信息來源：光明網(wǎng)

        近年來，有關(guān)網(wǎng)絡安全的話題從未停歇。隨著“棱鏡門”事件的曝光，國家間的信息安全對抗日益公開化，網(wǎng)際空間的安全威脅正呈國際化、復雜化、組織化趨勢發(fā)展。

        如今，以云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)為代表的新技術(shù)得以迅速應用，更多的傳統(tǒng)能源、電力、交通基礎(chǔ)設(shè)施聯(lián)入網(wǎng)絡，成為關(guān)鍵信息基礎(chǔ)設(shè)施有機組成部分。

        “關(guān)鍵信息基礎(chǔ)設(shè)施”一詞看似抽象，卻是網(wǎng)絡安全的重中之重。在最近的一年里，中國互聯(lián)網(wǎng)絡信息中心（CNNIC）安全管理部副主任張新躍一直在做網(wǎng)絡安全基礎(chǔ)設(shè)施的標準制定工作。在他看來，與2014年的征求意見稿相比，今年6月1日實施的《網(wǎng)絡安全法》最主要變化是加入了對關(guān)鍵信息基礎(chǔ)設(shè)施和信息保護的明確定義，在安全設(shè)施、安全產(chǎn)業(yè)方面有更詳細的描述，且提升到了國家網(wǎng)絡安全戰(zhàn)略的高度。

（圖片來源于網(wǎng)絡）

兩者相輔相成、不容分割

        作為落實國家總體安全觀的重要舉措，《網(wǎng)絡安全法》勾勒出了國家網(wǎng)絡安全頂層設(shè)計的框架和藍圖，也突出了關(guān)鍵信息基礎(chǔ)設(shè)施保護的要求。在《網(wǎng)絡安全法》第三章第二節(jié)中，大篇幅重點闡述了“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”的相關(guān)話題。

        作為支撐能源、交通、金融、通信、電子政務等重要領(lǐng)域運行的神經(jīng)中樞，關(guān)鍵信息基礎(chǔ)設(shè)施與國計民生息息相關(guān)。然而，我國的關(guān)鍵信息基礎(chǔ)設(shè)施保護面臨著建設(shè)起步較晚、專業(yè)技術(shù)落后、安全威脅嚴峻等形勢，實施起來任重道遠。

        “國家關(guān)鍵信息基礎(chǔ)設(shè)施首先落實等級保護制度，要將等級保護制度打造成新時期國家網(wǎng)絡安全的基本制度，逐漸構(gòu)建新的法律政策體系、標準體系、人才技術(shù)支撐體系、人才隊伍體系、教育訓練體系和新的保障體系?！痹谌涨芭e辦的第五屆中國網(wǎng)絡安全大會（NSC2017）上，公安部網(wǎng)絡安全保衛(wèi)局總工程師郭啟全坦言，互聯(lián)網(wǎng)發(fā)展首先要保護網(wǎng)絡基礎(chǔ)設(shè)施安全，這也是等級保護制度的核心內(nèi)容。

        “正確理解、處理等級保護制度與關(guān)鍵信息基礎(chǔ)設(shè)施保護的關(guān)系。”郭啟全表示，網(wǎng)絡安全等級保護制度是關(guān)鍵信息基礎(chǔ)設(shè)施保護的基礎(chǔ)，關(guān)鍵信息基礎(chǔ)設(shè)施是等級制度保護的重點，二者相輔相成，不能分割；網(wǎng)絡安全等級保護制度是普適性的制度，關(guān)鍵信息基礎(chǔ)設(shè)施是重點保護的核心點，兩者是面和點之間的關(guān)系。

        在郭啟全看來，關(guān)鍵信息網(wǎng)絡基礎(chǔ)設(shè)施須按照等級保護制度要求，開展定級備案、等級測評、安全建設(shè)整改、安全檢查等強制性、規(guī)定性工作。

“等級保護2.0”與云上安全

        隨著云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)等新興IT技術(shù)的發(fā)展與落地，傳統(tǒng)信息安全的邊界越來越模糊，新的攻擊形態(tài)層出不窮?！暗燃壉Ｗo制度進入2.0時代，網(wǎng)絡安全也進入2.0時代?！闭劶爱斍靶蝿菹碌燃壉Ｗo制度的特點，郭啟全認為，一是涉及全新的國家網(wǎng)絡安全基本制度體系；二是以保護國家關(guān)鍵信息基礎(chǔ)設(shè)施為重點；三是保護策略發(fā)生變化。

        也就是說，傳統(tǒng)的等級保護即1.0時代，其對象就是信息系統(tǒng)：數(shù)據(jù)采集生成、處理加工、傳輸和數(shù)據(jù)的存儲；而等級保護的2.0時代則新增加了對云計算安全、移動互聯(lián)安全、物聯(lián)網(wǎng)安全以及大數(shù)據(jù)安全等相關(guān)要求。

        “縱向上延伸了信息系統(tǒng)的概念，把云計算、工控、物聯(lián)網(wǎng)都納入進來，與這些相關(guān)的都是等級保護對象的試用范圍?！惫膊啃畔踩燃壉Ｗo評估中心測評部副主任張振峰說。

        在業(yè)界人士看來，等級保護從由1.0到2.0是被動防御變成主動防御的變化。也就是說，以前被動防御，要求防火墻、殺病毒、IDS（入侵檢測系統(tǒng)），要上升到了主動防護，做到整體防御、分區(qū)隔離；積極防護、內(nèi)外兼防；縱深防御、技管并重。

