威努特丨重磅解读《关键信息基础设施安全保护条例》

2021年8月17日，中华人民共和国国务院总理李克强签署国务院令，公布《关键信息基础设施安全保护条例》（以下简称《条例》）暨国令第745号令。

国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治危害关键信息基础设施安全的违法犯罪活动，条例自2021年9月1日起施行。

在《网络安全法》第三章“网络运行安全”中，以“关键信息基础设施的运行安全”对关键信息基础设施安全保护的基本要求、职责分工履行义务和采取措施等方面作了基本法层面的总体制度安排，此次正式发布的《关键信息基础设施安全保护条例》以《中华人民共和国网络安全法》为依据，将与GB/T22239-2019《信息安全技术网络安全等级保护基本要求》一起，结合其他已颁布的法规条例等，构成我国网络安全防护工作的基本法律和法规基础和理论依据。

《关键信息基础设施安全保护条例》共6章51条，分别从关键信息基础设施的范围及认定、运营者责任义务、保障和促进、法律责任等方面给出了明确的指导和要求，要求关键信息基础设施相关企业建立健全网络安全保护制度和责任制，制定网络安全应急预案，开展网络安全监测、检测和风险评估工作，采取安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用，违反本条例规定将会受到行政处罚、判处罚金甚至要承担刑事责任。

《条例》发布后，作为国家信息基础设施网络安全领域的领军企业，威努特第一时间组织专家从多个维度对相关内容展开解读并分享了基于白名单技术构建“白环境”纵深防御体系的建设思路。

关键条款解读

关键信息基础设施的范围及认定

第二条　本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

解读：

在2016年发布的《国家网络安全检查操作指南》和《中华人民共和国网络安全法》中都对关键信息基础设施进行了定义，此次发布的《条例》更进一步明确了关键信息基础设施的具体范围和判断标准，即一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益等的重要网络设施和信息系统。其中包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域等。关键信息基础设施的行业和领域中，除了传统信息安全需要进行满足等保2.0的合规性需求外，涉及到工业控制系统的生产和业务场景的，同样需要进行同步规划、同步建设和同步使用。关键信息基础设施安全包括通信安全、电力安全、能源安全、交通安全、市政安全、金融安全、公共卫生安全、电子政务安全、国防科工安全、制造安全等。

明确运营者责任义务，突出“三同步”原则

第十二条　安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。

解读：

该条款明确在进行关键信息基础设施认定工作时，网络安全保护措施必须同步考虑，即严格执行同步规划、同步建设、同步使用的“三同步”原则，不允许在认定工作结束后，再进行网络安全建设动作。这标志着国家关键信息基础设施的运营者必须将网络安全建设与业务体系建设放到同等重要程度，不能再出现“重生产,轻安全”的情况。

第十三条　运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

第十四条　运营者应当设置专门安全管理机构，并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。审查时，公安机关、国家安全机关应当予以协助。

解读：

在条例第三章的第十三至二十一条，都在强调运营者的责任义务。其中条例第十三条要求“运营者应当建立健全网络安全保护制度和责任制，保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。”也进一步强化、突出了运营者的主体职责。

第十七条　运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。

解读：

关键信息基础设施每年至少进行一次安全检测和风险评估，若存在问题，需要进行及时整改并上报保护工作部门。一旦发生严重的网络安全威胁时，保护工作部门应当及时进行上报，上报对象为国家网信和公安部门。

风险评估分析是对关键信息基础设施网络内各资产进行安全管理的先决条件，其目的在于识别和评估不同用户所面临的生产安全风险和网络安全风险。工业控制系统由于其使用场景和业务需求特色化差异，存在天然的弱安全性，在风险评估时，需要采取和传统网络完全不同的思路和方法。

第十九条　运营者应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。

解读：

运营者在进行关键信息基础设施网络安全保护时，采购的网络安全产品和服务需要安全可信，具备自主知识产权和具备相应销售许可证，不能影响国家安全。这与也国家近年来一直推动“信创、安可”的战略保持一致。

