文 | 綠盟科技 張睿 周悅

從1994 年《中華人民共和國計算機信息系統安全保護條例》開始，我國網絡安全建設事業不斷向前發展。《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）的推出，标志着我國網絡安全建設工作已經由構築安全底線逐步向明确關鍵、抓住重點的高質量發展方向邁進。關鍵信息基礎設施保護工作需把握行業化的發展趨勢，兼顧通用綜合實踐框架與行業内部要求與業務特征，持續有效投入，保障相關安全保障任務的有序進行。

一、強化行業主體責任

《條例》自 2017 年公開征求意見，經曆四年間多稿修改完善，形成當前六章五十一條的結構。《條例》于内容上不但明确了監管、運營者等多方責任，單獨強調了能源、電信等關鍵信息基礎設施的重要性，還明确了國家網信部門統籌協調、公安指導監督、國務院電信主管部門及其他有關部門分工協作的治理體系。

《條例》綜合協調、分工負責的監管治理體系秉持了《中華人民共和國網絡安全法》的責任劃分原則，但較《中華人民共和國計算機信息系統安全保護條例》進一步突出了行業監管部門的責任，明确行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門，負責制定關鍵信息基礎設施認定規則。

網絡安全保障體系建設逐步行業化是我國網絡安全産業未來的發展方向。首先，細化明确責任主體可以有效降低齊抓共管背景下的管理風險，防範因責任邊界劃分模糊導緻無法保證網絡安全保障工作落實質量；其次，細化行業主體責任，能夠充分調動各方主體積極性，發揮分工協作效率，提升行業内監管機構于本行業合規建設的參與度，強化行業自律，保障和推動産業經濟平穩發展；最後，基于行業特性進行關鍵信息基礎設施認定、保護等一系列工作，可以發揮行業内監管方及被監管方的業務與資源優勢，優化資源配置，有的放矢，以更專業的視角明确保護主體，真正實現最關鍵的信息基礎設施獲得最優先保護的目标。

圖1 責任主體

二、通用綜合實踐框架

《條例》強化行業監管責任，能夠有效發揮行業内監管機構積極性，為推動關鍵基礎設施有效落實到行業，還需要采取科學的治理架構，結合行業特性，積極采用各類信息化手段，以統一高效的平台化手段構建監管能力。

關鍵信息基礎設施的所有者、運營方等責任主體遵守各項法律要求的同時，針對關鍵信息基礎設施保護需要兼顧信息系統等級保護、商用密碼應用安全保護的要求，從安全設計、建設等各方面實現安全要求全覆蓋的同時，規避因重複建設導緻的管理分離和資源浪費。行業内領先機構應積極構建和推行标準體系，不斷引導其他企業完善關鍵信息基礎設施的保護工作，實現高效牽引。

圖2 通用綜合實踐框架

在流程方面，關鍵信息基礎設施保護需遵循先認定後實施的總體步驟。其中，關鍵信息基礎設施保護工作部門需結合本行業、本領域實際，制定關鍵信息基礎設施認定規則，經報國務院公安部門備案後進行明确。保護工作及實施工作需遵循安全防護、持續監測、應急響應、持續提升的閉環管理流程，保障相關信息系統于上線後即使内外部環境、配置、策略變更，依然保持控制有效。

在平台方面，關鍵信息基礎設施應當充分發揮大數據、工業互聯網、人工智能相關技術，實現流量、日志、威脅情報的合理采集、清洗、範式化工作。引入主動防禦技術，支持安全威脅檢測、攻擊畫像等數據分析功能。在綜合管控方面，需要兼顧态勢感知、通報預警、指揮調度、安全應急的功能，并設計實現行業内、企業間的威脅數據和情報共享，支撐平台的安全監測能力不斷提升。此外，因關鍵信息基礎設施保護工作受國家網信部門、公安部、行業内相關部門等多機構監管，針對相關監管數據的上報需單獨預留接口，為未來向上報送數據進行設計。

