落實關鍵信息基礎設施安全保護制度 筑牢國家網絡安全屏障

　　專家解讀一（北京理工大學網絡攻防研究所所長 閆懷志 ） 

　　2017年6月1日施行的《網絡安全法》首次正式明確了關鍵信息基礎設施的概念并提出了關鍵信息基礎設施安全保護的原則要求。2017年7月10日，國家互聯網信息辦公室向社會公開發布《關鍵信息基礎設施安全保護條例（征求意見稿）》。經廣泛征求意見，國家互聯網信息辦公室對該征求意見稿進行了系統修訂和完善，國務院于2021年8月17日正式發布《關鍵信息基礎設施安全保護條例》（下稱《條例》）。我們對《條例》的基本定位、重要意義與基本架構，《條例》體現的關鍵信息基礎設施安全保護的基本原則等進行了解讀，并給出了關于《條例》貫徹實施的四點建議。 

　　一、《條例》的基本定位、重要意義與基本架構 

　　《條例》是在《網絡安全法》框架下全面規范關鍵信息基礎設施安全保護的基礎性法規，是加強網絡安全領域立法、完善網絡安全保護法律法規體系的重要舉措，是依法治理關鍵信息基礎設施的綱領性文件之一，是化解關鍵信息基礎設施安全風險的法律法規重器和重要里程碑?！稐l例》的出臺為我國科學、有效開展關鍵信息基礎設施安全保護工作提供了重要的基礎規范與法律法規支撐。作為《網絡安全法》的重要配套法規，《條例》對關鍵信息基礎設施安全保護的適用范圍、關鍵信息基礎設施認定、運營者責任義務、關鍵信息基礎設施安全保護保障與促進以及攸關各方法律責任等提出了更為具體、更具操作性的基本要求。 

　　《條例》以六章共計五十一條的篇幅，對于關鍵信息基礎設施保護一系列相關要素作出具體規定，涵蓋：總則（第一至七條）、關鍵信息基礎設施認定（第八至十一條）、運營者責任義務（第十二至二十一條）、保障和促進（第二十二至三十八條）、法律責任（第三十九至四十九條）和附則（第五十至五十一條）?！稐l例》詳細闡明了關鍵信息基礎設施的范圍及認定、運營者責任義務，對政府機構、行業主管及監管部門，以及公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的關鍵信息基礎設施運營者的責權利進行了規定，并對建立關鍵信息基礎設施網絡安全監測預警體系、信息通報制度以及網絡安全人才培養等提出了要求，還就違反該條例可能會受到的行政處罰、判處罰金甚至是承擔刑事法律責任作出了明確規定。 

　　二、《條例》體現的關鍵信息基礎設施安全保護基本原則 

　　第一，遵循了以《網絡安全法》為上位法的基本原則，體現了該法的自然延伸和具體細化?！毒W絡安全法》明確了我國關鍵信息基礎設施安全保護和監督管理要求，該法第三章第二節“關鍵信息基礎設施的運行安全”中對關鍵信息基礎設施安全保護的基本要求、部門分工以及主體責任等問題作了基本法層面的總體制度安排和原則性規范?！稐l例》是該法在關鍵信息基礎設施安全保護領域的自然延伸和表現，同時將我國近年在該領域一些成熟的好做法制度化，并對未來可能的制度創新作了原則性規定，為后續發展預留了必要的、足夠的制度空間。 

　　第二，給出了關鍵信息基礎設施的規范定義，體現了其“大”安全保護原則?！稐l例》在總則部分給出了關鍵信息基礎設施的定義，該定義聚焦關鍵信息基礎設施范圍認定中的“非窮盡列舉重要行業和領域+功能保障+危害后果”因素，明確了設施的范圍及其性質評判的核心標準，針對重要網絡設施、信息系統面臨的威脅和風險使用的“一旦遭到攻擊、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益”這種描述，表明關鍵信息基礎設施的安全保護要從物理安全、功能安全以及信息安全等方面綜合考慮，彰顯了我國對關鍵信息基礎設施安全保護核心價值的深刻認知。 

　　第三，堅持了統籌協調、共同治理的原則。關鍵信息基礎設施安全保護需要綜合協調、分工負責、依法保護。為此，《條例》規定，關鍵信息基礎設施安全保護工作由國家網信部門統籌協調，由國務院公安部門負責指導監督，國務院電信主管部門和其他有關部門、省級人民政府有關部門在各自職責范圍內負責關鍵信息基礎設施的安全保護和監督管理，公安、國家安全、保密行政管理、密碼管理等有關部門依法實施相關的網絡安全檢查工作等。這種“1+X”的安全監管體制設計，可形成攸關各方責權清晰、齊抓共管、共同保護關鍵信息基礎設施安全的良好局面，高度契合我國當前關鍵信息基礎設施與現實社會深度融合的特點和保護、監管的實際需要。 

