关键信息基础设施迎来强监管 或催生新型安全产业

《关键信息基础设施安全保护条例》正式实施之日将近，与之相关的探讨也在持续。

近日，国务院公布了《关键信息基础设施安全保护条例》（以下简称《条例》），自2021年9月1日起施行。作为我国首部专门针对关键信息技术设施安全保护工作的行政法规，同时也是《中华人民共和国网络安全法》的重要配套法规，《条例》对关键信息基础设施安全保护中各个责任主体，以及各个角色的职责范围和法律义务提出了具体要求。

对范围的认定及权责的明确，是为了构筑系统性防线。在8月24日的《关键信息基础设施安全保护条例》国务院政策例行吹风会上，国家互联网信息办公室副主任盛荣华指出，当前网络安全保护工作存在包括资源力量分散、技术产业支撑不足等问题，因此建立专门制度进一步明确各方责任是有必要的。

“总的来讲，上下左右要共同构建一个关键信息基础设施安全保护的责任体系，这样才能筑牢国家网络安全的屏障。”盛荣华表示。

维护网络安全

在吹风会上，盛荣华强调，《条例》并非针对外贸及境外上市推出，而是围绕保障关键信息基础设施安全、维护网络安全而展开。

事实上，当前对这一领域的关注十分必要。国家工业信息安全发展研究中心数据显示，2020年，人工智能研判的工业信息安全重大风险近800条，涉及制造业、交通、市政等多个行业，高危漏洞占比居高不下。

不过在《条例》之前，对“关键信息基础设施”的界定一直没有明确的法律或行政法规依据，《条例》则首次进行了明确认定。

《条例》规定，关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

“《条例》的推出，明确了关键信息基础设施安全的重要性，这对于信息安全、网络安全、数据安全等行业从业者而言都是一个警醒。”在接受21世纪经济报道记者采访时，华控清交董事长兼CEO张旭东分析称，“同时《条例》也清楚规定了如何去衡量和认定关键信息基础设施，认定后的权责明确，将进一步促进行业发展。”

华为安全产品领域副总裁王任栋则向21世纪经济报道记者坦言，作为安全行业的从业人员，对《条例》的出台一直抱有非常高的期待。“当前随着国际局势的变化，网络空间已经成为海陆空天外的第五维对抗空间，尤其是针对国家的关键信息基础设施，关乎国计民生，迫切需要一个清晰明确的安全保护指导准则，以指引关键信息基础设施的运营者进行安全保护建设。”

需要注意的是，当前《条例》所列举的领域并非一成不变。《条例》第九条指出，保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。

在奇安信集团战略规划咨询部杨波看来，这样的规定表明两点，“首先，关键信息基础设施的认定，行业主管部门有重要决定权，是否属于关键信息基础设施，核心要看业务是否重要；第二、关键信息基础设施的范围会随着业务的影响而改变，随着信息化潮流的发展，肯定会逐年扩展。”

全新市场空间？

《条例》的另一大亮点是明确了不同主体角色的责任。

其中，国家网信部门负责统筹协调，公安部门负责指导监督关键信息基础设施安全保护工作，电信主管部门及各个行业主管部门负责职责范围内的关键信息基础设施安全保护和监督管理工作。运营者负责管理制度、资源保障、人员管理、机构设置、考核评价、产品采购等工作。

权责明确的背后，是协同共享的可能性。《条例》第二十三条特意规定，国家网信部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。

“《条例》通过明确各级的责任，形成国家统筹和监督部门、行业保护部门、运营者多级的立体化协同综合防控体系。”杨波向21世纪经济报道记者指出，“无论从网络安全理论还是实践上看，攻击是无法完全避免的，因此只能通过安全保护能力的提升尽可能延长攻击成功的时间，同时通过协同机制尽可能加快风险检测和风险处置的时间。”

多位受访者均表示，这样的协同性将进一步促进行业发展。张旭东分析称，过去国内的网络安全行业更多是以单个企业为节点的点状形态，造成行业业态分布细碎，鲜少见到大的巨头，产业规模也长期徘徊不前。

“如果不将自主可控的网络安全提升到一定高度，个体企业就不会进行过多投入，这是一个相辅相成的关系。”张旭东表示，“同时，由于过去没有关键信息基础设施的提法，大家对于相关领域也都是局部的理解。”

因此，在张旭东看来，随着《条例》的推出以及《网络安全法》的落实落细，各界对网络安全的认识将进一步完整，将过去零散的“拼图”拼成国家整体网络安全的战略目标和实施方法。同时，作为数据安全行业的从业者，张旭东认为此举也将为数据的安全可靠流通网络建设奠定基础。

此外，《条例》的实施还有望打开网络安全市场新的空间。王任栋分析称，《条例》对安全产品提供商、安全服务提供商都提出了责任要求，安全产品要做到可信，关键信息基础设施发生网络安全事件，要查明安全服务机构的责任，“这会促进整个安全产业从安全产品可信和安全服务技术上需要不断的提高，以满足关键信息基础设施的防护要求，从而会促进整个产业健康发展。”

不仅是有助于加大企业对安全领域的投入，从另一个角度而言，网络安全产业也将迎来新一轮发展契机。瑞莱智慧相关负责人向21世纪经济报道记者分析称，《条例》实施或将催生一些新型安全产业的发展，如以隐私计算、算法攻防等方向为代表的人工智能安全产业等。