简析《关键信息基础设施安全保护要求》及其对网络安全产业的影响

《保护要求》历经五年多正式出台，制定过程大致可分为四个阶段：一是形成标准草案，2017年3月，编制组形成《信息安全技术 关键信息基础设施网络安全保护基本要求》（以下简称《基本要求》）标准草案，并提交全国信息安全标准化委员会（以下简称信安标委）正式立项。二是广泛征求意见，2018年6月，信安标委就编制组根据专家意见形成的《基本要求》（征求意见稿）面向社会公开征求意见。三是开展试点工作，2019年12月，信安标委组织开展《基本要求》（报批稿）发布前的试点验证工作，选取电信、能源、交通等重点行业和领域的12家单位作为标准应用试点单位，以验证《基本要求》标准内容的合理性和可操作性。四是正式发布标准，2022年11月，更名后的《信息安全技术 关键信息基础设施安全保护要求》国家标准正式发布，并将于2023年5月1日正式实施。

《保护要求》是我国在关键信息基础设施领域正式出台的首个国家标准。目前信安标委将开展的标准项目分为制定、修订、研究三种类型。根据不完全统计，信安标委在关键信息基础设施方面共开展了14项标准项目，其中包括9项标准制定项目和5项标准研究项目。详见下表。

《保护要求》明确了关键信息基础设施安全保护的适用对象、基本原则和具体要求等内容，具体分析如下。

（一）适用对象

《保护要求》的适用对象分为两类：一是关键信息基础设施运营者，适用于指导其对关键信息基础设施进行全生存周期安全保护；二是其他相关方，如主管部门、监督管理部门等，适用于其开展关键信息基础设施安全保护工作时参考使用。

（二）基本原则

《保护要求》规定了关键信息基础设施保护工作的三大基本原则。一是整体防控。要以保护关键业务为目标，对业务所涉及的一个或多个网络和信息系统进行体系化安全设计，构建整体安全防控体系；二是动态防护。要根据面临的安全威胁态势进行持续监测和安全控制措施的动态调整，形成动态的安全防护机制；三是协同联防。要积极构建相关方广泛参与的信息共享、协同联动的共同防护机制，提升关键信息基础设施应对大规模网络攻击能力。

（三）具体要求

《保护要求》进一步细化了《关基条例》中关键信息基础设施运营者在建设管理、安全审查、事件报告、检查配合等方面的责任义务，从关键信息基础设施全生存周期的角度提出了具体防护要求，包括分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6类27项。主要内容如下表所示。

从内容要求来看，关键信息基础设施安全保护制度在网络安全等级保护制度的基础上，进一步突出了保护重点，并强化了保护措施。一方面，关键信息基础设施安全保护应首先符合网络安全等级保护制度相关要求。从《保护要求》行文上也可以看出，关键信息基础设施安全保护的总体建设思路与网络安全等级保护制度的“三化六防”中的“整体防控”、“动态防御”、“联防联控”等理念一脉相承。另一方面，应在满足“合规性”防护的基础上，应重点加强关键信息基础设施关键业务的风险识别、监测预警、主动防御等方面能力建设，确保关键信息基础设施业务持续稳定运行。

《保护要求》的颁布，对于网络安全产业在关键信息基础设施领域的发展具有重要推动作用，主要体现在以下三个方面。

一是加强关键信息基础设施安全技术创新。大力发展相关网络安全技术，包括但不限于：关键信息基础设施安全风险感知和识别技术、关键信息基础设施系统漏洞检测技术、关键信息基础设施数据标识和管理技术、关键信息基础设施网络威胁溯源和取证技术等。二是加快完善关键信息基础设施安全产品和方案体系。需要尽快建立健全关键信息基础设施网络安全产品体系，重要产品包括但不限于：关键信息基础设施安全评估产品、关键信息基础设施安全检测产品、关键信息基础设施安全增强防护产品、关键信息基础设施安全运行监测平台等。三是加快完善关键信息基础设施安全服务体系。从关键信息基础设施保护所需的网络安全服务体系来看，关键服务类型包括但不限于：关键信息基础设施安全应急处置服务、关键信息基础设施安全演练服务、关键信息基础设施安全教育培训服务、关键信息基础设施安全一体化运营服务等。

《保护要求》的颁布及实施，是我国关键信息基础设施安全保护工作的重要一环。绿盟科技深耕网络安全领域二十余年，将继续秉承“专攻术业，成就所托”的宗旨，务实创新，为加强国家关键信息基础设施安全保障体系和能力建设作出更大贡献。