《关键信息基础设施安全保护条例》为网络强国建设奠定坚实基础

基础设施是社会运行的底座，其重要性不言而喻。随着云计算、大数据、人工智能、物联网、区块链和4G/5G等新一代信息技术的蓬勃发展，促进通信基础设施向着宽带化、云化和软件定义迅速演进，并加速融合到传统行业基础设施。然而先进技术都有双刃剑的特性，信息技术尤其如此，其漏洞与薄弱环节也容易被恶意利用。基础设施对信息技术的依赖性越深其受影响就越大，特别是对重要行业和领域，基础设施的安全问题可能严重危及国家安全、国计民生、公共利益等。

当前，我国关键信息基础设施的网络安全形势严峻，网络安全漏洞和相关攻击行为仍然在持续增长。为了维护我国国家利益和第二个百年发展目标，现在国务院正式发布《关键信息基础设施安全保护条例》，将我国网络安全工作实践经验总结并上升为法规制度，将有力支撑我国网络安全技术和产业的创新发展，为网络强国建设奠定坚实基础。

各国高度重视关键信息基础设施安全

近年来，关键信息基础设施的安全保护受到世界各国的重视。美国早在2001年起先后颁布了《2001年关键基础设施保护法》、《改进关键基础设施网络安全行政令》和《增强联邦政府网络与关键基础设施网络安全行政令》等相关法律文件。明确规范了保护重点、多层次保护组织架构、风险评估方法和衡量评价方案及指标体系。

欧盟从2008年起出台了《2008年欧盟关键基础设施认定和安全评估指令》和《2016年网络与信息安全指令》等关键基础设施保护法律文件。从制定欧洲广泛适用的标准和方法、建立欧洲信息共享和预警机制、制定应急预案并进行应急响应和恢复演习等方面确保互联网的稳定性和应急能力为欧盟优先发展事项。

日本在2005年制订并于2009年和2015年修订《关键信息基础设施信息安全措施行动计划》，规范了正常与危机时的信息共享机制、跨部门的演习与培训、国家与运营者的二级风险管理、标准认证与国际合作、相关方的利益与行动等。

此外，不少国家对关键信息基础设施的安全保护也建立了相应的法律。例如俄罗斯2017年颁布了《联邦关键信息基础设施安全法》，澳大利亚2018年颁布了《关键基础设施安全法》。

早在2014年2月，中央网络安全和信息化领导小组第一次会议指出，要抓紧制定立法规划，完善互联网信息内容管理、关键信息基础设施保护等法律法规，依法治理网络空间，维护公民合法权益。2016年4月，国家召开的网络安全和信息化工作座谈会上明确要求要加快构建关键信息基础设施安全保障体系。

2017年11月，我国颁布了《中华人民共和国网络安全法》，其中专门有一节为“关键信息基础设施的运行安全”，要求在等级保护制度基础上对关键信息基础设施实施重点保护。同年发布了《关键信息基础设施安全保护条例》征求意见稿，与国家《密码法》、《数据安全法》等一起作为网络安全法重要配套法规，历经四年多的实践，现在国务院正式发布并于2021年9月1日起实施。

信息基础设施网络安全形势仍然严峻

金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。“物理隔离”防线可被跨网入侵，电力调配指令可被恶意篡改，金融交易信息可被窃取，这些都是重大风险隐患。不出问题则已，一出就可能导致交通中断、金融紊乱、电力瘫痪等问题，具有很大的破坏性和杀伤力。我们必须深入研究，采取有效措施，切实做好国家关键信息基础设施安全防护。

这几年的实践表明，国家网络安全法及其配套的政策法规对促进我国关键信息基础设施的安全保护起到十分重要的作用。据工信部网络安全威胁和漏洞信息共享平台监测数据，2021年上半年我国DDoS攻击次数同比减少51.9%，僵尸木马受控事件同比减少58.8%；境内恶意程序传播、恶意程序控制端IP地址和域名等恶意网络资源同比下降67.4%，被篡改网站数量同比减少86.5%。

但同时要清醒认识到关键信息基础设施的网络安全形势仍然严峻，网络安全漏洞和相关攻击行为仍然在持续增长，2021年上半年，工信部网络安全威胁和漏洞信息共享平台新增收录的网络产品漏洞已达到2020年全年的58.5%，利用漏洞对境内主机进行扫描探测、植入木马等远程攻击行为的恶意IP超120万个，55.7%来自境外。特别是针对电子设备、专用设备、电气机械和器材制造等重要工业互联网领域的网络攻击仍在持续增长，2021年上半年，国家工业互联网安全态势感知与风险预警平台监测到针对我国工业领域的网络攻击同比增幅超2倍，遭受网络攻击的工业企业同比增长57.2%。勒索病毒攻击仍然异常活跃，据Cybersecurity Ventures的预测，到2021年全球勒索软件破坏成本将达到200亿美元，是2015年的57倍。利用产品软件官网或者软件包存储库等进行传播的供应链攻击已成为2020年最具影响力的高级威胁之一。据VenusEye 威胁情报中心数据，过去一年多，我国在全球受僵尸网络控制的各类物联网设备数量中我国占比最高。从全球来看，2020年关键信息基础设施安全事件越来越隐蔽，而且危害越来越大。

保护条例为网络强国建设奠定坚实基础

面对关键信息基础设施错综复杂的严峻形势，为了维护我国国家利益和第二个百年发展目标，现在国务院正式发布《关键信息基础设施安全保护条例》，意义十分重大。

一是该条例定义了关键信息基础设施，给出认定规则的主要因素，明确认定的责任主体及程序。

二是该条例突出了国家对关键信息基础设施的总体部署与统筹协调，界定了国务院相关部委及地方政府的职责，坚持综合协调、分工负责、安全保护和监督管理。

三是该条例明确了关键信息基础设施运营者主体责任，包括制度建立、组织落实、经费保障、教育培训、监测评估、应急演练和定期报告及事件报告，以及违法应承担的法律责任等。

四是该条例对建立网络安全生态链给出明确的要求，安全保护措施要与关键信息基础设施三同步（规划、建设、使用）；运营者需对关键信息基础设施设计、建设、运行、维护等服务实施安全管理；运营者应优先采购安全可信网络产品和服务，并通过与供货商签订安全保密协议和监督以明确提供者的技术支持和安全保密义务与责任；国家优先保障能源和电信等关键信息基础设施安全运行，能源和电信行业应为其他行业和领域的关键信息基础设施安全运行提供重点保障；国家支持关键信息基础设施安全防护技术创新和产业发展并组织技术攻关；国家加强网络安全军民融合，军地协同保护关键信息基础设施安全。

五是细化操作的纪律要求，例如安全检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。在安全保护工作中获取的信息，不得泄露、出售或者非法向他人提供。未经国家有关部门和运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。

总之，《关键信息基础设施安全保护条例》将我国网络安全工作实践经验总结并上升为法规制度，为关键信息基础设施安全保护工作提供法治保障，同时给出了可操作的执行要求，将有力支撑我国网络安全技术和产业的创新发展，为网络强国建设奠定坚实基础。

作者单位：中国互联网协会咨询委员会