作者：国家信息安全技术研究中心/ 冯燕春

近年来，随着我国网络强国战略的深化和实施，国家关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位日益突出，构建国家关键信息基础设施安全保障体系已迫在眉睫，是当前一项全局性、战略性任务。

一、构建国家关键信息基础设施安全保障体系，我们面临的主要困难与问题

2003年，我国政府就国家关键基础设施和重要信息系统的概念及保护范围进行了定义，指出关键基础实施和重要信息系统涵盖广电网、电信网、互联网，涉及银行、证券、保险、民航、铁路、电力、海关、税务等行业或系统，即：“8+2”。2016年11月，第十二届全国人大常委会第二十四次会议表决通过并将于2017年6月1日起实施的《网络安全法》中明确，国家关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。由此可见，我国的关键信息基础设施体系十分庞大，涉及的领域多、分布广、范围大，在实施安全保障方面仍存在一些困难和问题。

（一）我国部分关键信息基础设施分布广，城乡差距明显，防护薄弱，集中统一监测难度较大

我国关键信息基础设施的安全防护工作，过去由于缺乏国家层面的战略规划和部署，网络信息安全受外界因素影响较大，在抵御大规模、高强度，定向恶意攻击时存在一定风险。我国地域广阔，经济发展不均衡，导致关键信息基础设施分布不均，多集中于大中城市，而偏远地区严重匮乏。有的关键基础设施孤立分散，网络资源缺乏有效整合；有的防护自成体系，且防护设备陈旧，软件升级慢，售后维护不规范；有的甚至使用未经国家认证企业的安全产品，防护标准未达到国家要求；许多单位依托卫星、光纤或互联网传输各类资源，信号传输加密标准低，极易被截获破解，信息系统存在被第三方介入攻击的潜在威胁。整合这些分散、孤立的企业设施，实现分级联网、统一监测监管，投入的人、财、物等资源巨大，短时间内完成存在一定困难。

（二）信息资源开发利用不够，部分关键核心技术和设备受制于人，存在系统受控、信息泄露发现滞后等隐患

改革开放30多年来，我国在引进外国先进技术、加快产业更新换代的同时，也给关键信息基础设施各领域带来许多安全隐患问题。事实上，大量外国信息技术产品已深度渗透至我国的电信、金融、石油、交管等关键网络基础设施，导致我国的经济命脉部分信息实况被外方掌握，系统运行受到控制，甚至存在被境内外敌对势力依令破坏的潜在威胁。据有关资料反映，我国使用的十大主流防火墙产品，60%可被恶意工具拥有者直接访问，另有40%可通过高价购买恶意工具或其它方式访问。

随着我国工业生产与世界逐步接轨，引进技术设备逐年增多，由此带来的远程售后服务情况十分普及，大型电力机组、高精尖数控设备、自动化管控系统，以及工业自动化生产线等都与国外企业技术联网，在进行网上远程诊断、技术升级、维修保养等售后服务时，外方也能实时监控我设备的运转和生产情况。部分自动化生产管控系统（交通、海运、民航、铁路）依赖于外包管理，系统应用架构、代码安全、软件配置等均控制在外商手中，易发生数据外泄、系统破坏、业务中断等安全隐患，关键时候还可能出现遭受恶意干预、停机或致瘫等威胁，对我国家安全、经济生产、人民生活、社会稳定造成较大影响。我国金融系统使用的国际维萨系统，每天要向国际金融机构自动报告业务流量，极易受到恶意控制，在进行网上交易和业务服务时，存在被外界渗透入侵的潜在威胁。

（三）对网络空间领域的斗争形势认识不足，安全意识淡薄，存在被境外敌对势力恶意攻击的潜在威胁

在关键信息基础设施安全保障上，部分人员思想麻痹大意，仅满足于信息系统安装了防火墙、杀毒软件、制定了防护规则与策略、文件采取加密传输等措施，对网络信息安全领域背后的复杂背景认知有限。

近年来，美国不断研发网络新型武器，建立了数字武器库，并将俄罗斯、中国、伊朗和朝鲜列为网络重点侦察目标，部分数字武器直接针对我国重要机构或基础设施。美军方组建了133支网络部队，其中40支为进攻性网络部队，包括13支“国家任务部队”及8支“国家支援部队”，这些部队除担负保护美国重要基础设施外，还协助海外部队策划并执行网络攻击等项任务。

