精彩连载！关键信息基础设施安全保护支撑能力白皮书（四）

编者按：

    为坚决贯彻落实总体国家安全观，促进关键信息基础设施安全保护（关基保护）领域政产学研用协同创新，服务关基运营者，支撑有关工作部门与运营机构的工作，关保联盟2023年底组织专家特撰写《关键信息基础设施安全保护支撑能力白皮书》。

    本白皮书是关于关基保护支撑能力的综合性研究报告。根据关基保护八大能力并结合五大业务场景，基于数据调研分析，对产业侧网络安全产品、技术、服务等在关基保护支撑能力方面进行相关呈现和建议。

    旨在帮助关基运营者全面了解国内关基保护支撑能力现状，选择最适合的支撑伙伴，加强技术协作，实现联防联控。白皮书还探讨了数字化生态安全构建、风险治理与安全运营策略以及关基保护实战化人才培养等议题，为关基保护工作部门和运营者等相关从业者提供参考。

   《关键信息基础设施安全保护支撑能力白皮书》系列文章现已推出，我们将探讨关键信息基础设施的安全挑战和支撑能力解决方案，帮助您更好地了解如何保护信息基础设施的安全性。快来跟随我们一起深入探讨，共同建设安全可靠的数字化世界！敬请期待每周更新的精彩内容！

    我国关键信息基础设施安全保护立法已经取得了重要的进展。2017 年 6 月 1 日正式施行的《网络安全法》作为我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障，同时也是我国关键信息基础设施安全保护的根本遵循和极端重要支撑。

    《关键信息基础设施安全保护条例》于2021年4月27日国务院第133次常务会议通过。2021 年 7 月 30 日，国务院令第 745 号公布《关键信息基础设施安全保护条例》，自 2021年 9 月 1 日起施行。该条例规定了一系列关键信息基础设施安全保护的措施和要求，包括建立和完善关键信息基础设施安全保护制度，加强关键信息基础设施的安全监测和风险评估，强化关键信息基础设施的安全保障能力，加强关键信息基础设施的安全教育和培训，提高全社会对关键信息基础设施安全的认识和意识等。该条例的公布标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段，为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。

    除了《网络安全法》和《关键信息基础设施安全保护条例》之外，《数据安全法》亦有规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定。同时，对于违反国家核心数据管理制度，危害国家主权、安全和发展利益的行为，将会受到法律的严厉处罚。此外，《数据安全法》也明确了数据处理活动的安全保护要求，包括数据的收集、存储、使用、加工、传输、提供和公开等。该法规定，重要数据的处理者应当按照国家有关规定，采取必要的安全保护措施，保障数据的安全。

    此外，《个人信息保护法》也对个人信息的收集、使用、处理等活动提出了安全保护要求。该法规定，处理个人信息应当遵循合法、正当、必要原则，并应当取得个人的同意。对于重要个人信息，处理者还应当采取更加严格的安全保护措施；《密码法》规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。这些法规都为关键信息基础设施的安全保护提供了法律依据和保障。还包括《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等法规，也对关键信息基础设施的安全保护提出了相关要求。这些法规的制定和实施，旨在保护关键信息基础设施的安全，维护国家安全、国计民生和公共利益。

    党中央高度重视关键信息基础设施安全保护工作。关键信息基础设施是我国经济社会运行的神经中枢，是网络安全保护的重中之重，加强关键信息基础设施安全保护对于维护国家安全、保障经济社会健康发展、维护社会公共利益意义重大。为进一步加强关键信息基础设施安全保护工作，公安部出台了一系列政策文件，加快建设关键信息基础设施安全综合防控体系。

    1、监管部门政策动态

    党中央高度重视关键信息基础设施安全保护工作。2019 年，中央网络安全与信息化委员会下发了有关关键信息基础设施安全保护工作的政策文件，明确了关键信息基础设施安全保护工作的有关要求。公安部作为关键信息基础设施安全保护工作的主管部门和法定责任部门，指导并组织各地区和有关部门开展关键信息基础设施认定和保护工作。

    （1）《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960 号）

    2020 年 9 月，公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960 号），确定了指导思想、基本原则和工作目标，提出深入贯彻国家网络安全等级保护制度，建立并实施关键信息基础设施安全保护制度，加强网络安全保护工作协作配合，加强网络安全工作各项保障，从而进一步健全完善国家网络安全综合防控体系，有效防范网络安全威胁，有力处置重大网络安全事件，切实保障关键信息基础设施、重要网络和数据安全。

    （2）《网络安全审查办法》（国家网信办令第 8 号）

    为确保关键信息基础设施供应链安全，维护国家安全，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、 国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局国家、国家广播电视总局、国家保密局、国家密码管理局依据《国家安全法》《网络安全法》《数据安全法》制定《网络安全审查办法》（国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第 6 号），于 2020 年 4 月 13 日公布，自 2020 年 6 月 1 日起施行。

    2021 年 7 月 10 日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知。

    2021 年 11 月 16 日，国家互联网信息办公室 2021 年第 20 次室务会议审议通过《网络安全审查办法》，并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意，予以公布，自 2022 年 2 月 15 日起施行。

