抓好“重中之重”，守好“神经中枢”，切实筑牢国家网络安全防线

——加强关键信息基础设施安全保护体系和能力建设实践

　　金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到攻击的重点目标。坚持协同防护、抓好统筹协调、注重与时俱进，建立完善全方位、深层次的联合防御体系，扎实有力推进关键信息基础设施安全保护工作，筑牢关键信息基础设施网络安全屏障。

　　一、 深刻理解关键信息基础设施保护的重要意义

　　党的十八大以来，党中央站在全局和战略高度，准确把握世界互联网发展潮流、国内外网络安全形势和我国互联网治理实践，系统阐述了事关网信事业发展的一系列重大理论和实践问题，提出了一系列新理念新思想新观点新论断。做好关键信息基础设施保护工作，必须加强党中央对关键信息基础设施保护工作的集中统一领导，把关键信息基础设施保护工作摆在党和国家事业全局中来谋划，加快构建关键信息基础设施安全保障体系，提升关键信息基础设施保护水平。

　　当前，世界正经历百年未有之大变局，不稳定不确定因素日益增多、国际格局复杂多变，针对关键信息基础设施的高级可持续威胁、数据窃取等事件频发，国家网络安全形势复杂严峻。

　　能源领域。2019年3月7日，委内瑞拉古里水电站发电系统遭受网络攻击，导致全国23个州中的18个州发生停电，加拉加斯和委内瑞拉大部分地区停电超过24小时，停电导致加拉加斯地铁无法运行和大规模交通拥堵，城市最大的机场受停电影响且备用发电机也失效，手机和网络都无法正常使用。2021年5月，美国最大的成品油管道系统运营商遭遇勒索软件攻击，攻击导致燃油输送管线被迫关停，东海岸45%的燃料供应暂停，美国交通部宣布受影响区域实施紧急状态。

　　金融领域。2021年10月，巴基斯坦国家银行遭受破坏性网络攻击，影响了银行的自动取款机、内部网络和移动应用程序，使得银行部分系统瘫痪，导致资金挤兑。2022年2月15日，乌克兰两家国有银行Privatbank和Oschadbank遭受DDoS攻击，导致银行客户无法正常访问网上银行账户。

　　通信领域。2021年9月，新西兰第三大电信运营商Vocus遭DDoS攻击，导致全国多地断网达30分钟，包括奥克兰、惠灵顿及基督城等多个大城市受到影响。2022年2月，国际电信运营商沃达丰葡萄牙公司遭网络攻击，该公司4G和5G网络被迫中断，固定电话、电视、短信等服务瘫痪，大部分客户数据服务被迫下线。

　　这些案例为我们敲响了警钟。我国关键信息基础设施面临较大风险隐患，网络安全态势感知、监测预警、应急处置特别是追踪溯源能力不足，安全防护多采用合规性静态防护、围墙式单点防护，难以有效应对国家级、有组织的高强度网络攻击。筑牢关键信息基础设施安全保护防线，对于国家总体安全至关重要。

　　二、 大力推进关键信息基础设施保护工作走深走实

　　（一）加强顶层设计，出台《关键信息基础设施安全保护条例》

　　中央网信办会同工业和信息化部、公安部等部门制定出台《关键信息基础设施安全保护条例》（以下简称《条例》）。2021年8月17日正式公布，自2021年9月1日起施行。出台《条例》是近年来国家网络安全和信息化工作成功经验的制度化提升，回应了社会各界对加强关键信息基础设施安全保护的关注，为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。贯彻落实《条例》有关要求，保护工作部门结合本行业、本领域实际，制定出台相关管理办法，交通运输部发布《公路水路关键信息基础设施安全保护管理办法》，国家铁路局制定《铁路关键信息基础设施安全保护管理办法》，推动各行业领域关键信息基础设施安全保护水平不断提升。

　　（二）突出规范引领，发布关键信息基础设施安全标准

　　2022年11月，市场监管总局、中央网信办、公安部联合召开《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）国家标准发布宣贯会。该标准是关键信息基础设施安全保护标准体系的构建基础，2023年5月1日正式实施。标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施3项基本原则，从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出111条安全要求，为运营者开展关键信息基础设施安全保护工作提供了强有力的标准保障。

　　（三）抓好关键环节，保障关键信息基础设施供应链安全

　　建立网络安全审查制度，制定出台《网络安全审查办法》，保障关键信息基础设施供应链安全。关键信息基础设施运营者采购网络产品和服务，要依据行业网络安全审查预判指南，预判该产品和服务投入使用后可能带来的网络安全风险。对于影响或者可能影响国家安全的，应当申报网络安全审查。出台《云计算服务安全评估办法》，提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平。

　　（四）创新人才培养，构建教育技术产业融合发展良性生态

　　人才是强国之本、兴邦大计。网络安全人才是筑牢网络安全屏障、维护国家网络安全的第一资源。深入研究网络安全人才与创新发展规律，深化国家网络安全人才与创新基地、国家网络安全教育技术产业融合发展试验区建设，打造国家网络安全人才高地、创新高地、产业集聚区。持续深化一流网络安全学院示范项目建设，围绕网络安全基础理论、开源软件安全等，建设完善课程、教材、实验环境等教学体系，培养高校学生自主创新能力。破除“唯论文”评价机制，建立以实际能力和贡献为导向的评价标准，将教师和学生承担的重大研究课题和工程、企业创新任务、基础开源代码等贡献重大成果视同高水平学术论文。创新企业和高校联合培养机制，大力实施网络安全学院学生创新资助计划，由企业根据网络安全实际需求和产业共性问题提出创新任务，遴选并资助优秀在校学生开展创新研究，引导学生开展基础创新，提升学生解决实际问题的能力，培养交叉型、复合型、实用型网络安全创新人才。