（四）信息基础设施模拟实验环境水平较低，信息化在服务国家整体战略布局中的潜能尚未充分释放

我国网络靶场建设目前处于起步阶段,仅有部分科研实验室及专用试验场等。从体系应用角度看,我国现有的网络试验环境或测试床规模较小,且主要针对某一专业领域,尚不适用于体系化的网络空间安全科研试验与测试评估。在国家网络靶场建设方面,无论是靶场基础理论研究、关键技术和产品研发,还是网络空间安全风险评估研究,与美国等网络强国相比存在较大差距。

二、直面网络空间领域的严峻形势，我们构建网络安全保障体系的思考与建议

（一）强化主权意识，坚决维护国家网络空间安全

网络空间与现实社会相互渗透、影响、互斥的行为不仅涉及国家利益和主权，也是“网络主权”概念提出的重要依据。因此，在建设网络强国过程中，一是坚决维护国家网络主权。构建国家关键信息基础设施安全保障体系是维护网络主权、实现中华民族伟大复兴的关键所在。因此，我们要全面理解网络主权的内涵，以尊重网络主权，维护网络安全，促进开放合作、构建良好秩序的共识为准则，始终把命运掌握在自己手中，做到掌握先机、发挥优势、确保安全、赢得未来，守好国家网络主权的新疆域和制高点；二是可持续发展新安全观。安全是发展的前提，发展是安全的保障，不仅要看到信息时代飞速发展给我们带来的新机遇，更要警惕由此而产生的种种安全问题。要坚持创新驱动安全发展，必须将可持续发展新安全理念贯穿网络建设各个环节，加快信息化服务普及，筑牢网络安全领域的“防火墙”；三是筑牢全民网络国防意识。牢固树立网络边疆、网络国防意识，坚决遏止针对我国网络主权的攻击行为，对于侵犯我国关键信息基础设施、关键节点、重点防护对象的恶意行为，坚决予以抵制、反击，甚至还击。

(二）强化法规意识，完善相关政策和机制

即将实施的《网络安全法》对关键信息基础设施保护提出了很多要求，目前应尽快制定相应的保护条例、政策法规，细化落实方案，梳理、修订、制定相关技术标准，研究制定保护标准框架，形成标准体系，为网络安全法的顺利实施做好准备。首先军队是国家网络空间安全防护工作的重要力量，无论是平时还是战时军队都应参与国家关键信息基础设施的安全防护工作，明确任务与职责，并以立法形式加以保护，这是世界各发达国家网络空间制度建设的基本做法与核心；二是建立关键基础设施清单制度。根据2016年，国家网信办《关于开展关键信息基础设施网络安全检查的通知》（以下简称：3号文件）要求，有关部门应尽快制定识别标准和认定指南，对各地区、各部门、各单位管辖的关键信息基础设施的数量、分布进行摸底排查，汇总形成国家关键信息基础设施清单及数据库，每年对数据库信息进行复核，建立与之配套的更新退出机制，实现国家关键信息基础设施的动态管理；三是健全关键基础设施保护制度。以《网络安全法》为依据，尽快制定关键信息基础设施保护条例，明确关键信息基础设施保护的具体范围和安全保护办法。形成关键信息基础设施的认定标准，对关键信息基础设施进行分类、分级，明确重要、核心、关键和一般性设施的概念、定义和管理标准。在此基础上，建立相应的保护制度或细则，明确保护单位的权利、法律责任和义务；四是组建关键基础设施保护实体。在国家相关部门建立专门从事摸底更新、手段立项跟进、目标分类分级、资源共享、动态跟踪、预警发布的实体，负责关键信息基础设施全流量监测与监管工作，通过全源信息搜集和分析，掌握相关威胁攻击者和处置策略、技术及实施步骤，确立描述、解读和自动处理威胁信息的标准。在面临严重威胁时，利用各种机制与平台迅速发布可操作的信息，将网络安全事件报告指导意见及措施分发至相关机构，包括网络安全专家、各级政府，执法部门和突发事件响应中心。