    2020 年 4 月 13 日公布的《网络安全审查办法》同时废止。网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神，电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时，应按照《网络安全审查办法》的要求考虑申报网络安全审查。

    （3）《关于落实网络安全保护重点措施 深入实施网络安全等级保护制度指导意见》（公网安〔2022〕1058 号）

    2022年6月，为了深入贯彻实施国家网络安全等级保护制度，建立良好的网络安全生态，依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》以及《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号），结合网络安全等级保护 2.0 系列国家标准，国家网络安全等级保护工作协调小组办公室研究提出了落实网络安全保护的总体要求、工作目标和 34 项重点措施。拉列 34 项清单，要求网络运营者逐项核对落实，实现网络安全的“实战化、体系化和常态化”。

    2、保护工作部门动态

    （1）水利网络安全管理办法

    2019 年 8 月，水利部印发了《水利网络安全管理办法（试行）》。该《管理办法》共6 章 56 条，主要内容包括总则、网络安全规划建设、网络运行安全（一般要求和关键信息基础设施运行安全）、监测预警与应急处置、监督考核与责任追究及附则。《管理办法》为水利行业网络安全强监管提供准则和依据，是健全水利网络安全保障体系、提升水利网络安全防护能力的重要举措。

    《管理办法》指出，水利网络安全遵循“积极利用、科学发展、依法管理、确保安全”的方针，建立及时发现漏洞、及时有效处置漏洞和严格责任追究三套机制，确保水利信息化规划建设同步落实网络安全等级保护制度，明确运行阶段网络安全责任。《管理办法》围绕查、改、罚等环节，强化利用攻防演练、渗透测试、在线监测等客观、有效方式去发现问题；深入评估、分析问题产生的原因，采取修补漏洞、系统升级、部署防护措施、完善管理制度等措施进行有效处置、整改；明确责任追究主体及原则，细化责令整改、警示约谈、通报批评以及建议行政处分和组织处理等追究方式，将水利网络安全保护对象重要程度与网络安全事件严重程度组合量化追究事项，对造成严重损失及危害的、屡教不改的，从严从重处罚，直至追究行政、法律责任。

    （2）公路水路关键信息基础设施安全保护管理办法

    2023 年 5 月，交通运输部公布了《公路水路关键信息基础设施安全保护管理办法》（交通运输部令 2023 年第 4 号），自 2023 年 6 月 1 日起施行。

    公路水路关键信息基础设施是指在公路水路领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。党的二十大报告明确要求强化网络安全保障体系建设，加强关基设施安全保护是交通运输行业网络安全工作的重中之重。2021 年出台的《关键信息基础设施安全保护条例》对国家关基设施安全保护予以了系统规范。《交通强国建设纲要》《国家综合立体交通网规划纲要》明确要求加强交通信息基础设施安全保护、健全关基设施安全保护体系。为全面贯彻落实党中央、国务院关于加快建设交通强国的决策部署，细化落实《条例》制度规定，同时系统解决关基设施安全保护实践中存在的问题，需要制定《管理办法》，以全面保障关基设施的安全运行。

    该《管理办法》共6章33条，包括总则、公路水路关键信息基础设施认定、运营者责任义务、保障和监督、法律责任及附则。主要内容包括：一是明确关基设施管理体制。规定交通运输部负责全国关基设施安全保护和监督管理，并对在全国范围运营以及其他经交通运输部评估明确由部管理的关基设施具体实施安全保护和监督管理工作；省级交通运输主管部门对本行政区域内运营的关基设施具体实施安全保护和监督管理。此外，在具体管理事项上对部省两级交通运输主管部门职责予以了细化。

    二是建立关基设施认定机制。明确交通运输部作为关基设施认定主体，负责制定认定规则、组织认定工作，并规定了具体认定程序。

    三是压实运营者主体责任。建立关基设施全过程保护制度，要求安全保护措施应当与关基设施同步规划、同步建设、同步使用，明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、安全检测和风险评估，以及数据保护、密码应用、保密管理、教育培训等方面的责任和义务。

    四是加强对关基设施风险隐患的应急处置。从监测预警能力建设、应急预案制定演练、安全防范和安全事件报告等方面，对交通运输主管部门和运营者责任和义务予以明确。

    五是强化事前事中事后监管。要求交通运输部制定关基规划，明确保护目标、基本要求、工作任务和具体措施，并通过定期开展检查检测、约谈运营单位负责人、实施行政处罚和政务处分等方式落实监管责任。

    （3）铁路关键信息基础设施安全保护管理办法

    为了保障铁路关键信息基础设施安全，维护网络安全，根据《网络安全法》《关键信息基础设施安全保护条例》等法律、行政法规，国家铁路局于 2023 年 7 月起草形成《铁路关键信息基础设施安全保护管理办法（征求意见稿）》，于向社会公开征求意见。2024 年 1 月，交通运输部公布了《铁路关键信息基础设施安全保护管理办法》（交通运输部令 2023 年第20 号），自 2024 年 2 月 1 日起施行。