　　三、 筑牢关键信息基础设施网络安全屏障

　　（一）坚持协同防护，构建完善关键信息基础设施联合防御体系

　　当前，我国关键信息基础设施数量多、分布广，需要防护的环节链条长，加之安全形势瞬息万变，仅靠自主保护、分兵把守，难以应对日益猖獗的国家级、高强度、有组织的网络攻击。做好关键信息基础设施安全保护工作，关键是要坚持系统观念，全国“一盘棋”一体谋划，集中国家优势资源，加强跨行业、跨部门、跨地区协作协同，建立全域联动、立体高效的联合防御体系。为进一步明确相关部门单位在联合防御体系中的工作职责，确保各部门各单位“拧成一股绳”，形成整体合力，我国建立了国家关键信息基础设施保护的“三层责任”。

　　第一层责任是关键信息基础设施运营者全面落实安全保护主体责任。坚持“谁运营、谁负直接责任”的原则，运营者要建立健全网络安全保护制度，严格落实党委（党组）网络安全工作责任制，保障人财物投入；开展网络安全检测和风险评估并及时整改；建立并落实网络安全事件和网络安全威胁报告制度，力争做到重大威胁和风险自身化解，防止向行业和国家传导扩散。

　　第二层责任是保护工作部门落实好监督管理责任。坚持“谁主管、谁负主要责任”的原则，保护工作部门要结合行业特点制定关键信息基础设施安全规划；建立健全网络安全监测预警制度，预警通报网络安全威胁和隐患，指导运营者做好安全防范；定期组织应急演练，指导运营者做好网络安全事件的应对处置；组织开展网络安全检查检测，指导监督运营者及时进行整改。

　　第三层责任是国家网信部门、国家有关职能部门要做好协调、监督、指导以及安全保卫等责任。在中央网信办统筹协调下，公安、安全、保密、密码等有关单位各司其职、分工协作，向运营者提供技术支持和协助，防范打击网络违法犯罪活动，防范境外来源重大安全威胁和风险，齐心协力做好关键信息基础设施安全保护工作，切实做到关口前移，防患于未然。

　　（二）抓好统筹协调，形成关键信息基础设施安全保护工作“一盘棋”

　　中央网信办切实抓好政策统筹、信息统筹、标准统筹、督查统筹、人才统筹等“五个统筹”工作，协调各地区各部门形成优势互补、合作共赢的良好局面，持续推进各项工作要求落地实施，确保重点任务落到实处、取得实效。

　　政策统筹。牵头推进关键信息基础设施安全保护政策法规制定，协调保护工作部门制定本行业本领域关键信息基础设施安全规划，指导运营者强化网络安全技术手段建设，切实提升安全防护能力。

　　信息统筹。牵头做好网络安全信息共享和预警通报，建立健全国家网络安全事件应急工作机制，指导保护工作部门、运营者切实做好监测预警、事件处置、调查评估以及预防工作，希望实现“一点发现、全网防护”，提高应对网络安全事件能力，保障关键信息基础设施安全稳定运行。

　　标准统筹。牵头指导梳理关键信息基础设施安全保护标准体系，研究形成基础类、识别类、实施类、评估类等四类标准，加快推动相关标准的发布和试点示范。鼓励行业主管部门和研究机构，结合行业实际情况制定行业标准，进一步细化落实制度要求，为关键信息基础设施保护实践提供技术支撑和方法指引。

　　督查统筹。牵头开展关键信息基础设施安全保护制度落实情况的督查，建立完善运营者自查、保护工作部门检查、中央网信办联合相关部门督查的三级督查评估工作机制，结合《党委（党组）网络安全工作责任制实施办法》要求，夯实运营者主体责任和保护工作部门监管责任。

　　人才统筹。统筹组织关键信息基础设施行业网络安全人才培养培训，重点面向保护工作部门分管本行业领域关键信息基础设施安全保护工作负责同志、关键信息基础设施保护责任司局相关负责同志，以及运营者首席网络安全官等重要人员，围绕政策法规、实践案例以及产业保障等方面开展工作培训，提升关键信息基础设施保护工作能力水平。

　　（三）注重与时俱进，不断推进关键信息基础设施保护走上新台阶

　　抓好“入口关”。结合行业新形式新变化，按照关键信息基础设施数量宜精不宜多、范围宜窄不宜宽、架构宜整不宜散的原则，进一步完善关键信息基础设施认定工作，确保将优势资源集中投入到重点保护对象。

　　把好“标准关”。体系化推进关键信息基础设施标准研制工作，对于运营者迫切需要的标准，加快推进研制发布；对于不再适应当前技术发展趋势的，及时调整标准定位，进行整合或停止研制，确保关键信息基础设施标准及时有效、好用管用。

　　守好“质量关”。研究建立关键信息基础设施能力评估工作机制，明确关键信息基础设施安全防护能力指标体系，旨在推动监管评价机制由“达标式”监管，“合规式”检查，只要达到“及格线”就可以，进一步向综合能力评估模式转变。（作者郭涛，系中央网信办网络安全协调局副局长、一级巡视员，本文刊登于《中国信息安全》杂志2023年第9期。）