应对新形势，强化我国关键信息基础设施安全保护

《关键信息基础设施安全保护条例》（以下简称《条例》）已由国务院公布并于9月1日正式实施，这是我国应对网络空间新形势，完善我国网络空间治理的重大举措，对于强化我国关键信息基础设施安全保护，具有重要的里程碑意义。《条例》作为《网络安全法》的重要配套立法，将推动构建和完善我国关键信息基础设施安全保护的制度体系和工作机制，标志着我国网络空间治理“与时俱进”迈入新阶段，开启了关键信息基础设施安全保护的新时代。

关键信息基础设施面临的网络安全威胁和风险进一步升级

一是国家行为体已成为威胁关键信息基础设施安全的“新主体”。从全球看，针对关键信息基础设施的网络攻击事件时有发生，部分网络攻击事件的国家背景凸显。如，2010年伊朗核设施遭“震网”病毒攻击、2015年乌克兰电力系统遭网络攻击等事件、“棱镜门”事件曝光多国政府、科研机构和企业被网络入侵以及2020年末曝光的“太阳风”网络攻击事件等。时任美国总统特朗普也公开承认2018年中期选举时允许相关部门对俄罗斯发动网络攻击。美国实施网络威慑战略，开展“防御前置”行动，将网络监控和攻击的触角伸入目标国家的关键网络。国家行为体的介入，使网络攻击的性质发生了重大变化，围绕国家信息关键基础设施的保护、威慑与反制成为大国对抗的重要手段，国家安全的重要领域。

二是高度组织化的网络犯罪集团是威胁关键信息基础设施安全的“主变量”。近年来，高度组织化的网络犯罪集团等非国家行为体对关键信息基础设施的安全威胁仍然呈现高发态势，定向攻击、勒索软件攻击、供应链攻击等高级网络攻击愈演愈烈。特别是美国燃油管道商遭“黑暗面”黑客组织勒索攻击事件，引发全球广泛关注。一起非国家行为体实施的网络攻击事件，直接导致国家级关键基础设施停止服务，表明勒索攻击成为APT攻击的主要手段，高度组织化犯罪依然是关键信息基础设施的重要威胁。

三是关键信息基础设施自身的网络安全环境进一步演化。一方面，随着互联网、大数据、云计算、人工智能、移动互联网、物联网、工业互联网等新技术新应用持续赋能经济社会、国家安全等各个方面，IT技术和OT技术加速融合，关键信息基础设施传统相对封闭的系统运营环境被打破，不可避免地增大了关键信息基础设施面对网络攻击的暴露面。

另一方面，关键信息基础设施还面临着网络安全漏洞的潜在威胁。近年来，网络安全漏洞不断爆出且高危漏洞占比居高不下。综合各方面统计数据分析，自2010年以来全球工业控制系统、智能设备、物联网等领域安全漏洞总数大幅增长，中高危漏洞占比居高不下。这些漏洞进一步增大了关键信息基础设施遭网络攻击的潜在风险。

四是我国关键信息基础设施存在被“毁瘫”“断服”的潜在风险。从国内情况看，我国部分行业领域的关键信息基础设施核心技术、关键系统等对美西方严重依赖的局面尚未完全改变，不仅面临被“卡脖”“断供”的供应链风险，还面临因存在已知但无法修复的漏洞和未知安全漏洞而遭受网络攻击的风险，有可能导致关键信息基础设施被“毁瘫”“断服”。

鉴于关键基础设施对于国计民生、国家安全等重要性的提升和面临的网络安全威胁态势的变化，世界网络强国、大国高度重视关键基础设施安全保护工作，在战略出台、法规制定、标准完善、技术研发、实战演练等方面多举措强化关键基础设施安全保护。

美国出台的《国家网络战略》《国防部网略战略》《国土安全部网络安全战略》《临时国家安全战略方针》、欧盟出台的《欧洲关键基础设施保护战略》《欧盟数字十年网络安全战略》、俄罗斯颁布的新版《俄罗斯联邦国家安全战略》、英国发布的《国家网络安全战略》等均将关键基础设施的安全作为重点内容予以明确。

通过立法提供法规支撑

美国发布的《增强关键基础设施网络安全》（第13636号行政令）《提高关键基础设施的安全性和恢复力》（第21号总统令），对关键基础设施的保护范围、部门职责、法律责任等进行明确。2021年以来，美发布《关于改善国家网络安全的行政命令》，签署《关于改善关键基础设施控制系统网络安全的国家安全备忘录》等多份相关文件，进一步强化关键基础设施安全防护；欧盟修订《欧盟网络与信息系统安全指令》，发布《关键设施弹性指令》等，为关键基础设施安全保护提供制度支撑和法规保障；俄罗斯颁布《联邦关键信息基础设施安全法》、澳大利亚颁布《关键基础设施安全法》等为强化关键信息基础设施安全保护提供法规支撑。

