2022年9月1日贿魄，我國《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)已正式施行一周年蔑辽，關于《條例》推出并施行的價值和意義贺辰，我們不再做過多的贅述乃蔬，需要指出的是厘线，盡管在2017年6月1日施行的《網絡安全法》中規(guī)定了關鍵信息基礎設施提供者的相關義務和規(guī)則居绸，對關鍵信息基礎設施的網絡運營者的責任與義務也做出了特別規(guī)定伐藕，但總體而言山乐，《網絡安全法》的規(guī)定較為原則岩视，缺乏細化的措施。

相比之下插凳，《關鍵信息基礎設施安全保護條例》規(guī)定的條款內容則更加詳盡颓蛀、方法更具操行性、安全保護標準更嚴格姥胳，而且對《網絡安全法》中規(guī)定安全檢測評估機制等進行了創(chuàng)新鹰坐，能夠更大程度實現互聯網領域中關鍵基礎設施的安全穩(wěn)定運行。

那么現在我們回過頭來看《條例》自2021年9月1日以來這一年贵健，相關行業(yè)迷啄、企業(yè)都發(fā)生了哪些積極的變化呢?而在具體落實方面又著重體現在哪里呢?圍繞著這些話題，我們特別邀請到了專注于工業(yè)互聯網安全的企業(yè)——長揚科技的營銷咨詢部總經理李莊來分享他們所觀察到的一些細節(jié)朋蔫。

《條例》促進國家整體 網絡安全戰(zhàn)略的深化落地

李莊表示罚渐，通過《條例》的細則能夠明顯看到國家、行業(yè)監(jiān)管部門驯妄、關基運營者搅轿、安全支撐企業(yè)等多方力量對關基網絡安全的重視程度不斷提升病涨，具體來看則主要體現在以下3點：

1、突出了重點保護對象璧坟。從等保到關保，保護對象從“全行業(yè)”重點突出了能源赎懦、交通雀鹃、水利、公共通信和信息服務励两、金融黎茎、公共服務、電子政務当悔、國防科技工業(yè)等行業(yè);尤其是明確了以上企業(yè)的工業(yè)控制系統(tǒng)傅瞻，作為影響國計民生的核心生產運行系統(tǒng)，都被定義為關鍵信息基礎設施(critical information infrastructure,CII)進行重點保護瓢身。

2迟摹、明確了關基保護流程。在網絡安全等級保護制度基礎上宝辛，著眼分析識別跋章、安全防護、檢測評估枕泽、監(jiān)測預警往姆、主動防御、事件處置6大環(huán)節(jié)掰站，圍繞網絡安全風險全過程閉環(huán)管理宏湾，建立網絡安全整體框架和規(guī)定動作。

3涧谓、加強了主動防御體系旋稚。基于等保2.0主張的“一個中心、三重防護”的縱深防御思想芽接，增加了“主動防御饵逐、監(jiān)測預警、事件處置”等要求彪标，加強對于各類安全攻擊行為的監(jiān)測倍权、分析、處置捞烟、溯源薄声、協(xié)同、共享题画、通報默辨、整改等指導要求德频，實現了對關基安全的立體化安全保障能力，實現了安全管理的閉環(huán)缩幸。

從上述幾點可以看出壹置，這對于各行業(yè)的關基運營者在實際落地《條例》的過程中起到了指導、明確表谊、強化的作用钞护，同時也促進了國家整體網絡安全戰(zhàn)略的深化落地。

關基運營者加強監(jiān)管與安全能力建設 國產化安全產品需求提升

《條例》的施行爆办，首先影響到的就是那些被劃定為關基單位的運營者們揩臊，同時也是網絡安全行業(yè)的甲方用戶群體，在通過《條例》明確了自身的責任和義務之后鬼痹，結合其給出的關基保護重點建設方向落余，那么相比此前，他們在行動上有著怎樣的變化呢?

首先是在管理方面榕吨，《條例》施行后幔私，集團型客戶明顯加強了對下屬生產企業(yè)的集中監(jiān)管。

在《條例》的第十二條明確“安全保護措施應當與關鍵信息基礎設施同步規(guī)劃把丹、同步建設图兑、同步使用”這一要求，對于集團型客戶而言躯法，在頂層規(guī)劃方面就進行工控網絡安全總體設計蔫卦，從而指導集團和下屬企業(yè)按照“統(tǒng)一規(guī)劃、統(tǒng)一標準滚蚪、統(tǒng)一投資桨座、統(tǒng)一建設、統(tǒng)一管理蛉幸、統(tǒng)一運維(運營)”的模式破讨，著手進行工控網絡安全企業(yè)標準的設計編寫，并通過構建集團測工控安全態(tài)勢感知平臺奕纫，做到“摸清家底提陶、認清風險、找出漏洞匹层、及時通報隙笆、持續(xù)整改”。

