信息來源：光明網(wǎng)

        近年來，有關(guān)網(wǎng)絡(luò)安全的話題從未停歇。隨著“棱鏡門”事件的曝光，國家間的信息安全對(duì)抗日益公開化，網(wǎng)際空間的安全威脅正呈國際化、復(fù)雜化、組織化趨勢發(fā)展。

        如今，以云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)為代表的新技術(shù)得以迅速應(yīng)用，更多的傳統(tǒng)能源、電力、交通基礎(chǔ)設(shè)施聯(lián)入網(wǎng)絡(luò)，成為關(guān)鍵信息基礎(chǔ)設(shè)施有機(jī)組成部分。

        “關(guān)鍵信息基礎(chǔ)設(shè)施”一詞看似抽象，卻是網(wǎng)絡(luò)安全的重中之重。在最近的一年里，中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）安全管理部副主任張新躍一直在做網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)制定工作。在他看來，與2014年的征求意見稿相比，今年6月1日實(shí)施的《網(wǎng)絡(luò)安全法》最主要變化是加入了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和信息保護(hù)的明確定義，在安全設(shè)施、安全產(chǎn)業(yè)方面有更詳細(xì)的描述，且提升到了國家網(wǎng)絡(luò)安全戰(zhàn)略的高度。

（圖片來源于網(wǎng)絡(luò)）

兩者相輔相成、不容分割

        作為落實(shí)國家總體安全觀的重要舉措，《網(wǎng)絡(luò)安全法》勾勒出了國家網(wǎng)絡(luò)安全頂層設(shè)計(jì)的框架和藍(lán)圖，也突出了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的要求。在《網(wǎng)絡(luò)安全法》第三章第二節(jié)中，大篇幅重點(diǎn)闡述了“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”的相關(guān)話題。

        作為支撐能源、交通、金融、通信、電子政務(wù)等重要領(lǐng)域運(yùn)行的神經(jīng)中樞，關(guān)鍵信息基礎(chǔ)設(shè)施與國計(jì)民生息息相關(guān)。然而，我國的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)面臨著建設(shè)起步較晚、專業(yè)技術(shù)落后、安全威脅嚴(yán)峻等形勢，實(shí)施起來任重道遠(yuǎn)。

        “國家關(guān)鍵信息基礎(chǔ)設(shè)施首先落實(shí)等級(jí)保護(hù)制度，要將等級(jí)保護(hù)制度打造成新時(shí)期國家網(wǎng)絡(luò)安全的基本制度，逐漸構(gòu)建新的法律政策體系、標(biāo)準(zhǔn)體系、人才技術(shù)支撐體系、人才隊(duì)伍體系、教育訓(xùn)練體系和新的保障體系?！痹谌涨芭e辦的第五屆中國網(wǎng)絡(luò)安全大會(huì)（NSC2017）上，公安部網(wǎng)絡(luò)安全保衛(wèi)局總工程師郭啟全坦言，互聯(lián)網(wǎng)發(fā)展首先要保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全，這也是等級(jí)保護(hù)制度的核心內(nèi)容。

        “正確理解、處理等級(jí)保護(hù)制度與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的關(guān)系?！惫鶈⑷硎?，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級(jí)制度保護(hù)的重點(diǎn)，二者相輔相成，不能分割；網(wǎng)絡(luò)安全等級(jí)保護(hù)制度是普適性的制度，關(guān)鍵信息基礎(chǔ)設(shè)施是重點(diǎn)保護(hù)的核心點(diǎn)，兩者是面和點(diǎn)之間的關(guān)系。

        在郭啟全看來，關(guān)鍵信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施須按照等級(jí)保護(hù)制度要求，開展定級(jí)備案、等級(jí)測評(píng)、安全建設(shè)整改、安全檢查等強(qiáng)制性、規(guī)定性工作。

“等級(jí)保護(hù)2.0”與云上安全

        隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興IT技術(shù)的發(fā)展與落地，傳統(tǒng)信息安全的邊界越來越模糊，新的攻擊形態(tài)層出不窮?！暗燃?jí)保護(hù)制度進(jìn)入2.0時(shí)代，網(wǎng)絡(luò)安全也進(jìn)入2.0時(shí)代?！闭劶爱?dāng)前形勢下等級(jí)保護(hù)制度的特點(diǎn)，郭啟全認(rèn)為，一是涉及全新的國家網(wǎng)絡(luò)安全基本制度體系；二是以保護(hù)國家關(guān)鍵信息基礎(chǔ)設(shè)施為重點(diǎn)；三是保護(hù)策略發(fā)生變化。