        “伴隨新應用、新技術(shù)普及，基礎(chǔ)通信網(wǎng)絡、基礎(chǔ)平臺、大數(shù)據(jù)技術(shù)相關(guān)的系統(tǒng)，可能只具備個別的系統(tǒng)功能或特點，按照原來的定義沒辦法劃到等級保護范圍之內(nèi)。”張振峰認為，等級保護體系的大升級，首先就是標準體系的擴充，整合原來1.0時代的核心標準體系，把不同領(lǐng)域、自身特色的內(nèi)容單獨對待；另外，隨著領(lǐng)域的擴展，類似當前火熱的AI（人工智能）領(lǐng)域，或許可以提出等級保護的新要求。

        在等級保護2.0時代下，云上用戶安全不容忽視?！皩τ谠粕献鈶艋蛟破脚_來說，不僅要提供基礎(chǔ)設(shè)施服務，還能給租戶提供安全的服務或解決方案，這樣租戶在平臺上用起來會更加得心應手?！惫膊康谌芯克朴嬎惆踩珳y評實驗室負責人陳妍說。

做好認定，才能做好保護

        從各國的實施情況看，關(guān)鍵信息基礎(chǔ)設(shè)施具體標準相當復雜，需要在實踐中不斷完善、不斷調(diào)整。目前，國家互聯(lián)網(wǎng)信息辦公室正會同有關(guān)部門按照《網(wǎng)絡安全法》的要求，指導相關(guān)行業(yè)領(lǐng)域明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。

        張新躍也表示，與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的網(wǎng)絡安全框架、網(wǎng)絡安全保護要求、安全控制要求、安全保障指標體系、安全檢查評估指南等標準正在制定。

        加強關(guān)鍵信息基礎(chǔ)設(shè)施保護，國家網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局有關(guān)負責人表示，要重點做好以下幾方面工作：一是要加強關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的統(tǒng)籌，強化頂層設(shè)計和整體防護，避免多頭分散、各自為政的情況發(fā)生。二是要建立完善責任制，政府主要是加強指導監(jiān)管，關(guān)鍵信息基礎(chǔ)設(shè)施運營者要承擔起保護的主體責任。三是要加強對從業(yè)人員的網(wǎng)絡安全教育、技術(shù)培訓和技能考核，切實提高網(wǎng)絡安全意識和水平。四是要做好網(wǎng)絡安全信息共享、應急處置等基礎(chǔ)性工作，提升關(guān)鍵信息基礎(chǔ)設(shè)施保護能力。五是要加強關(guān)鍵信息基礎(chǔ)設(shè)施保護中的國際合作。

        “做好關(guān)鍵基礎(chǔ)設(shè)施的識別和認定，才能做好關(guān)鍵基礎(chǔ)設(shè)施的保護。”張新躍認為，各行業(yè)會做細分要求，承載的對象和內(nèi)容也會有區(qū)別。比如，平臺類會對注冊用戶、活躍用戶、訪問量等進行特別要求。

綜合防御體系應針對最強對手設(shè)計

        如何確定國家關(guān)鍵信息基礎(chǔ)設(shè)施？郭啟全認為，應該把國家核心、關(guān)鍵的基礎(chǔ)設(shè)施和重要信息系統(tǒng)作為重中之重，要以國家級、有組織的網(wǎng)絡攻擊能力作為標尺，要以網(wǎng)絡安全等級保護為抓手，以信息通報為平臺、以情報偵察為突破、以偵查打擊為支撐，構(gòu)建“偵攻防管控”一體化的大數(shù)據(jù)安全綜合防控體系。

        “關(guān)鍵基礎(chǔ)設(shè)施綜合防御能力、水平和技術(shù)要針對最強大的對手，進行設(shè)計、提升和創(chuàng)新。”郭啟全說，全面提升網(wǎng)上行動能力不是單靠一家、某一個組織、某一個群體，而是需要共同努力，做到“加強協(xié)同保護，形成保護合力”。

        “發(fā)現(xiàn)某些問題時，可能不是我擅長的，需要安全公司協(xié)助分析樣本?！睆埿萝S說，打造一體化的風險識別、防護和應急響應，實現(xiàn)資源共享和聯(lián)動防御，安全威脅與情報共享，進行快速的威脅響應。比如，前段時間發(fā)生勒索軟件病毒事件時，恰恰需要協(xié)同，需要共同發(fā)力。

        大型互聯(lián)網(wǎng)企業(yè)雖然不是等級測評的主要實施者，但是是重要的參與者?！霸谛录夹g(shù)背景下，大型互聯(lián)網(wǎng)企業(yè)應該關(guān)注云安全產(chǎn)品合規(guī)，重點落在保障業(yè)務數(shù)據(jù)安全和用戶數(shù)據(jù)隱私保護?！睆堈穹逭J為，大型互聯(lián)網(wǎng)企業(yè)，無論是自測，還是在測評中給第三方測評機構(gòu)展示安全能力，都需要重點關(guān)注。

        “希望未來依托等級保護國家工程實驗室，建立全國云上的等保合規(guī)平臺，囊括云上等級保護的相關(guān)參與方，降低用戶的合規(guī)成本……”張振峰說。

相關(guān)新聞：

1、《網(wǎng)絡安全法》實施系列觀察——個信篇《生物特征識別或許最不安全 專家建議個人信息匿名化處置》

2、《國家網(wǎng)信辦就<網(wǎng)絡安全法>實施答記者問》

3、《網(wǎng)絡時代，筑牢個人信息“安全堤”》