日前，国务院公布《关键信息基础设施安全保护条例》（以下简称《条例》），自9月1日起施行。这是我国首部专门针对关键信息技术设施安全保护工作的行政法规，同时作为《网络安全法》的重要配套立法，《条例》积极应对国内外网络安全保护的主要问题和发展趋势，将为下一步加强关键信息基础设施安全保护提供了重要法治保障。

    网络安全保护进入新阶段

    关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

    奇安信集团安全专家杨波接受媒体采访时表示，《条例》通过明确各级责任，拉起了一个国家统筹和监督部门、行业保护部门、运营者多级的立体化协同综合防控体系。

    司法部、网信办、工业和信息化部、公安部负责人就《条例》在答记者问中指出，任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动，不得危害关键信息基础设施安全；未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动；对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

    “《网络安全法》中虽然也有对关键信息基础设施安全保护的相关描述，但《条例》更聚焦网络安全中关键信息基础设施安全这一方面，是对《网络安全法》中相应部分的细化和落实，便于关键信息基础设施安全保护工作的落地开展。”绿盟科技运营战略规划经理吴昊表示，《条例》的出台，清晰了关键信息基础设施运营者在安全保护工作中的责任义务。运营者需建立健全网络安全保护制度和责任制，设立专门的安全管理机构，对关键岗位人员实施安全背景审查，保障安全管理机构所需的人财物投入。

    有了国家统筹和监督部门、行业保护部门的协同，运营者必将会定期开展安全检测和风险评估工作，履行安全事件和威胁报告义务，落实网络安全审查要求，强化监测预警和信息共享等，助推我国网络安全保护迈入新的发展阶段。

    为产业发展明确了方向

    关键信息基础设施安全关乎国家安全、国计民生、公共利益。做好关键信息基础设施安全保障，不仅仅是运营者、监管者的责任，更是所有网络安全从业者的责任。

    “《条例》的出台将对网络安全行业的供给能力提出了更高要求。”吴昊认为，安全厂商首先是要强化“可信任”的技术供给，要在遵循可信任理念的基础上，大力发展相关网络安全技术；其次是要提供“全场景”的产品供给，企业对网络安全产品供给的最基本要求就是要提供全领域、全要素、全类型的产品覆盖，需要尽快建立健全关基网络安全产品体系；最后是要开展“实战化”的服务供给，安全企业需要做好应急处置、攻防演练、教育培训、一体化运营等服务的准备。

    绿盟科技日前发布的智慧安全3.0体系，紧贴关键信息基础设施安全保护要求，提出构建“全场景、可信任、实战化”的安全运营能力，为关键信息基础设施网络安全保驾护航。

    杨波认为，无论从网络安全理论还是实践看，攻击都是无法完全避免的，因此只能构建立体化的综合防控体系，通过安全保护能力的提升，尽可能延长攻击成功的时间，同时通过协同机制尽可能加快风险检测和风险处置的时间。

    目前来看，如何有效保障关键信息基础设施的安全，以及如何认定关键信息基础设施，一直是关系关键信息基础设施行业发展的首要问题。学习和践行《条例》将其应用在日常安全防护工作中，是网络安全企业的责任。而只有规范化、标准化的防御体系才能充分发挥各方优势形成合力，有效保护关键信息基础设施免受攻击、侵入、干扰和破坏，让关键信息基础设施拥有安全“金钟罩”，保障我国社会主义现代化强国建设。