研发技术提高保障能力

美国依托爱达荷国家实验室、橡树岭国家实验室和国家网络靶场开展关键基础设施防护技术研究，旨在推动关键基础设施网络安全技术保障能力的提升。美国国有公共电力公司纽约电力局与德国西门子能源公司宣布将联合建立名为“卓越中心”的网络安全实验室，旨在提高管理电网和其他关键基础设施运营技术的能力。

完善标准提供方法指引

美国国家标准与技术研究院（NIST）组织制定网络安全框架，降低关键基础设施相关的安全风险，其中针对工控安全发布《工业控制系统安全指南》（NIST SP 800-82）《联邦信息系统和组织机构的安全控制指南》（NIST SP 800-53），对工控安全防护提供指导，为企业加强关键基础设施网络安全提供参考。

组织演练检验实际能力

美国自2006年始，每两年一次已连续举办7次“网络风暴”演习，以关键基础设施遭遇网络攻击为演练想定，突出攻防对抗，检验信息共享、协同联动、应急处置等能力。美国还举行“网络卫士”“网络旗”“网络盾牌”等系列演习，应对关键基础设施遭遇大规模网络攻击是演练重点内容之一。欧洲自2010年始，每两年举行一次“网络欧洲”系列演习，模拟互联网基础设施等关键基础设施遭入侵、断服等场景，以提升和检验欧洲国家应对网络攻击的能力。俄罗斯组织“断网演习”，检验俄在极端极限情况下的网络稳定运行能力。

《条例》作为《网络安全法》的重要配套立法，坚持系统思维，注重体系构建，将进一步构建和完善我国关键信息基础设施安全保护的科学体系，呈现出以下鲜明特征：

明确了分层保护体系

《条例》最为突出的特点是提出构建以国家网信部门和国务院公安部门等国家有关职能部门、关键信息基础设施保护工作部门、关键信息基础设施运营者（以下简称运营者）为主体的三层架构的关键信息基础设施综合安全分层保护体系。《条例》规定，国家网信部门统筹协调关键信息基础设施安全保护，国务院公安部门负责指导监督关键信息基础设施安全保护工作；国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作；省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理；运营者作为直接责任单位，要依照本条例和相关要求，保障关键信息基础设施的安全稳定运行。上述制度设计利于各方各司其职，充分调动各方主动性，汇聚全部资源和能力，构建起分层保护体系，共同做好关键信息基础设施安全保护工作。

强调了实施动态保护

《条例》规定，关键信息基础设施发生重大变化时需报告并重新组织认定；运营者发生合并、分立、解散等情况时应及时报告，并按要求进行相应处置；定期开展关键信息基础设施网络安全检查检测，及时整改安全隐患、完善安全措施；建立应急预案、组织应急演练，做好事件应对处置。上述要求充分揭示了网络安全工作的本质，即网络安全是动态的、变化的和不断演进的，必须坚持动态保护的理念，根据不断变化的形势完善制度设计，构建动态保护体系，以确保安全。

切实压实了主体责任

《条例》最重要的特点就是压实了关键信息基础设施运营者的主体责任。《条例》第4条明确规定“强化和落实关键信息基础设施运营者的主体责任”，并专设第三章“运营者责任义务”进行细化和明确，如实施“三同步”原则、设置专门的安全管理机构并提升安全管理机构话语权、对机构负责人和关键岗位人员进行安全背景审查、保障专门安全管理机构的运行、开展网络安全监测和风险评估、优先采购安全可信的网络产品和服务以及特定情况下的报告义务等。上述要求，抓住了运营者这个关键信息基础设施安全保护的核心环节，有利于保护工作走深走实。

注重相关法规的衔接

首先，《条例》作为《网络安全法》的重要配套立法，进一步细化了和完善了《网络安全法》的有关规定，为开展关键信息基础设施安全保护提供了基本遵循。再有，《条例》第19条规定“运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。”从内容可以看出，该条规定与我国已经实施的《网络安全审查办法》一脉相承，是网络安全审查制度在关键信息基础设施安全保护制度中的具体体现。还有，《条例》强调未经授权不得对关键信息基础设施实施漏洞探测和渗透性测试活动，对基础电信网络实施漏洞探测、渗透性测试应当事先向国务院电信主管部门报告。这些规定与9月1日已正式实施的《网络产品安全漏洞管理规定》，在内容上相互补充。上述制度设计有效确保了《条例》与相关立法的衔接，完善了我国网络安全治理的法规体系，体现了国家法规顶层设计的整体考虑。