中国网络安全防护进入新阶段

国务院总理李克强近日签署国务院令，公布《关键信息基础设施安全保护条例》(以下简称《条例》)，自2021年9月1日起施行。

中国信息通信研究院院长于晓辉表示：“此后，中国网络安全防护进入了以关键信息基础设施安全防护为重点的新阶段。《条例》作为《网络安全法》的重要配套立法，积极应对国内外网络安全保护的主要问题和发展趋势，为下一步加强关键信息基础设施安全保护提供了重要法治保障。”

这是中国第一部专门针对关键信息技术设施安全保护的行政法规。

智象科技高级副总裁吴博士告诉记者：“关键的信息基础设施是网络安全的核心。针对这一关乎国家安全和利益的战略资源，《条例》从范围界定、责任义务归属、执行落地乃至问责等方面作出了详细具体的规定，进一步明确了‘做什么’和‘怎么做’，将有效指导各环节的职责分工和执行。”

国家信息安全标准化委员会委员、北京威努特科技有限公司首席技术官黄敏介绍，《条例》进一步明确了关键信息基础设施的具体范围和判断标准，即一旦遭到破坏、丧失功能或数据泄露，可能严重危害关系国家安全、国计民生和公共利益的重要网络设施和信息系统。公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域。

启安信集团安全专家柏杨表示，从《条例》开始，行业主管部门对关键信息基础设施的认定有了重要决定。它是否是关键的信息基础设施取决于业务是否重要。关键信息基础设施的范围会随着业务的影响而变化，并且肯定会随着信息化趋势的发展而逐年扩大。

《条例》通过明确各级职责，建立了包括国家统筹规划监管部门、行业保护部门和经营者在内的多层次立体协同的综合防控体系。

柏杨说：“无论从网络安全的理论还是实践来看，攻击都无法完全避免。因此，只能通过提升安全防护能力，尽可能延长攻击的成功时间，同时通过协同机制，尽可能加快风险发现和风险处置的时间。构建立体化综合防控体系，旨在通过共享情报、掌握全局、贯通多级指挥调度，快速应对有组织、大规模的网络攻击。”

《条例》对从事危害关键信息基础设施安全活动的个人和组织，或未经授权或批准对关键信息基础设施进行漏洞检测、渗透测试等活动的个人和组织做了哪些规范？

司法部、网信办、工信部、公安部负责人在《条例》记者提问中指出：任何个人和组织不得非法侵入、干扰、破坏关键信息基础设施，不得危害关键信息基础设施安全；未经国家网络信息主管部门、国务院公安部门批准或者保护部门、经营者授权，任何个人和组织不得对可能影响或者危害关键信息基础设施安全的关键信息基础设施进行漏洞检测、渗透测试等活动；基础电信网络的漏洞检测和渗透率测试等活动应向主管电信部门报告。