    铁路关键信息基础设施，是指在铁路领域，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生和公共利益的重要网络设施、信息系统等。该《管理办法》共 6 章 30 条，包括总则、铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任及附则。主要内容包括：

    明确铁路关键信息基础设施管理体制。一是明确国家铁路局是负责铁路领域关键信息基础设施安全保护工作的部门，在职责范围内负责全国铁路关键信息基础设施安全保护和监督管理工作；地区铁路监督管理局开展本辖区铁路关键信息基础设施的安全保护和监督管理工作。二是明确国家铁路局作为铁路关键信息基础设施认定主体，负责制定认定规则、组织认定工作，并规定了具体认定程序。

     压实运营者主体责任。建立铁路关键信息基础设施全过程保护制度，要求安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用，明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、安全检测和风险评估以及数据保护、密码应用、保密管理等方面的责任和义务。

    加强对铁路关键信息基础设施的监督管理和保障。一是要求国家铁路局制定安全规划，明确保护目标、基本要求、工作任务和具体措施。二是从监测预警能力建设、应急预案制定演练、安全防范和安全事件报告等方面，对铁路监管部门和运营者责任和义务予以明确。三是通过定期开展检查检测、实施行政处罚和政务处分等方式落实监管责任。

    （4）证券期货业网络和信息安全管理办法

    为建立健全证券期货业网络和信息安全监管制度体系，防范化解行业网络和信息安全风险隐患，维护资本市场安全平稳高效运行，在充分衔接上位要求、总结监管实践的基础上，证监会起草了《证券期货业网络和信息安全管理办法》，经 2023 年 1 月 17 日中国证券监督管理委员会 2023 年第 1 次委务会议审议通过，自 2023 年 5 月 1 日起施行。

    该《管理办法》共 8 章 75 条，对证券期货网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展、监督管理与法律责任等方面提出了要求。具体包括总则、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护、网络和信息安全促进与发展和监督管理与法律责任。其中，关键信息基础设施安全保护旨落实国家关于关键信息基础设施的安全保护要求，结合行业特点，从组织保障、建设评审、监测评估、采购管理、性能容量、灾难备份等方面，对关键信息基础设施运营者提出进一步的督导要求。

    （5）新疆维吾尔自治区关键信息基础设施安全保护条例

    为了保障自治区关键信息基础设施安全，维护网络安全，根据《网络安全法》、国务院《关键信息基础设施安全保护条例》和有关法律、法规，结合自治区实际，制定《新疆维吾尔自治区关键信息基础设施安全保护条例》，经自治区第十三届人大常委会第三十二次会议审议通过，自 2022 年 6 月 15 日起施行。从现实需要来说，针对关键信息基础设施的攻击活动频繁发生，必须予以防范；在实践层在，自治区党委运用法治思维和法治方式保护关键信息基础设施安全，做了很多有益的探索和实践，需要通过地方立法加以固化、推广。通过立法引领、规范和推动关键信息基础设施保护工作势在必行，该条例也是全国首个关保地方性法规。主要特点包括：一是规定了安全保护原则、组织体系和工作体系，明确了分工，强化了责任；二是突出了保护制度，明确了保护工作重点；三是强化监督管理，助力保护措施落地见效；四是强化刚性约束，增强法规权威。

    为落实《网络安全法》和《关键信息基础设施安全保护条例》等法律条例的要求，全国信息安全标准化委员会开始着手组织、开展了关键信息基础设施安全系列标准的制定，针对关键信息基础设施安全保护的标准体系于 2017 年开始布局。目前，我国已经初步建立了一套关键信息基础设施安全保护的标准体系，涵盖了网络安全管理、网络安全技术、网络安全服务和网络安全产品等多个方面。

    一是在网络安全管理方面，我国已经制定了关键信息基础设施安全保护的基本要求、安全管理制度、安全事件应急处理等方面的标准。这些标准为关键信息基础设施的运营者提供了指导和规范，帮助建立健全的安全管理体系。

    二是在网络安全技术方面，我国已经开展了关键信息基础设施网络安全风险评估、网络安全监测预警、网络安全防御等方面的技术研究，并制定了相应的技术标准。这些技术标准为关键信息基础设施的安全防护提供了技术支撑和保障。作为我国第一项关键信息基础设施安全保护的国家标准之《关键信息基础设施安全保护要求》（GB/T 39204—2022）于 2023 年 5 月 1 日正式实施。该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护 3 项基本原则，从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置 6 个方面提出了 111 条安全要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。针对 CII 安全保护需求，规定了分析识别、安全防护、检测评估、监测预警、主动防御和事件处置等六方面的安全要求，是各关基运营者开展安全保护工作时的重要依据。此外，《关键信息基础设施边界识别指南》、《关键信息基础设施安全测评要求》、《关键信息基础设施安全分析识别指南》等多项国家标准正在送审或征求意见阶段。

    总的来说，我国在关键信息基础设施安全保护标准体系建设方面已经取得了一定的成果，但与国外先进水平相比还存在一定的差距。未来，我国将继续加强关键信息基础设施安全保护标准体系的建设和完善，提高关键信息基础设施的安全防护能力。