　　第四，明確了運營者主體責任的原則?！稐l例》單獨以整章篇幅，明確要求強化落實關鍵信息基礎設施運營者主體責任，主要包括：建立健全網絡安全保護制度和責任制，保障人力、財力和物力投入；運營者主要負責人對關鍵信息基礎設施安全保護負總責；運營者應當設立專門安全管理機構并負責實施相關人員安全背景審查；專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作；運營者負責自行或委托機構實施每年不低于一次的網絡安全檢測和風險評估，及時整改問題并向保護工作部門報送情況；運營者應就重大網絡安全事件或潛在重大安全威脅向保護工作部門或公安機關報告；運營者應優先采購安全可信的網絡產品和服務、簽訂安全保密協議等。 

　　第五，強調了關鍵信息基礎設施安全與信息化發展并重的原則。習近平總書記指出：“安全是發展的前提，發展是安全的保障，安全和發展要同步推進。”具體到關鍵信息基礎設施領域，其安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。為此，《條例》明確提出，安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。因此，既要大力推進關鍵信息基礎設施建設，又要建立健全其安全保護體系、提升其安全保護能力和水平，力求做到“雙輪驅動、兩翼齊飛”。 

　　第六，突出了關鍵信息基礎設施重點保護的原則?！毒W絡安全法》重點強調了關鍵信息基礎設施的運行安全保護，《條例》繼承并發展了該法的原則精神和相關規定，進一步強調并細化了在網絡安全等級保護制度的基礎上，對關鍵信息基礎設施實行重點保護，明確關鍵信息基礎設施的運營者的安全保護主體責任義務，并配以國家安全審查、檢查檢測等法律行政措施，確保關鍵信息基礎設施的運行安全。其中，特別強調了能源、電信等關鍵信息基礎設施安全運行的優先保障權利，并要求能源、電信行業應采取措施為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。 

　　三、關于《條例》貫徹實施的四點建議 

　　第一，要對標《條例》，做好關鍵信息基礎設施的認定工作?！毒W絡安全法》對關鍵信息基礎設施運營者的網絡安全保護義務設定了明確的法律要求，但并未就關鍵信息基礎設施認定給出明確的認定機構和認定標準?！稐l例》明確關鍵信息基礎設施需由所涉重要行業和領域的主管部門、監督管理部門來負責其安全保護工作及認定規則制定。認定規則需要考慮的主要因素是網絡設施、信息系統等對于本行業、本領域關鍵核心業務的重要程度、一旦遭到破壞后可能帶來的危害程度及對其他行業和領域的關聯性影響。因此，關鍵信息基礎設施的認定權限在于該行業和領域的保護工作部門，保護工作部門將認定結果通知運營者，并向國務院公安部門通報。 

　　在《條例》貫徹實施中，可結合關鍵信息基礎設施確定及其網絡安全檢查實踐，重點考慮“關鍵業務”“支撐關鍵業務的信息系統或工業控制系統”“根據關鍵業務對信息系統或工業控制系統的依賴程度，以及信息系統發生網絡安全事件后可能造成的損失”等因素。比如“電信與互聯網”領域，關鍵業務可包括DNS、DC/云服務、語音/數據/互聯網基礎網絡及樞紐等業務。對于認定關鍵信息基礎設施的量化標準，可根據網站、平臺和生產業務等不同具體類型確定相應的量化標準。 

　　第二，要堅持從法律法規、政策、標準、技術、實踐等多維度開展關鍵信息基礎設施安全保護工作?！稐l例》從法律法規層面對關鍵信息基礎設施安全保護工作進行了原則規定，在實踐過程中，要充分考慮我國國情，做好與已頒布或正在制定法律法規、標準規范等的有效配套和無縫銜接工作。具體涉及的主要法律包括《網絡安全法》《密碼法》《數據安全法》等，涉及的規章制度包括《網絡安全審查辦法》等，涉及的標準規范包括全國信息安全標準化技術委員會組織制定的《關鍵信息基礎設施網絡安全保護基本要求》等。同時，要進一步重視關鍵信息基礎設施安全威脅信息共享、監測預警、應急處置等協同機制作用的發揮，在國家網絡安全法律、標準的統一框架下持續完善。 

　　第三，要運用系統思維，科學、全面、準確地把握關鍵信息基礎設施安全保護工作的重點?！稐l例》給出的關鍵信息基礎設施保護制度框架是一個統一的整體，在貫徹實施過程中，要把握各類主體全面責任、全流程動態保護和監管、核心重點保護的辯證統一。關鍵信息基礎設施安全保護本身涉及規劃、建設、使用、運維乃至廢棄等全生命周期，國家、政府、監管、行業主管、運營者等各類主體在其安全保護方面責權不同，但共同維護安全的目標一致，因此需要堅持統籌協調、頂層設計、系統防護的整體思維，切實保障關鍵信息基礎設施安全。 

