冯登国院士：关键信息基础设施安全保护的三个视角

《关键信息基础设施安全保护条例》（以下简称《条例》）的意义和价值毋庸置疑，但是，《条例》要真正落地还任重而道远。同时，随着技术的发展、社会的进步，还要不断地研究完善《条例》，使它更加具有科学性和合理性。

当前，关键信息基础设施面临的安全问题主要表现在三个方面。

第一是产业链、供应链安全。从现在的形势来看，关键信息基础设施的产业链、供应链安全是当前最大的安全问题，也是当前产业界的痛点难点。有些关键信息产品或组件，一方面，面临着国外技术断供或垄断的风险；另一方面，这些产品或组件也存在被植入病毒、木马等恶意软件的风险。对产业链、供应链安全，我们首先想到的就是要实现自主可控，就是采取“自主研制+可控利用”的技术路线来实现。就信息技术和产品而言，我认为利用开源、发展开源可能是我们走向自主可控的必由之路。最初的网络安全产品很多也是在开源的基础上发展起来的，逐渐做到自主率越来越高。在当今的 IT 发展趋势下，开源是一个绕不过的话题。当然，利用开源时，也要重视相关的安全风险。

第二是自身安全。关键信息基础设施自身的安全性非常重要，因为大部分关键信息基础设施要对外提供服务，如果自身难保，就不可能有效地提供服务，安全更无从谈起。自身安全也称为“弹性安全”“柔性安全”或“可生存性”，这是一个相对的概念，不是要做到绝对的自身安全，而是要把关键信息基础设施做得比较柔性、有弹性，当其即使受到网络攻击或恶意代码感染，在一定条件下，仍然能够正常工作和提供服务。弹性安全技术已成为网络安全领域的新潮流，可采用弹性认证机制、移动目标防御、棘轮安全机制、可信计算等技术，来实现关键信息基础设施的带菌生存、入侵容忍、内生安全和计算环境可信等。当然，弹性安全技术也不是万能的，要辩证地来看待，决不能夸大其作用，还需要实践的检验和验证。

第三是应用安全。关键信息基础设施的一个重要作用是给社会提供各式各样的应用服务，这就会产生应用安全问题。关键信息基础设施的应用安全是一个大概念，例如数据的安全问题、资源的安全问题、敏感信息的安全问题，还有国家和社会组织面临的安全威胁。例如，电子政务平台对外提供服务，就会带来政务网络的各类安全风险，从而就可能对社会和国家造成威胁。针对这些问题，国家制定了系列法律法规，如《数据安全法》《个人信息保护法》，对解决关键信息基础设施带来的应用安全问题提供了法律遵循。

以上这三个方面也是辩证统一的，例如通过应用可能会发现关键信息基础设施的自身安全问题，会发现产业链、供应链的安全问题，彼此之间相互作用，相互促进。在新形势下，我们要高度重视新技术应用对关键信息基础设施带来的安全隐患和潜在风险，加强安全威胁风险评估，积极采取有效的应对措施，提升关键信息基础设施的对抗能力和防护水平。

（本文根据冯登国院士在 2022年 9 月 1 日“关基条例一周年”专题研讨会上的讲话编辑整理，刊登于《中国信息安全》杂志2022年第9期）

来源：中国信息安全