中央網信辦郭濤：抓好“重中之重”，守好“神經中樞”，切實筑牢國家網絡安全防線

——加強關鍵信息基礎設施安全保護體系和能力建設實踐

金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到攻擊的重點目標。堅決貫徹落實習近平總書記關于關鍵信息基礎設施安全保護工作的重要指示要求，堅持協同防護、抓好統籌協調、注重與時俱進，建立完善全方位、深層次的聯合防御體系，扎實有力推進關鍵信息基礎設施安全保護工作，筑牢關鍵信息基礎設施網絡安全屏障。

(一）關鍵信息基礎設施保護是深入貫徹習近平總書記網絡強國重要思想的重要措施

黨的十八大以來，以習近平同志為核心的黨中央站在全局和戰略高度，準確把握世界互聯網發展潮流、國內外網絡安全形勢和我國互聯網治理實踐，系統闡述了事關網信事業發展的一系列重大理論和實踐問題，提出了一系列新理念新思想新觀點新論斷，形成了習近平總書記關于網絡強國的重要思想。今年 7 月，全國網絡安全和信息化工作會議在京召開，習近平總書記的重要指示，明確了“十個堅持”的重要原則。總書記強調：“堅持黨管互聯網，堅持網信為民，堅持走中國特色治網之道，堅持統籌發展和安全，堅持正能量是總要求、管得住是硬道理、用得好是真本事，堅持筑牢國家網絡安全屏障，堅持發揮信息化驅動引領作用，堅持依法管網、依法辦網、依法上網，堅持推動構建網絡空間命運共同體，堅持建設忠誠干凈擔當的網信工作隊伍”。做好關鍵信息基礎設施保護工作，必須堅決貫徹習近平總書記“十個堅持”的重要原則，加強黨中央對關鍵信息基礎設施保護工作的集中統一領導，把關鍵信息基礎設施保護工作擺在黨和國家事業全局中來謀劃，加快構建關鍵信息基礎設施安全保障體系，提升關鍵信息基礎設施保護水平。

黨中央高度重視關鍵信息基礎設施保護工作。習近平總書記在 2016 年的全國網絡安全和信息化工作座談會上強調，“加快構建關鍵信息基礎設施安全保障體系”。2018 年 4 月，總書記在全國網絡安全和信息化工作會議上強調：“必須旗幟鮮明、毫不動搖堅持黨管互聯網，加強黨中央對網信工作的集中統一領導，確保網信事業始終沿著正確方向前進。要落實關鍵信息基礎設施防護責任，行業、企業作為關鍵信息基礎設施運營者承擔主體防護責任，主管部門履行好監管責任”。總書記的重要指示，對各級黨委（黨組）及網信部門等做好關鍵信息基礎設施保護工作提出了明確要求，我們要認真學習領會，切實把思想和行動統一到黨中央的戰略部署上來。

(二）關鍵信息基礎設施保護是應對全球復雜嚴峻網絡安全形勢的必然要求

當前，世界正經歷百年未有之大變局，不穩定不確定因素日益增多、國際格局復雜多變，針對關鍵信息基礎設施的高級可持續威脅、數據竊取等事件頻發，國家網絡安全形勢復雜嚴峻。

能源領域。2019 年 3 月 7 日，委內瑞拉古里水電站發電系統遭受網絡攻擊，導致全國 23 個州中的 18 個州發生停電，加拉加斯和委內瑞拉大部分地區停電超過 24 小時，停電導致加拉加斯地鐵無法運行和大規模交通擁堵，城市最大的機場受停電影響且備用發電機也失效，手機和網絡都無法正常使用。2021 年 5 月，美國最大的成品油管道系統運營商遭遇勒索軟件攻擊，攻擊導致燃油輸送管線被迫關停，東海岸 45% 的燃料供應暫停，美國交通部宣布受影響區域實施緊急狀態。

金融領域。2021 年 10 月，巴基斯坦國家銀行遭受破壞性網絡攻擊，影響了銀行的自動取款機、內部網絡和移動應用程序，使得銀行部分系統癱瘓，導致資金擠兌。2022 年 2 月 15 日，烏克蘭兩家國有銀行 Privatbank 和 Oschadbank 遭受 DDoS 攻擊，導致銀行客戶無法正常訪問網上銀行賬戶。

通信領域。2021 年 9 月，新西蘭第三大電信運營商 Vocus 遭 DDoS 攻擊，導致全國多地斷網達 30 分鐘，包括奧克蘭、惠靈頓及基督城等多個大城市受到影響。2022 年 2 月，國際電信運營商沃達豐葡萄牙公司遭網絡攻擊，該公司 4G 和 5G 網絡被迫中斷，固定電話、電視、短信等服務癱瘓，大部分客戶數據服務被迫下線。