其次是在建設方面升筏，關基運營者開始普遍關注和加強對內部組織撑柔、人員網絡安全能力。

根據《條例》第十五條“按照國家及行業(yè)網絡安全事件應急預案，制定本單位應急預案铅忿，定期開展應急演練剪决，處置網絡安全事件”、“組織網絡安全教育檀训、培訓”;第二十五條“保護工作部門應當按照國家網絡安全事件應急預案的要求柑潦，建立健全本行業(yè)、本領域的網絡安全事件應急預案丛滋，定期組織應急演練;指導運營者做好網絡安全事件應對處置央匀，并根據需要組織提供技術支持與協(xié)助”。

因此技窝，關基運營者除了相關管理制度的進一步完善和加強的基礎上，還特別注重強化自身的網絡安全能力提升工作亡铺，以適應和滿足《條例》所提出的要求叙冕，并以實戰(zhàn)化的角度出發(fā)，無論是自己獨立完成還是通過以采購專業(yè)第三方服務的方式來完成包括制定應急預案厕猴、開展應急演練等工作鹉某，提升“以攻促防”以盡可能地保證在遭受網絡攻擊后，能夠快速且有效地處置及響應盲外，保障關基設施的正常運轉继躁。

最后是在采購方面，用戶對于國產化的工控安全產品需求日益提升棺蛾。

根據《條例》第十九條提到的“運營者應當優(yōu)先采購安全可信的網絡產品和服務;采購網絡產品和服務可能影響國家安全的虎炸，應當按照國家網絡安全規(guī)定通過安全審查”要求，結合今年2月份新版《網絡安全審查辦法》的正式施行怜俐，共同確保了關鍵信息基礎設施供應鏈安全身堡、網絡安全和數據安全，從而更好地維護國家安全拍鲤。從行業(yè)角度看贴谎，國家能源局、水利部季稳、國鐵集團等行業(yè)主管部門也在行業(yè)相關規(guī)劃中提出要進行“安全自主可控”國產化替代要求擅这。由于我國工業(yè)控制系統(tǒng)基礎弱，大部分控制系統(tǒng)被國外壟斷景鼠，在國內外日益嚴峻的大背景下仲翎，工控行業(yè)需要逐漸改變過分依賴國外芯片、操作系統(tǒng)的現狀莲蜘，避免出現因為“卡脖子”而影響關基企業(yè)運行安全的事件谭确。

對于由政策帶動的市場需求變化，國內的安全企業(yè)也在積極應對，在溝通中我們了解到逐哈，目前長揚工控安全防護產品已經與業(yè)內眾多生態(tài)伙伴實現產品兼容性互認證芬迄，包括麒麟軟件、統(tǒng)信軟件;飛騰蒙玩、龍芯瘤贷、申威、海光绅刨、兆芯等CPU廠商;長城招惜、曙光、寶德 抗钻、聯想棚泛、浪潮等整機廠商。隨著時間的不斷推移褒述，我們有理由相信牢米，無論是從國家的政策要求角度還是從實際的安全角度，在技術上自主可控的國產化安全產品市場在未來必將迎來一個快速發(fā)展的時期逃窜。

《條例》落地過程中仍存在的 四大現實問題與挑戰(zhàn)

基于上述內容我們可以看出郊舅，《條例》施行一年以來，對行業(yè)的促進作用已經顯現止骨，也推動了關鍵信息基礎設施相關安全建設水平的提升席赂，但同時，我們也應看到這期間仍然存在的一些問題时迫。針對這一話題颅停，李莊表示，關鍵信息基礎設施是國家重要的戰(zhàn)略資源别垮，關系國家安全便监、國計民生和公共利益，具有基礎性碳想、支撐性烧董、全局性作用，保護關鍵信息基礎設施安全是國家網絡安全工作的重中之重胧奔。在具體落地工作中逊移，仍存在以下現實問題和挑戰(zhàn)：

1、關鍵信息基礎設施安全保護法律仍需完善龙填。關基保護要求基于等保高于等保胳泉，對于關基運營者來說兩者要求都要滿足，但《條例》細則中的《CII安全保護要求》和《CII安全檢查評估指南》仍未發(fā)布岩遗，運營者進行關基保護落地缺少細化依據;

2扇商、關基涉及的行業(yè)范圍廣，業(yè)務眾多，復雜度高桑趴。關鍵信息基礎設施涵蓋各行業(yè)的業(yè)務系統(tǒng)眾多且復雜度高盟拨。目前在各行業(yè)關基業(yè)務識別認定方面，缺少統(tǒng)一的行業(yè)認定標準和規(guī)范指引;