（三）强化体系意识，树立国家网络安全观

近年来，我国提出“互联网+行动计划”、智慧城市、物联网等一系列网络空间发展战略，营造了深度融合创新发展的新环境。要确保关键信息基础设施在国家可持续发展中发挥重要支撑作用，应进一步强化体系建设，把服从于国家核心利益与长远利益拓展联系在一起，重点做好以下几方面工作：一是确保网络强国战略的实施。树立国家网络安全观，把网络安全防护任务与国家利益及发展结合起来，支撑“一带一路”建设实施，实现网络互联，信息互通，真正做到国家利益拓展到哪里，网络安全防护工作就应延伸到哪里，跟进到哪里，保障到哪里；二是提升网络快速感知能力。必须加快网络认知产品的研发，注重智慧＋先进技术应用，加强自有网络安全监测、预警技术平台建设、提升网络安全态势感知能力，建立统一高效的态势感知、信息共享、通报预警和应急处置机制；三是建立第三方机构检测机制。建立用户、监管机构、第三方参与的联合协作机制，充分发挥各自的职能作用。监管机构应及时向社会发布最新技术应用情况，定期或不定期发布风险提示、监管要求及防控措施等预警信息，第三方机构应定期参与用户的风险评估、等保测评，以及信息安全技术咨询与培训等活动，协助用户搞好关键信息基础设施的安全防控工作；四是完善国家技术防御体系。加快大规模、多用途、智能、综合型安全防护平台的研制，建立信息技术产品数据库和溯源体系，确保风险隐患快速定位与处置；积极打造国际先进、安全可控的核心技术体系，推动集成电路、基础软件、核心元件等产品的自主开发，将采购国外技术产品带来的安全风险降至为零；完善网络安全应急工作机制，每年应委托专业机构开展一次风险评估，严格标准检测，定期实施安全加固，完善测试、升级、维护等制度规定，确保在用网络平台安全可靠；五是注重信息安全人才队伍建设。依托国家重大人才工程，采取多种手段、多种方式、多种渠道加大对信息化领军人才支持力度，培养、造就世界水平的科学专家、网络科技领军人才、卓越工程师、高水平创新团队和信息化管理人才，打破人才流动体制界限，支持开展创新、创业大赛，技能竞赛等活动，提高我国在全球配置人才资源的能力。

（四）强化防控意识，明确体系中各单位的职责

构建关键信息基础设施安全保障体系就是要确保国家的重要设施免遭外界的渗透、控制、扰乱或毁瘫等攻击威胁，有效消除国家安全敏感信息被外界肆意传播、窃取、伪造、破坏等恶意行为，积极抵御外界对我网络空间的监听、入侵等危害或潜在威胁，守好国家的网络空间疆域。

在构建安全保障体系中，必须明确各单位的任务职责，依法、依规、依行政手段进行实施：一是建立纵深安全防护体系。提升关键基础设施、重要信息系统、关键性节点的防御能力，加强互联网出入口管理、边界防护、身份验证、权限管理、分区隔离、安全审计、入侵防范、恶意代码查杀等技术防护，建立分区分域管控风险，分层分级拦阻攻击的网络安全纵深防御体系；二是建立网络综合分析平台。综合运用各方数据资源，开展大数据挖掘与研判工作，及时发现涉及国家安全、社会稳定、经济发展等敏感信息动向及趋势，建立覆盖部门、行业、地方、运营单位的预警网络，准确通报风险和事件，跟踪应对处置情况，实现对负面舆情、事件风险的闭环管理和管控；三是提升网络空间的协防能力。国家网络空间单一防护对象，在执行既定网络空间防御任务外，根据国家有关部门的要求，定期组织跨行业、跨区域的网络安全检测，通过综合性协同防御任务的实施，促进各单位网络态势感知、侦察监视、预警反制等主动防御能力建设，实现国家网络空间防护水平的整体提升。

（五）强化演练意识，构建国家级综合网络靶场

我国是网络大国，但还不是网络强国，要建设网络强国必须通过创新驱动战略，加快关键信息基础设施模拟仿真平台和国家网络靶场建设，为国家网络安全体系规划论证、防御技术演练和安全评估提供条件。网络靶场不仅可对互联网重要节点、域名系统、卫星地面站、电缆平台、工业控制系统、关键商业、交通系统等关键功能及服务进行安全仿真检测，也可以组织跨行业、跨部门、跨地区的综合演练，有效提升攻防对抗能力、协同防护能力和应急支援能力。一是推动国家级网络靶场建设。启动国家网络靶场论证工作，运用各种网络新技术和指导原则，通过对国家和国际层面多系统、多领域、多部门的威胁验证，评估各类网络受到的威胁情况，帮助研发部门了解风险，优选建设方案，降低风险和投资。通过对网络靶场的有效监控和动态调整，对关键信息基础设施的技术弱点进行界定、分类，以满足国家网络靶场建设与科研应用的需求；二是提出重点防护任务要求。国家网络靶场通过顶层设计与体系建设，进一步完成网络空间体系规划能力，为测试评估、产品研发试验，产品安全性论证、测试、技术演示验证，人才教育培养提供支撑；三是支撑应用领域安全防护研究。依托国家网络靶场，对国家网络研发活动进行整合，包括国防、执法、反情报等部门的研发活动，重点放在支撑国家基础设施安全防护体系建设、自主可控软硬件安全性测试、技术和服务安全性审查、内置式安全、定制化可信空间、移动网络系统、新应用产品和工具，以及下一代网络与大数据安全研究等领域。