這些案例為我們敲響了警鐘。我國關鍵信息基礎設施面臨較大風險隱患，網絡安全態勢感知、監測預警、應急處置特別是追蹤溯源能力不足，安全防護多采用合規性靜態防護、圍墻式單點防護，難以有效應對國家級、有組織的高強度網絡攻擊。筑牢關鍵信息基礎設施安全保護防線，對于國家總體安全至關重要。

(一）加強頂層設計，出臺《關鍵信息基礎設施安全保護條例》

中央網信辦會同工業和信息化部、公安部等部門制定出臺《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）。2021 年 8 月 17 日正式公布，自 2021 年 9 月 1 日起施行。出臺《條例》是貫徹落實習近平總書記關于網絡強國的重要思想的具體舉措，也是近年來國家網絡安全和信息化工作成功經驗的制度化提升，回應了社會各界對加強關鍵信息基礎設施安全保護的關注，為我國深入開展關鍵信息基礎設施安全保護工作提供有力法治保障。貫徹落實《條例》有關要求，保護工作部門結合本行業、本領域實際，制定出臺相關管理辦法，交通運輸部發布《公路水路關鍵信息基礎設施安全保護管理辦法》，國家鐵路局制定《鐵路關鍵信息基礎設施安全保護管理辦法》，推動各行業領域關鍵信息基礎設施安全保護水平不斷提升。

(二）突出規范引領，發布關鍵信息基礎設施安全標準

2022 年 11 月，市場監管總局、中央網信辦、公安部聯合召開《信息安全技術 關鍵信息基礎設施安全保護要求》（GB/T 39204-2022）國家標準發布宣貫會。該標準是關鍵信息基礎設施安全保護標準體系的構建基礎，2023 年 5 月 1 日正式實施。標準提出了以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防的關鍵信息基礎設施 3 項基本原則，從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等 6 個方面提出 111 條安全要求，為運營者開展關鍵信息基礎設施安全保護工作提供了強有力的標準保障。

(三）抓好關鍵環節，保障關鍵信息基礎設施供應鏈安全

建立網絡安全審查制度，制定出臺《網絡安全審查辦法》，保障關鍵信息基礎設施供應鏈安全。關鍵信息基礎設施運營者采購網絡產品和服務，要依據行業網絡安全審查預判指南，預判該產品和服務投入使用后可能帶來的網絡安全風險。對于影響或者可能影響國家安全的，應當申報網絡安全審查。出臺《云計算服務安全評估辦法》，提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平。

(四）創新人才培養，構建教育技術產業融合發展良性生態

人才是強國之本、興邦大計。網絡安全人才是筑牢網絡安全屏障、維護國家網絡安全的第一資源。深入研究網絡安全人才與創新發展規律，深化國家網絡安全人才與創新基地、國家網絡安全教育技術產業融合發展試驗區建設，打造國家網絡安全人才高地、創新高地、產業集聚區。持續深化一流網絡安全學院示范項目建設，圍繞網絡安全基礎理論、開源軟件安全等，建設完善課程、教材、實驗環境等教學體系，培養高校學生自主創新能力。破除“唯論文”評價機制，建立以實際能力和貢獻為導向的評價標準，將教師和學生承擔的重大研究課題和工程、企業創新任務、基礎開源代碼等貢獻重大成果視同高水平學術論文。創新企業和高校聯合培養機制，大力實施網絡安全學院學生創新資助計劃，由企業根據網絡安全實際需求和產業共性問題提出創新任務，遴選并資助優秀在校學生開展創新研究，引導學生開展基礎創新，提升學生解決實際問題的能力，培養交叉型、復合型、實用型網絡安全創新人才。

(一）堅持協同防護，構建完善關鍵信息基礎設施聯合防御體系

當前，我國關鍵信息基礎設施數量多、分布廣，需要防護的環節鏈條長，加之安全形勢瞬息萬變，僅靠自主保護、分兵把守，難以應對日益猖獗的國家級、高強度、有組織的網絡攻擊。做好關鍵信息基礎設施安全保護工作，關鍵是要堅持系統觀念，全國“一盤棋”一體謀劃，集中國家優勢資源，加強跨行業、跨部門、跨地區協作協同，建立全域聯動、立體高效的聯合防御體系。為進一步明確相關部門單位在聯合防御體系中的工作職責，確保各部門各單位“擰成一股繩”，形成整體合力，我國建立了國家關鍵信息基礎設施保護的“三層責任”。