        也就是說，傳統(tǒng)的等級(jí)保護(hù)即1.0時(shí)代，其對(duì)象就是信息系統(tǒng)：數(shù)據(jù)采集生成、處理加工、傳輸和數(shù)據(jù)的存儲(chǔ)；而等級(jí)保護(hù)的2.0時(shí)代則新增加了對(duì)云計(jì)算安全、移動(dòng)互聯(lián)安全、物聯(lián)網(wǎng)安全以及大數(shù)據(jù)安全等相關(guān)要求。

        “縱向上延伸了信息系統(tǒng)的概念，把云計(jì)算、工控、物聯(lián)網(wǎng)都納入進(jìn)來，與這些相關(guān)的都是等級(jí)保護(hù)對(duì)象的試用范圍。”公安部信息安全等級(jí)保護(hù)評(píng)估中心測評(píng)部副主任張振峰說。

        在業(yè)界人士看來，等級(jí)保護(hù)從由1.0到2.0是被動(dòng)防御變成主動(dòng)防御的變化。也就是說，以前被動(dòng)防御，要求防火墻、殺病毒、IDS（入侵檢測系統(tǒng)），要上升到了主動(dòng)防護(hù)，做到整體防御、分區(qū)隔離；積極防護(hù)、內(nèi)外兼防；縱深防御、技管并重。

        “伴隨新應(yīng)用、新技術(shù)普及，基礎(chǔ)通信網(wǎng)絡(luò)、基礎(chǔ)平臺(tái)、大數(shù)據(jù)技術(shù)相關(guān)的系統(tǒng)，可能只具備個(gè)別的系統(tǒng)功能或特點(diǎn)，按照原來的定義沒辦法劃到等級(jí)保護(hù)范圍之內(nèi)。”張振峰認(rèn)為，等級(jí)保護(hù)體系的大升級(jí)，首先就是標(biāo)準(zhǔn)體系的擴(kuò)充，整合原來1.0時(shí)代的核心標(biāo)準(zhǔn)體系，把不同領(lǐng)域、自身特色的內(nèi)容單獨(dú)對(duì)待；另外，隨著領(lǐng)域的擴(kuò)展，類似當(dāng)前火熱的AI（人工智能）領(lǐng)域，或許可以提出等級(jí)保護(hù)的新要求。

        在等級(jí)保護(hù)2.0時(shí)代下，云上用戶安全不容忽視?！皩?duì)于云上租戶或云平臺(tái)來說，不僅要提供基礎(chǔ)設(shè)施服務(wù)，還能給租戶提供安全的服務(wù)或解決方案，這樣租戶在平臺(tái)上用起來會(huì)更加得心應(yīng)手。”公安部第三研究所云計(jì)算安全測評(píng)實(shí)驗(yàn)室負(fù)責(zé)人陳妍說。

做好認(rèn)定，才能做好保護(hù)

        從各國的實(shí)施情況看，關(guān)鍵信息基礎(chǔ)設(shè)施具體標(biāo)準(zhǔn)相當(dāng)復(fù)雜，需要在實(shí)踐中不斷完善、不斷調(diào)整。目前，國家互聯(lián)網(wǎng)信息辦公室正會(huì)同有關(guān)部門按照《網(wǎng)絡(luò)安全法》的要求，指導(dǎo)相關(guān)行業(yè)領(lǐng)域明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。

        張新躍也表示，與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的網(wǎng)絡(luò)安全框架、網(wǎng)絡(luò)安全保護(hù)要求、安全控制要求、安全保障指標(biāo)體系、安全檢查評(píng)估指南等標(biāo)準(zhǔn)正在制定。

