(wǎng)絡安全風險。對于影響或者可能影響國家安全的，應當申報網(wǎng)絡安全審查。出臺《云計算服務安全評估辦法》，提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平。

（四）創(chuàng)新人才培養(yǎng)，構建教育技術產(chǎn)業(yè)融合發(fā)展良性生態(tài)

人才是強國之本、興邦大計。網(wǎng)絡安全人才是筑牢網(wǎng)絡安全屏障、維護國家網(wǎng)絡安全的第一資源。深入研究網(wǎng)絡安全人才與創(chuàng)新發(fā)展規(guī)律，深化國家網(wǎng)絡安全人才與創(chuàng)新基地、國家網(wǎng)絡安全教育技術產(chǎn)業(yè)融合發(fā)展試驗區(qū)建設，打造國家網(wǎng)絡安全人才高地、創(chuàng)新高地、產(chǎn)業(yè)集聚區(qū)。持續(xù)深化一流網(wǎng)絡安全學院示范項目建設，圍繞網(wǎng)絡安全基礎理論、開源軟件安全等，建設完善課程、教材、實驗環(huán)境等教學體系，培養(yǎng)高校學生自主創(chuàng)新能力。破除“唯論文”評價機制，建立以實際能力和貢獻為導向的評價標準，將教師和學生承擔的重大研究課題和工程、企業(yè)創(chuàng)新任務、基礎開源代碼等貢獻重大成果視同高水平學術論文。創(chuàng)新企業(yè)和高校聯(lián)合培養(yǎng)機制，大力實施網(wǎng)絡安全學院學生創(chuàng)新資助計劃，由企業(yè)根據(jù)網(wǎng)絡安全實際需求和產(chǎn)業(yè)共性問題提出創(chuàng)新任務，遴選并資助優(yōu)秀在校學生開展創(chuàng)新研究，引導學生開展基礎創(chuàng)新，提升學生解決實際問題的能力，培養(yǎng)交叉型、復合型、實用型網(wǎng)絡安全創(chuàng)新人才。

三、 筑牢關鍵信息基礎設施網(wǎng)絡安全屏障

（一）堅持協(xié)同防護，構建完善關鍵信息基礎設施聯(lián)合防御體系

當前，我國關鍵信息基礎設施數(shù)量多、分布廣，需要防護的環(huán)節(jié)鏈條長，加之安全形勢瞬息萬變，僅靠自主保護、分兵把守，難以應對日益猖獗的國家級、高強度、有組織的網(wǎng)絡攻擊。做好關鍵信息基礎設施安全保護工作，關鍵是要堅持系統(tǒng)觀念，全國“一盤棋”一體謀劃，集中國家優(yōu)勢資源，加強跨行業(yè)、跨部門、跨地區(qū)協(xié)作協(xié)同，建立全域聯(lián)動、立體高效的聯(lián)合防御體系。為進一步明確相關部門單位在聯(lián)合防御體系中的工作職責，確保各部門各單位“擰成一股繩”，形成整體合力，我國建立了國家關鍵信息基礎設施保護的“三層責任”。

第一層責任是關鍵信息基礎設施運營者全面落實安全保護主體責任。堅持“誰運營、誰負直接責任”的原則，運營者要建立健全網(wǎng)絡安全保護制度，嚴格落實黨委（黨組）網(wǎng)絡安全工作責任制，保障人財物投入；開展網(wǎng)絡安全檢測和風險評估并及時整改；建立并落實網(wǎng)絡安全事件和網(wǎng)絡安全威脅報告制度，力爭做到重大威脅和風險自身化解，防止向行業(yè)和國家傳導擴散。

第二層責任是保護工作部門落實好監(jiān)督管理責任。堅持“誰主管、誰負主要責任”的原則，保護工作部門要結合行業(yè)特點制定關鍵信息基礎設施安全規(guī)劃；建立健全網(wǎng)絡安全監(jiān)測預警制度，預警通報網(wǎng)絡安全威脅和隱患，指導運營者做好安全防范；定期組織應急演練，指導運營者做好網(wǎng)絡安全事件的應對處置；組織開展網(wǎng)絡安全檢查檢測，指導監(jiān)督運營者及時進行整改。