第一層責任是關鍵信息基礎設施運營者全面落實安全保護主體責任。堅持“誰運營、誰負直接責任”的原則，運營者要建立健全網絡安全保護制度，嚴格落實黨委（黨組）網絡安全工作責任制，保障人財物投入；開展網絡安全檢測和風險評估并及時整改；建立并落實網絡安全事件和網絡安全威脅報告制度，力爭做到重大威脅和風險自身化解，防止向行業和國家傳導擴散。

第二層責任是保護工作部門落實好監督管理責任。堅持“誰主管、誰負主要責任”的原則，保護工作部門要結合行業特點制定關鍵信息基礎設施安全規劃；建立健全網絡安全監測預警制度，預警通報網絡安全威脅和隱患，指導運營者做好安全防范；定期組織應急演練，指導運營者做好網絡安全事件的應對處置；組織開展網絡安全檢查檢測，指導監督運營者及時進行整改。

第三層責任是國家網信部門、國家有關職能部門要做好協調、監督、指導以及安全保衛等責任。在中央網信辦統籌協調下，公安、安全、保密、密碼等有關單位各司其職、分工協作，向運營者提供技術支持和協助，防范打擊網絡違法犯罪活動，防范境外來源重大安全威脅和風險，齊心協力做好關鍵信息基礎設施安全保護工作，切實做到關口前移，防患于未然。

(二）抓好統籌協調，形成關鍵信息基礎設施安全保護工作“一盤棋”

中央網信辦切實抓好政策統籌、信息統籌、標準統籌、督查統籌、人才統籌等“五個統籌”工作，協調各地區各部門形成優勢互補、合作共贏的良好局面，持續推進各項工作要求落地實施，確保重點任務落到實處、取得實效。

政策統籌。牽頭推進關鍵信息基礎設施安全保護政策法規制定，協調保護工作部門制定本行業本領域關鍵信息基礎設施安全規劃，指導運營者強化網絡安全技術手段建設，切實提升安全防護能力。

信息統籌。牽頭做好網絡安全信息共享和預警通報，建立健全國家網絡安全事件應急工作機制，指導保護工作部門、運營者切實做好監測預警、事件處置、調查評估以及預防工作，希望實現“一點發現、全網防護”，提高應對網絡安全事件能力，保障關鍵信息基礎設施安全穩定運行。

標準統籌。牽頭指導梳理關鍵信息基礎設施安全保護標準體系，研究形成基礎類、識別類、實施類、評估類等四類標準，加快推動相關標準的發布和試點示范。鼓勵行業主管部門和研究機構，結合行業實際情況制定行業標準，進一步細化落實制度要求，為關鍵信息基礎設施保護實踐提供技術支撐和方法指引。

督查統籌。牽頭開展關鍵信息基礎設施安全保護制度落實情況的督查，建立完善運營者自查、保護工作部門檢查、中央網信辦聯合相關部門督查的三級督查評估工作機制，結合《黨委（黨組）網絡安全工作責任制實施辦法》要求，夯實運營者主體責任和保護工作部門監管責任。

人才統籌。統籌組織關鍵信息基礎設施行業網絡安全人才培養培訓，重點面向保護工作部門分管本行業領域關鍵信息基礎設施安全保護工作負責同志、關鍵信息基礎設施保護責任司局相關負責同志，以及運營者首席網絡安全官等重要人員，圍繞政策法規、實踐案例以及產業保障等方面開展工作培訓，提升關鍵信息基礎設施保護工作能力水平。

(三）注重與時俱進，不斷推進關鍵信息基礎設施保護走上新臺階

抓好“入口關”。結合行業新形式新變化，按照關鍵信息基礎設施數量宜精不宜多、范圍宜窄不宜寬、架構宜整不宜散的原則，進一步完善關鍵信息基礎設施認定工作，確保將優勢資源集中投入到重點保護對象。

把好“標準關”。體系化推進關鍵信息基礎設施標準研制工作，對于運營者迫切需要的標準，加快推進研制發布；對于不再適應當前技術發展趨勢的，及時調整標準定位，進行整合或停止研制，確保關鍵信息基礎設施標準及時有效、好用管用。

守好“質量關”。研究建立關鍵信息基礎設施能力評估工作機制，明確關鍵信息基礎設施安全防護能力指標體系，旨在推動監管評價機制由“達標式”監管，“合規式”檢查，只要達到“及格線”就可以，進一步向綜合能力評估模式轉變。

原文來源：中國信息安全