        加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局有關(guān)負(fù)責(zé)人表示，要重點(diǎn)做好以下幾方面工作：一是要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的統(tǒng)籌，強(qiáng)化頂層設(shè)計(jì)和整體防護(hù)，避免多頭分散、各自為政的情況發(fā)生。二是要建立完善責(zé)任制，政府主要是加強(qiáng)指導(dǎo)監(jiān)管，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者要承擔(dān)起保護(hù)的主體責(zé)任。三是要加強(qiáng)對(duì)從業(yè)人員的網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核，切實(shí)提高網(wǎng)絡(luò)安全意識(shí)和水平。四是要做好網(wǎng)絡(luò)安全信息共享、應(yīng)急處置等基礎(chǔ)性工作，提升關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)能力。五是要加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中的國際合作。

        “做好關(guān)鍵基礎(chǔ)設(shè)施的識(shí)別和認(rèn)定，才能做好關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)?！睆埿萝S認(rèn)為，各行業(yè)會(huì)做細(xì)分要求，承載的對(duì)象和內(nèi)容也會(huì)有區(qū)別。比如，平臺(tái)類會(huì)對(duì)注冊(cè)用戶、活躍用戶、訪問量等進(jìn)行特別要求。

綜合防御體系應(yīng)針對(duì)最強(qiáng)對(duì)手設(shè)計(jì)

        如何確定國家關(guān)鍵信息基礎(chǔ)設(shè)施？郭啟全認(rèn)為，應(yīng)該把國家核心、關(guān)鍵的基礎(chǔ)設(shè)施和重要信息系統(tǒng)作為重中之重，要以國家級(jí)、有組織的網(wǎng)絡(luò)攻擊能力作為標(biāo)尺，要以網(wǎng)絡(luò)安全等級(jí)保護(hù)為抓手，以信息通報(bào)為平臺(tái)、以情報(bào)偵察為突破、以偵查打擊為支撐，構(gòu)建“偵攻防管控”一體化的大數(shù)據(jù)安全綜合防控體系。

        “關(guān)鍵基礎(chǔ)設(shè)施綜合防御能力、水平和技術(shù)要針對(duì)最強(qiáng)大的對(duì)手，進(jìn)行設(shè)計(jì)、提升和創(chuàng)新。”郭啟全說，全面提升網(wǎng)上行動(dòng)能力不是單靠一家、某一個(gè)組織、某一個(gè)群體，而是需要共同努力，做到“加強(qiáng)協(xié)同保護(hù)，形成保護(hù)合力”。

        “發(fā)現(xiàn)某些問題時(shí)，可能不是我擅長的，需要安全公司協(xié)助分析樣本?！睆埿萝S說，打造一體化的風(fēng)險(xiǎn)識(shí)別、防護(hù)和應(yīng)急響應(yīng)，實(shí)現(xiàn)資源共享和聯(lián)動(dòng)防御，安全威脅與情報(bào)共享，進(jìn)行快速的威脅響應(yīng)。比如，前段時(shí)間發(fā)生勒索軟件病毒事件時(shí)，恰恰需要協(xié)同，需要共同發(fā)力。

        大型互聯(lián)網(wǎng)企業(yè)雖然不是等級(jí)測評(píng)的主要實(shí)施者，但是是重要的參與者。“在新技術(shù)背景下，大型互聯(lián)網(wǎng)企業(yè)應(yīng)該關(guān)注云安全產(chǎn)品合規(guī)，重點(diǎn)落在保障業(yè)務(wù)數(shù)據(jù)安全和用戶數(shù)據(jù)隱私保護(hù)?！睆堈穹逭J(rèn)為，大型互聯(lián)網(wǎng)企業(yè)，無論是自測，還是在測評(píng)中給第三方測評(píng)機(jī)構(gòu)展示安全能力，都需要重點(diǎn)關(guān)注。

        “希望未來依托等級(jí)保護(hù)國家工程實(shí)驗(yàn)室，建立全國云上的等保合規(guī)平臺(tái)，囊括云上等級(jí)保護(hù)的相關(guān)參與方，降低用戶的合規(guī)成本……”張振峰說。

相關(guān)新聞：

1、《網(wǎng)絡(luò)安全法》實(shí)施系列觀察——個(gè)信篇《生物特征識(shí)別或許最不安全 專家建議個(gè)人信息匿名化處置》

2、《國家網(wǎng)信辦就<網(wǎng)絡(luò)安全法>實(shí)施答記者問》

3、《網(wǎng)絡(luò)時(shí)代，筑牢個(gè)人信息“安全堤”》