三、關注業務連續性保障

關鍵信息基礎設施保護主體範圍涵蓋公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域，其蘊含了為社會生産和居民生活提供公共服務的重要特性。在數據保護方面，凡是大範圍采集民衆信息的關鍵信息系統，因數據洩露、破壞所帶來的負面影響均較一般信息系統所波及的範圍更廣，危害更大，所以，數據安全需要單獨設計。而衆多關鍵信息基礎設施并不直接大範圍采集用戶數據，也不涉及國家、商業機密，如制造工藝流程、産品參數等信息，其根本任務是保障民衆日常生活不受影響，如電信服務、電力調度、油氣輸配、交通服務、水利調度等均對業務連續性保障提出了極高的要求。所以，圍繞安全保障的機密性、完整性、可用性目标，相關的關鍵信息基礎設施的可用性成為安全三要素的首要保護重點。

關鍵信息基礎設施業務連續性保護依據時間敏感度針對相應業務單獨設計，時間敏感性需要考量三大參數，分别為恢複點目标（RPO）、恢複時間目标（RTO）、最大業務中斷時間（MTD）。對數據丢失極度敏感的關鍵業務如金融行業，需要明确相關系統 RPO，确定能夠容忍的數據丢失量，依此進行數據備份與恢複設計。對于業務可用性非常重要的關鍵信息基礎設施，必須明确業務恢複時間RTO，以及表征最長業務中斷時間的 MTD 指标參數。電信系統、電力調度、油氣輸配等關鍵信息基礎設施對業務中斷時間擁有極高的敏感性，相關業務中斷後，将迅速波及用戶，造成大規模負面影響。基于業務連續性要求，需要針對相關業務進行業務影響分析，采用風險管理框架，梳理業務依賴的信息化資産，綜合考慮相關資産内部脆弱性、資産暴漏面、外部威脅，評估相關業務風險。通過定性與定量風險評估，再次依據風險大小，在綜合考慮國家安全、公共利益、社會影響、成本效益多個因素的基礎上，采取合理的風險處置措施。

關鍵信息基礎設施風險的處置較一般信息系統擁有一大關鍵性差異，一般信息系統因其重商業屬性，可以采取外包、購買商業保險的方式進行風險轉移，但其本質是降低能夠以貨币進行衡量的資産損失。關鍵信息基礎設施因其承載了極強的服務社會生産和居民生活的屬性，不能單獨以貨币計量，部分系統的風險控制措施甚至超越傳統财務領域成本效益原則，所以，必須以更高的安全治理視角進行級别對等的安全防護。此外，因行業屬性、業務關鍵性差異，用于處置各類安全事件的應急響應流程與方案也需分類、分級，科學更新維護，并依照一定頻率進行不同級别的演練，使應急響應方案達到可執行的目标。

四、堅持持續有效投入

《條例》明确運營者應當建立健全網絡安全保護制度和責任制，保障人力、财力、物力投入，同時強調了省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。

構建行業監管能力不但要求頂層設計、底層落地，更要求持續不斷投入。持續有效的安全投入是保證網絡安全産業高速健康發展、實現産業規模化的基礎，《條例》強調網絡安全投入，進一步表明國家推動網絡安全工作紮實落地的核心訴求與堅定決心。

圖3 持續有效投入

網絡安全産業的良性發展首先需要國家頂層法律、法規體系的不斷建設和完善，推動各級政府配套建立網絡安全産業發展政策，鼓勵各級财政投資信息化項目中同步配套建設網絡安全技術措施，并在項目驗收階段加強對網絡安全方面的評審。

其次，需要推動重點行業、企業組織加大網絡安全投入，以有效需求牽引供給，從而保障關鍵信息基礎設施保護工作在内的各項網絡安全工作紮實落地。行業内擁有核心資産、國家關鍵技術的企業應該加大網絡安全投入，單獨列支網絡安全預算，推動網絡安全技術、産品和服務部署應用，穩步落實網絡安全與企業業務發展相同步。

最後，網絡安全廠商及相關服務方，需要不斷加大研發投入，強化知識産權保護和技術創新，在需求端不斷牽引下，持續推動網絡安全産品向服務化、高級化轉變，以高質量供給創造高層次需求，實現供給與需求的有機雙向促進。從而促使擁有核心關鍵技術的網絡安全企業能夠進一步整合産業鍊，做大做強，形成産業生态，推動我國網絡安全産業整體的規模化發展。

（本文刊登于《中國信息安全》雜志2021年第9期）

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!