第三層責任是國家網(wǎng)信部門、國家有關職能部門要做好協(xié)調、監(jiān)督、指導以及安全保衛(wèi)等責任。在中央網(wǎng)信辦統(tǒng)籌協(xié)調下，公安、安全、保密、密碼等有關單位各司其職、分工協(xié)作，向運營者提供技術支持和協(xié)助，防范打擊網(wǎng)絡違法犯罪活動，防范境外來源重大安全威脅和風險，齊心協(xié)力做好關鍵信息基礎設施安全保護工作，切實做到關口前移，防患于未然。

（二）抓好統(tǒng)籌協(xié)調，形成關鍵信息基礎設施安全保護工作“一盤棋”

中央網(wǎng)信辦切實抓好政策統(tǒng)籌、信息統(tǒng)籌、標準統(tǒng)籌、督查統(tǒng)籌、人才統(tǒng)籌等“五個統(tǒng)籌”工作，協(xié)調各地區(qū)各部門形成優(yōu)勢互補、合作共贏的良好局面，持續(xù)推進各項工作要求落地實施，確保重點任務落到實處、取得實效。

政策統(tǒng)籌。牽頭推進關鍵信息基礎設施安全保護政策法規(guī)制定，協(xié)調保護工作部門制定本行業(yè)本領域關鍵信息基礎設施安全規(guī)劃，指導運營者強化網(wǎng)絡安全技術手段建設，切實提升安全防護能力。

信息統(tǒng)籌。牽頭做好網(wǎng)絡安全信息共享和預警通報，建立健全國家網(wǎng)絡安全事件應急工作機制，指導保護工作部門、運營者切實做好監(jiān)測預警、事件處置、調查評估以及預防工作，希望實現(xiàn)“一點發(fā)現(xiàn)、全網(wǎng)防護”，提高應對網(wǎng)絡安全事件能力，保障關鍵信息基礎設施安全穩(wěn)定運行。

標準統(tǒng)籌。牽頭指導梳理關鍵信息基礎設施安全保護標準體系，研究形成基礎類、識別類、實施類、評估類等四類標準，加快推動相關標準的發(fā)布和試點示范。鼓勵行業(yè)主管部門和研究機構，結合行業(yè)實際情況制定行業(yè)標準，進一步細化落實制度要求，為關鍵信息基礎設施保護實踐提供技術支撐和方法指引。

督查統(tǒng)籌。牽頭開展關鍵信息基礎設施安全保護制度落實情況的督查，建立完善運營者自查、保護工作部門檢查、中央網(wǎng)信辦聯(lián)合相關部門督查的三級督查評估工作機制，結合《黨委（黨組）網(wǎng)絡安全工作責任制實施辦法》要求，夯實運營者主體責任和保護工作部門監(jiān)管責任。

人才統(tǒng)籌。統(tǒng)籌組織關鍵信息基礎設施行業(yè)網(wǎng)絡安全人才培養(yǎng)培訓，重點面向保護工作部門分管本行業(yè)領域關鍵信息基礎設施安全保護工作負責同志、關鍵信息基礎設施保護責任司局相關負責同志，以及運營者首席網(wǎng)絡安全官等重要人員，圍繞政策法規(guī)、實踐案例以及產(chǎn)業(yè)保障等方面開展工作培訓，提升關鍵信息基礎設施保護工作能力水平。

（三）注重與時俱進，不斷推進關鍵信息基礎設施保護走上新臺階

抓好“入口關”。結合行業(yè)新形式新變化，按照關鍵信息基礎設施數(shù)量宜精不宜多、范圍宜窄不宜寬、架構宜整不宜散的原則，進一步完善關鍵信息基礎設施認定工作，確保將優(yōu)勢資源集中投入到重點保護對象。

把好“標準關”。體系化推進關鍵信息基礎設施標準研制工作，對于運營者迫切需要的標準，加快推進研制發(fā)布；對于不再適應當前技術發(fā)展趨勢的，及時調整標準定位，進行整合或停止研制，確保關鍵信息基礎設施標準及時有效、好用管用。

守好“質量關”。研究建立關鍵信息基礎設施能力評估工作機制，明確關鍵信息基礎設施安全防護能力指標體系，旨在推動監(jiān)管評價機制由“達標式”監(jiān)管，“合規(guī)式”檢查，只要達到“及格線”就可以，進一步向綜合能力評估模式轉變。（作者郭濤，系中央網(wǎng)信辦網(wǎng)絡安全協(xié)調局副局長、一級巡視員，本文刊登于《中國信息安全》雜志2023年第9期。）

來源： 《中國信息安全》雜志