“管理+技术”并行保障和促进关基网络安全防护能力

第二十四条　保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。

解读：

针对不同关键信息基础设施所属的行业和领域的差异化特征，建立符合本行业和领域特色的网络安全监测预警制度，掌握关键信息基础设施的安全态势感知和预警通报工作至关重要。

传统态势感知平台及探针无法获取到工业企业的工业资产、网络流量、安全漏洞、安全配置、安全日志、设备运行状态、业务故障日志等信息，从而无法通过智能关联分析获取企业的安全风险和态势，指导安全告警的事件处置工作。所以针对关键信息基础设施内的工业控制系统，需要单独部署专业的安全监测与态势感知平台进行统一的安全威胁处置和管理工作。

法律处罚做闭环，夯实有关主体责任

第三十九条　运营者有下列情形之一的，由有关主管部门依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

第四十条　运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

解读：

第五章整个章节都在明确针对相关违反条例行为的处罚事项，进一步夯实了所有有关责任体的责任。既强调运营者应当承担的法律责任，也强调相关的服务机构、有关部门以及工作人员违反后应该承担的责任。这与《网络安全法》中的相关惩罚力度保持一致。

关键信息基础设施网络安全防护能力建设

面对有组织的攻击没有打不通的“墙”，传统的安全防守思路将全面失效，需要针对新技术的特点，结合国家关键信息基础设施的业务特点，以控制风险为目标，深度融合安全管理、安全技术、安全运行三个领域的管理策略，采用全新的安全视角构建整体、动态、主动、精细的四个相互独立，又高度融合的安全防御体系，从而实现重点防护，提升动态、主动防御能力，从“零散建设”走向“全局建设”，从“局部零散松耦合”演变成“深度融合体系化”，构建出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的网络安全防御体系，为国家关键信息基础设施输出实战化、体系化、常态化的安全能力，以应对国家级的网络攻击。

威努特作为国家信息基础设施网络安全领域的领军企业，首次提出基于白名单技术构建“白环境”纵深防御体系的建设思路，随着在国家信息基础设施网络安全领域的不断深耕，坚持自主可控，自主创新，在“白环境”纵深防御体系的基础上融入“一个目标，两个视角，四个体系，六个能力”形成新一代国家信息基础设施网络安全体系，助力我国成为新时代下的网络安全强国。

● 以风险管理为核心目标

持续动态评估国家关键信息基础设施网络安全防御能力以及存在的风险是否可接受为基础，制定网络安全防御能力成熟度目标模型，进而保障关键信息基础设施的安全稳定运行。

● 以国内“两个要求”体系合规、国际“技术体系”接轨为两个视角

视角一：坚持网络安全等级保护基本和关键信息基础设施基本要求的合规性要求是基础，以“一个中心，三重防护”体系为具体方案设计核心思想构建安全技术防护体系。

视角二：合规是基础，还要与时俱进，充分与国际技术体系接轨，取之精华，形成具有我国关键信息基础设施网络特色的安全检测体系和应急响应体系，与其它体系交相呼应，从而演化出态势感知预测体系，并逐步落地。

● 形成可防御、可检测、可响应、可预测的全生命周期的四大体系

1) 构建关键信息基础设施网络安全防御体系

基于纵深的防御体系，逐层收缩攻击面，将中低水平的攻击者拒之门外，对高能力水平威胁行为体进行压制，加强对高隐匿性攻击行动的发现能力，建立多维数据采集能力，为安全事件检测、事件捕猎、调查分析，并发现、定位、朔源安全事件创造条件。

2) 构建关键信息基础设施网络安全检测体系

做好国家关键信息基础设施全网、全流量的流量实时监控，做好全网、全主机的系统监控。

3) 构建关键信息基础设施网络运维响应体系

制订和完善各种流程规范，开展网络安全风险评估，规范产品与服务采购流程，同时坚持做好日常维护管理、应急计划和事件响应等方面的工作，以保证安全管理措施和安全技术措施的有效执行。

4) 构建关键信息基础设施网络评估预测体系

实现态势感知、安全运营、数据关联、威胁预测，将静态防御转为积极动态防御。

● 孵化动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的安全能力

通过形成动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的安全能力，使我国关键信息基础设施能够应对常态化、体系化、实战化的国际网络安全局势。

THE END