作為現(xiàn)代社會的神經(jīng)中樞，關鍵信息基礎設施支撐著國家經(jīng)濟運行的關鍵業(yè)務，并承擔社會服務的重要功能，是關系國家安全、國計民生和公共利益的戰(zhàn)略資源。隨著新技術新應用的發(fā)展，網(wǎng)絡攻擊的手段和方式不斷翻新，關鍵信息基礎設施面臨嚴峻的網(wǎng)絡安全挑戰(zhàn)。制定和頒布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），回應了國家網(wǎng)絡安全的重大關切，是提高我國網(wǎng)絡安全防御水平的重要舉措，是建設網(wǎng)絡強國的戰(zhàn)略部署。

　　看《條例》五大亮點

　　作為關鍵信息基礎設施安全保護的專項行政法規(guī)，《條例》的頒布為關鍵信息基礎設施安全保護提供了可操作的解決方案和精細的工作指導。對照《網(wǎng)絡安全法》對關鍵信息基礎設施運行安全的已有規(guī)定，《條例》有五大亮點值得關注。

　　第一，明確關鍵信息基礎設施認定?！稐l例》確立了關鍵信息基礎設施的范疇、認定原則和組織流程，尤其是將能源、電信等關鍵信息基礎設施確立為國家優(yōu)先保障重點。

　　第二，明確網(wǎng)絡安全保護責任制?！稐l例》特別要求關鍵信息基礎設施運營者要設置專門安全管理機構，從運行經(jīng)費、人員配備、參與網(wǎng)絡安全和信息化有關的決策等資源保障和組織程序上確保關鍵信息基礎設施保護的投入和落實。

　　第三，明確常態(tài)化網(wǎng)絡安全檢測。《條例》要求運營者、保護工作部門、國家網(wǎng)信部門定期對關鍵信息基礎設施進行本行業(yè)、本領域和國家級的常態(tài)化網(wǎng)絡安全檢測。

　　第四，強調專業(yè)性支撐和保障?！稐l例》提出網(wǎng)信部門、公安機關、保護工作部門等有關部門要對運營者提供技術支持和協(xié)助；網(wǎng)絡安全服務機構要提升能力水平等要求。

　　第五，全方位地壓實責任。在明確各方職責后，《條例》通過處罰規(guī)定，重點壓實了關鍵信息基礎設施運營者的主體責任，規(guī)定了網(wǎng)信部門、公安機關、保護工作部門、網(wǎng)絡安全服務機構及其主管人員和工作人員的責任，增加了對網(wǎng)絡安全從業(yè)人員和關鍵崗位人員的要求，強調任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動。

　　有效銜接并補充相關法律法規(guī)

　　從2016年11月國家正式頒布《網(wǎng)絡安全法》，國家就著手制定網(wǎng)絡安全基本法的配套措施。以《網(wǎng)絡安全法》為法律基礎，《條例》對其中的“關鍵信息基礎設施的運行安全”部分進行了落實、細化和完善。同時，這份規(guī)定與近期國家頒布的相關法律法規(guī)呈現(xiàn)出有效銜接、相互補充的關系，體現(xiàn)了國家頂層設計的通盤考慮。

　　在網(wǎng)絡安全審查方面，《條例》要求對負責人和關鍵崗位人員進行安全背景審查，對網(wǎng)絡產(chǎn)品和服務采購進行安全審查，這些規(guī)定與《網(wǎng)絡安全法》和《網(wǎng)絡安全審查辦法》的精神和內容保持了一致。

　　在漏洞管理方面，《條例》特別強調了未經(jīng)授權不得對關鍵信息基礎設施實施漏洞探測和滲透性測試活動，對基礎電信網(wǎng)絡實施漏洞探測、滲透測試等活動應當事先向國務院電信主管部門報告。這些強制性規(guī)定與《網(wǎng)絡產(chǎn)品漏洞管理規(guī)定》對從事網(wǎng)絡產(chǎn)品安全漏洞發(fā)現(xiàn)、收集的組織和個人的相關規(guī)定，在內容上是互相補充。

　　在數(shù)據(jù)出境方面，《條例》沒有特別規(guī)定，但是有《數(shù)據(jù)安全法》作為《網(wǎng)絡安全法》的配套和銜接，關鍵信息基礎設施的數(shù)據(jù)出境問題可依照相關規(guī)定執(zhí)行。

　　《條例》助網(wǎng)絡安全產(chǎn)業(yè)發(fā)展

　　首先，《條例》重視發(fā)揮網(wǎng)絡安全服務機構在關鍵信息基礎設施安全保護中的能力和作用。例如，《條例》規(guī)定了關鍵信息基礎設施的運營者“應當自行或者委托網(wǎng)絡安全服務機構對關鍵信息基礎設施每年至少進行一次網(wǎng)絡安全檢測和風險評估”；國家網(wǎng)信部門要“促進有關部門、保護工作部門、運營者以及網(wǎng)絡安全服務機構等之間的網(wǎng)絡安全信息共享”；國家要“加強網(wǎng)絡安全服務機構建設和管理”等事項。上述內容表明，關鍵信息基礎設施保護離不開網(wǎng)絡安全服務。而且，由于網(wǎng)絡安全的特殊性，重要行業(yè)和領域需要有網(wǎng)絡安全企業(yè)的專業(yè)支撐，才能實現(xiàn)可持續(xù)的網(wǎng)絡安全保護。

　　其次，《條例》的頒布有利于我國網(wǎng)絡安全產(chǎn)業(yè)的自主創(chuàng)新。例如，《條例》明確規(guī)定關鍵信息基礎設施運營者“應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務”，提出“國家支持關鍵信息基礎設施安全防護技術創(chuàng)新和產(chǎn)業(yè)發(fā)展，組織力量實施關鍵信息基礎設施安全技術攻關”。這些內容對于我國信創(chuàng)安全而言，是一個積極的推動。

　　第三，《條例》的頒布為我國網(wǎng)絡安全產(chǎn)業(yè)發(fā)展提供了新的動力。國家對關鍵信息基礎設施保護高度重視，同時不同行業(yè)不同領域的關鍵基礎設施保護既有共性更有差異，這是整個網(wǎng)絡安全產(chǎn)業(yè)面臨的挑戰(zhàn)，這也需要網(wǎng)絡安全企業(yè)勇于擔當，緊緊圍繞國家的戰(zhàn)略需求，將挑戰(zhàn)轉換為發(fā)展的動力，拿出實戰(zhàn)化、體系化、常態(tài)化的網(wǎng)絡安全方案。

　　展 望

　　對國家而言，關鍵信息基礎設施保護是國家網(wǎng)絡安全的重大關切。對重要行業(yè)而言，關鍵信息基礎設施的安全防護是企業(yè)生產(chǎn)經(jīng)營的底線和紅線。通過《條例》可以看到，政策制定的初衷是希望通過政策法規(guī)的及時卡位、規(guī)范、公正和透明，在頂層設計上給信息化發(fā)展提供可操作的安全指南，在安全的前提下促進經(jīng)濟高質量發(fā)展。因此，無論是立足國家安全，還是著眼經(jīng)濟發(fā)展，我國網(wǎng)絡安全產(chǎn)業(yè)都處于前所未有的戰(zhàn)略機遇期，網(wǎng)絡安全企業(yè)要抓住千載難逢的機遇，乘勢而上，為建設網(wǎng)絡強國做出應有的貢獻。（作者：360天樞智庫）