李建华

　　上海交通大学网络空间安全学院教授、博导

　　2014年2月27日，习近平总书记在中央网络安全和信息化领导小组第一次会议上首次提出“努力把我国建设成为网络强国”。十年来，我国已建成全球规模最大、技术领先的网络基础设施，全球规模最大的移动物联网。关键信息基础设施作为数字经济产业的底层设施，关乎国家经济命脉和国家安全，是筑牢国家网络安全屏障的重要阵地。随着《关键信息基础设施安全保护条例》（以下简称《条例》）、《信息安全技术 关键信息基础设施安全保护要求》等法规标准的发布，我国关键信息基础设施安全保护工作开启了新篇章，取得重要成就。

　　随着国际战略格局不断演变，关键信息基础设施已经成为跨国网络攻击的重点目标，其安全问题已成为国家网络安全的重中之重。因此，我们要与时俱进，全面深入分析关键信息基础设施面临的安全威胁，结合网络安全防护前沿技术的研究和创新，建立完善全方位、深层次的联合防御体系，提升关键信息基础设施保护水平，扎实有力推进关键信息基础设施安全保护工作，筑牢网络安全屏障。

　　关键信息基础设施认定及其重要性

　　关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

　　第一，关键信息基础设施保护是应对全球复杂严峻网络安全形势的必然要求。

　　当前，国际格局复杂多变，全球能源、金融和通信等基础设施安全事件频发，严重影响了国际局势、国家安全和社会稳定。世界各国高度关注关键信息基础设施安全，纷纷制订相关的规范和安全标准。美国国家标准技术研究所 （NIST）发布《物联网设备网络安全能力核心基准》，为制造商确定了技术网络安全能力的核心基线；欧盟网络安全局（ENISA）发布《物联网安全准则》，以减少整个基础设施供应链的系统漏洞为主要目标，注重物联网安全社区建设，提高安全事件共享效率。

　　2018年12月，我国发布《信息安全技术 物联网安全参考模型及通用要求》，注重物联网安全参考模型、安全通用要求的构建，集中突破物联网安全对象、架构、措施等关键核心技术。2021年9月，《条例》正式实施，明确了关键信息基础设施的认定范围，为我国深入开展关键信息基础设施安全保护工作提供有力的法治保障。为贯彻落实《条例》要求，我国首个关键信息基础设施安全国家标准——《信息安全技术 关键信息基础设施安全保护要求》于2022年发布，并于2023年5月1日正式实施。该标准提出了关键信息基础设施安全的三项保护基本原则，对关键信息基础设施安全保护体系建设起到基础性、规范性和引领性作用。

　　第二，关键信息基础设施的识别是保障信息安全的前提。

　　一旦公共通信和信息服务、能源、交通、水利、金融等重要行业遭遇网络攻击，很可能严重危害国家安全、社会稳定、公共利益。关键信息基础设施的识别是保障信息安全的关键前提，但也面临多样性和复杂性的挑战。

　　关键信息基础设施呈现出多元化、复杂化趋势，这使其难以识别和明确边界。首先，不同部门之间信息隔离，即不同单位和部门之间的信息隔离，增加了关键信息基础设施的界定和识别难度。其次，信息更新和修订的不确定性，即部分关键信息基础设施的变更、修订信息存在不确定性和滞后性。再次，跨领域边界的模糊性，即安全问题跨越了许多领域，多领域融合导致识别具有不确定性。最后，先进技术手段使得关键信息基础设施防御的难度不断增加。

　　针对这些问题，我们需要研究先进的技术工具和综合的识别方法，加强跨部门和跨领域的信息整合和协调，确保关键信息基础设施识别的准确性和有效性。

　　······

稿件来源：中国网信杂志