3盔连、關基保護工作開展時間相對較短琢账，運營者自身各方意識有待加強。關基保護涉及到從“縱深防御”到“動態(tài)防御凰染、主動防御蟆蔫、聯防聯控”的轉變，運營者自身的安全意識認知捏诫、人員技術能力凿芦、主動監(jiān)測能力、安全分析水平连定、事件處置等軟能力方面仍需要進一步加強凹尺。

4、安全方案和產品“實戰(zhàn)”能力不強希俩。關基運營者選用的安全方案和產品缺少在“以攻促防”場景下的實戰(zhàn)檢驗能力，沒有發(fā)揮真正的防護作用纲辽，這一點主要體現在我國一年一度的大型攻防演練活動中颜武，依然會有大量的相關企業(yè)被攻陷，暴露出嚴重的安全隱患拖吼。

在我們看來鳞上，上述這些問題和挑戰(zhàn)也并非是通過一個制度在短時間內就能完全扭轉的，隨著相關法律法規(guī)制度的不斷完善和細化吊档，以及我國整體網絡安全能力的逐步提升篙议，這些問題和挑戰(zhàn)都將會一一化解。

滿足《條例》要求需重點關注六方面

從關鍵信息基礎設施安全保護執(zhí)行落地的六個階段具體要求來看怠硼，“分析識別鬼贱、安全防護、檢測評估香璃、監(jiān)測預警这难、主動防御、事件處置”是基于等保2.0“安全技術+安全管理”的增強要求葡秒。

那么如何既滿足等保合規(guī)要求躲窜，又符合關基保護要求呢?李莊在這里也為關基行業(yè)的運營者(企業(yè))提出自己的建議——需重點關注以下6個方面：

1、分析識別：運營者按照相關規(guī)定開展關鍵信息基礎設施分析和識別活動捺膳，圍繞關鍵信息基礎設施承載的關鍵業(yè)務咧笔，開展業(yè)務依賴性識別、關鍵資產識別、風險識別等活動垂票。本環(huán)節(jié)是開展安全防護李晾、檢測評估、監(jiān)測預警捅县、主動防御摊壳、事件處置環(huán)節(jié)工作的基礎。

2猪晰、安全防護：運營者根據已識別的關鍵業(yè)務和資產粒颂、安全風險，實施安全管理制度状寨、安全管理機構仑萧、安全管理人員、安全通信網絡枷遂、安全計算環(huán)境樱衷、安全建設管理、安全運維管理等方面的安全控制措施酒唉，確保關鍵信息基礎設施的運行安全矩桂。本環(huán)節(jié)在識別關鍵信息基礎設施安全風險的基礎上制定安全防護措施。

3痪伦、檢測評估：為檢驗安全防護措施的有效性侄榴，發(fā)現網絡安全風險隱患，運營者制定相應的檢測評估制度网沾，確定檢測評估的流程及內容等要素癞蚕，并分析潛在安全風險可能引起的安全事件。

4辉哥、 監(jiān)測預警：運營者制定并實施網絡安全監(jiān)測預警和信息通報制度桦山，針對即將發(fā)生或正在發(fā)生的網絡安全事件或威脅，提前或及時發(fā)出安全警示醋旦。建立威脅情報和信息共享機制恒水，落實相關措施，提高關鍵信息基礎設施主動防御能力猬肖。

5余窖、主動防御：運營者以對安全行為的監(jiān)測發(fā)現為基礎，主動采取誘捕函以、溯源森片、干擾和阻斷等措施，及時精準預警轨畏，實時構建彈性防御體系毯炊，避免令袒、轉移、降低關鍵信息基礎設施面臨的風險的安全措施态素。提升對網絡威脅與攻擊行為的認知和應對能力程蠕。

6、事件處置：對網絡安全事件進行報告和處置躲含，并根據檢測評估辣铡、監(jiān)測預警環(huán)節(jié)發(fā)現的問題，運營者制定并實施適當的應對措施别肄，恢復由于網絡安全事件而受損的功能或服務酣衷。

基于上述內容，運營者需要構建一套持續(xù)次泽、動態(tài)的風險管理方法穿仪，實現從關基認定識別、主動防御意荤、到安全風險全過程監(jiān)測啊片、分析、處置玖像、改進的運營管理平臺和保障體系建設紫谷，以應對動態(tài)的網絡安全威脅，將網絡安全風險控制在可接受的范圍捐寥，確保企業(yè)自身關鍵信息基礎設施業(yè)務穩(wěn)定碴里、持續(xù)運行。