（六）强化保障意识，实现“全生命周期”自主可控

加强国家网络安全治理，独立自主地提升网络安全保障能级，是实现可持续发展，确保网络“全生命周期”自主可控的必要条件。目前，我国家级网络安全专业防护队伍多集中在大城市，受地域、部门、条件限制，协防范围十分有限，力量使用不够均衡，面对国家网络空间发展的新形势，我们必须做好以下几方面工作：一是发挥专业团队的保障作用。由中央网信办统一协调组织，组建“互联网+联盟”保护机制，采取分片包干的方式，将国家各专业团队的技术力量进行调配部署，协助国企、央企，省、地网络安全部门搞好重点部门、工程、行业、企业的网络安全审查工作；二是建立健全信息安全共享机制。制定国家网络安全防护策略，提高关键信息基础设施的安全风险监测、评估和预警能力，建立信息安全事件报告、通报和发布的直通渠道，明确各方的防护职责，实现对控制、应急、减灾和恢复能力的统一有效监管；优化数据中心布局，整合不同机构或国际资源中获得的信息，实时交换涉及网络威胁、漏洞、后果、预警和反制措施等情况，迅速分析不同来源的相关信息，帮助各级领导和网络安全设施防止恶意网络行为；在建立统一标准的基础上与相关部门共享信息，加强大数据、云计算、宽带网络协同发展，提升抵御攻击的防护能力；三是明确信息安全保护制度及要求。确定国家关键基础设施信息安全保护对象的认定标准和程序，制定脆弱性评估标准，建立安全测试与风险评估认可制度，推广安全可控产品应用规划，以及测评机构安全服务承担的义务和行为。规定政府信息安全产品采购分类分级审查管理原则，建立国家网络安全应急资源调度机制，提升敏感时期和极端情况下关键信息基础设施的恢复能力；四是推进自主可控核心技术跃升。加强关键信息基础设施核心设备、技术、应用的创新，提高国产化技术含量，建立关键设备和引进技术产品的网络安全审查制度，加快内部IT技术人才的培养，彻底解决基础设施检测对IOE的依赖、大量IT业务交由外包公司实施检测等问题，实现设备操作、运维服务、故障分析和应急处理等由我方技术人员全程自主完成，真正做到关键基础网络与核心业务系统自主可控。

（七）强化协作意识，不断加大军民融合力度

一是把军民融合纳入国家战略。搞好网络空间军民融合顶层规划与设计，构建军地联合参与的国家网络安全反应体系，共同应对网络攻击威胁，突破传统的军地分别实施网络规划方式，深化军民融合发展实践，明确军队在国家网络应急保障中的职责、任务与要求；二是构建融合发展的体系化建设。军民融合体系是由国家、军队、地方相关职能部门、组织机构，企事业单位等共同参与组成的有机整体，根据国家网络空间战略决策、法律法规和职能划分，在有效的安全手段保障下，形成相互关联又独立运作的有机运作模式。统筹军地信息化建设，建立军民融合的信息化发展协调机制，依托网络信息系统，开展以信息主导、体系对抗、精确作战、全域机动、网络防控为主要特征的体验性、对抗性演习，提高以夺取制信息权为核心的战场综合控制权能力。三是建立军民融合发展保障机制。构建多部门协作方式，实现资源共享、网络共管、任务分担工作模式是军民融合保障机制的重要内容。目前，在国家主管部门领导下，此项工作已形成较好的模式，并在国家网络空间安全保障任务中发挥了重要作用，如国家信息技术安全研究中心在做好国家关键基础设施和重要信息系统服务保障工作的同时，也为军队信息化建设提供了有力支持。这种模式应进一步完善，并在任务、装备、编制、经费等方面给予更大的支持与保障。四是健全军民融合发展标准体系。加强军民融合信息技术标准体制改革，完善信息技术军民通用标准，建立信息技术承包厂商资格评价机制，推行合格厂商名录制度，确保订货质量和技术先进性，在装备研制与网络技术采办过程中，提倡利用军民信息技术标准和商业规范，充分发挥承包商的积极性和创新能力，确保核心技术控制在我方手中。

综上所述，国家《网络安全法》的实施标志着在保护国家关键信息基础设施安全方面已有法可依，随着后续工作的稳步推进，具有我国特色的关键信息基础设施安全保障体系的构建指日可待。(本文刊登于《中国信息安全》2016年第11期）