北京大学陈钟：关键信息基础设施安全保护实践三点体会

专家名片

陈钟，北京大学计算机学院教授、网络与信息安全实验室主任，长期从事网络与信息安全、领域软件工程、区块链技术教学与科研工作，曾主持和参加完成国家科技部重大专项等课题二十余项，取得多项成果，曾获国家级、部委级科技成果和教学成果奖励多项。发表科技论文150余篇，培养学术博士和硕士研究生百余人。曾任公安部信息通信标准化技术委员会委员、GB17859起草人，现为中国计算机学会会士、常务理事，全国信息安全标准化技术委员会WG1工作组成员。

2021 年 9 月 1 日，我国《关键信息基础设施安全保护条例》正式实施。正值该条例实施一周年之际，我结合自己参与我国关键信息基础设施专家认定工作的实践，谈三点体会——陈钟

持续重视关键信息基础设施安全保护制度的建立完善和执行效果

《条例》是把关键信息基础设施安全保护工作提升到制度建立的高度，形成完整的法律体系、政策体系、标准体系、保护体系、保卫体系和保障体系的指导性文件，一年来取得了初步成效，后续还需要在实践中不断总结经验，不断完善制度的建设。

在一年的实践过程中，我本人作为专家参加了多家单位对关键信息基础设施的认定工作，从中感受到主管部门和重点行业领域相关单位对本项工作的高度重视。其中，对本行业领域关键信息基础设施的认定规则就是一项从0到1的重要成果。在对判断符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通信设施等重点保护对象纳入关键信息基础设施方面，起到了基础性作用。同时建立了清单备案和动态调整机制，特别是在认定过程中充分发挥了行业和领域专家的作用。

除了认定工作，制度形成了强有力的组织保障，明确了保护工作的职能分工，形成了从顶层设计、规划部署到组织领导及监督责任落实、机构设置落实等组织措施。今后还需要进一步总结组织制度的执行情况，进一步提升执行效率和效果。

要不断加强关键信息基础设施的保护措施、提高专业化水平

关键信息基础设施保护对象和范围明确后，保护措施必须跟上。公安部把多年来成功实践的网络安全等级保护标准作为抓手，在指导开展安全建设并进行等级测评，发现问题和风险隐患及时整改方面产生了积极效果，为关键信息基础设施保护奠定了基础。同时依据关键信息基础设施安全保护标准在梳理网络资产、建立资产档案、强化重点保护措施，开展安全检测评估方面拓展了关键信息基础设施特定的保护要求，一年来的实践得到了业界的广泛认可和有效落实。

应该看到，当前和未来总体安全形势会更加严峻，各类安全事件，特别是涉及数据泄露的安全事件呈上升趋势，并且造成了更大的安全威胁。有数据显示2020年全球数据泄露事件超过过去15年的总和。《条例》中特别强调了加强重要数据和个人信息防护，可谓关键信息基础设施保护的重中之重。特别是在党中央提出数据作为要素参与市场化配置的数字经济发展战略前提下，数据安全成为数字经济健康有序发展的重要基石。我们要重点围绕关键信息基础设施敏感数据的窃取、破解、篡改等攻击活动加强数据保护措施，同时还要加大力度提升数据治理能力。

要高度重视安全技术攻关和人才培养,形成持续的安全保护能力

我们正处在世界百年未有之大变局，一方面新技术革命和产业变革发展迅速，既带来社会发展也带来新的安全挑战，另一方面错综复杂的国际形势也迫使我们加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局。因此，我们需要加大力度提升自主安全技术攻关和人才培养的能力，掌握安全防护的前沿技术，形成有效的安全保护、安全保卫和安全保障能力，在关键基础设施保护方面发挥积极作用，应对各种潜在的安全风险。

当前，我国在云计算、大数据、人工智能、物联网、工业互联网等信息化技术和产业自主创新能力还有待大幅提升，同时在人才培养方面还需要采取更加积极有效的措施，为提升关键信息基础设施的对抗能力和防护水平提供人才和技术双支撑。