　　第四，要高度重視和大力加強關鍵信息基礎設施安全保護的人才培養工作。習近平總書記明確指出，“網絡空間的競爭，歸根結底是人才競爭”。當前，國際信息技術發展日新月異，我國也處于數字化轉型升級關鍵期，各種新場景、新問題、新技術、新方法層出不窮，關鍵信息基礎設施安全保護所面臨的任務越來越繁重、挑戰越來越艱巨。為此《條例》專門要求，國家將采取措施，鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作，并將運營者的安全管理人員、安全技術人員培訓納入國家繼續教育體系，專門安全管理機構要履行組織網絡安全教育、培訓職責。在實踐中，需要協調動員全社會相關企業、行業組織、高校和科研院所等協作配合，從在職培訓和學歷教育等多個層次，共同建立適應關鍵信息基礎設施安全保護人才需求特點的隊伍建設工作體系。 

　　目前適逢我國新型基礎設施建設、數字經濟轉型進入發展勢頭如火如荼、保障體系亟需完善的重要戰略機遇期，《條例》的公布實施，及時開啟了我國關鍵信息基礎設施安全保護進程的新篇章，必將在我國關鍵信息基礎設施安全保護以及國家安全、國計民生、公共利益等保障方面發揮不可或缺、不可替代的積極影響和重要作用。（作者：閆懷志，北京理工大學網絡攻防研究所所長） 

　　專家解讀二（國家計算機網絡應急技術處理協調中心 林星辰） 

　　一、前言 

　　近日，國務院總理李克強簽署國務院令，公布《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》），自2021年9月1日起施行?！稐l例》的正式出臺是我國網絡安全頂層設計的又一里程碑事件，標志著從十年前開始醞釀的關鍵信息基礎設施保護法規制定工作，經過漫長的探索、討論、嘗試、試點，終于迎來了有規可依、有章可循的新時代。理解好、落實好、執行好《條例》，對維護國家網絡安全、保障關鍵信息基礎設施平穩運行具有重要意義。  

　　二、關鍵信息基礎設施安全綜合保護體系 

　　《條例》最突出的特點，就是建立了以國家網信部門、國務院公安部門、關鍵信息基礎設施保護工作部門（以下簡稱“保護工作部門”）、關鍵信息基礎設施運營者（以下簡稱“運營者”）為主體的三層架構的關鍵信息基礎設施安全綜合保護責任體系。另外，省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。  

　　（一）綜合保護體系的第一層是國家網信部門和國務院公安部門等國家有關職能部門 

　　國家網信部門負責關鍵信息基礎設施安全保護工作的統籌協調。“黨政軍民學，東南西北中，黨是領導一切的”。國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作，既是落實“黨管互聯網”原則的應有之義，也是確保黨中央將關鍵信息基礎設施安全保護的重要部署和重大舉措落實到位的有力保障。國家網信部門位于關鍵信息基礎設施安全保護責任體系的頂層，在具有全局性、方向性、基礎性的問題上發揮關鍵作用，統籌協調國務院公安部門、保護工作部門開展工作。  

　　公安部門負責指導監督關鍵信息基礎設施安全保護工作?！稐l例》賦予了公安部門除了打擊網絡違法犯罪之外更多的工作職能，具體體現在：關鍵信息基礎設施認定規則備案、協助運營者開展安全背景審查、為保護工作部門提供技術支持和協助等方面。  

　　除此之外，國家安全、保密行政管理、密碼管理等部門依照本條例和有關法律、行政法規的規定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。  

　　（二）綜合保護體系的第二層是保護工作部門 

　　國務院電信主管部門和其他有關部門在各自職責范圍內負責關鍵信息基礎設施安全保護和監管管理工作。在關鍵信息基礎設施保護體系中，保護工作部門是與運營者聯系最密切、打交道最直接、具體職責最豐富的國家主管、監管部門。  

　　首先，關鍵信息基礎設施的認定規則，由保護工作部門負責制定。開展關鍵信息基礎設施保護，第一步是弄清關鍵信息基礎設施保護的具體對象?！稐l例》規定，認定關鍵信息基礎設施，應結合本行業、本領域的實際情況和不同特點，綜合考慮重要程度、破壞后的危害程度、與其他行業的關聯性等因素。由此可見，關鍵信息基礎設施的認定工作與行業關鍵業務高度相關，由保護工作部門制定認定規則最為合理。  

　　其次，保護工作部門是運營者的主要報告對象。運營者的報告義務主要有四種，分別在《條例》第十一條、十七條、十八條、二十一條中規定，主要有：影響關鍵信息基礎設施認定結果的重大變化、年度網絡安全檢測和風險評估情況、發生重大網絡安全事件和發現重大網絡安全威脅、運營者發生合并分立解散等情況。以上四種情況的報告對象都為保護工作部門。  

　　第三，《條例》規定了保護工作部門對關鍵信息基礎設施的保障促進職能。具體包括：在本行業、本領域制定關鍵信息基礎設施安全規劃、建立監測預警制度、建立健全應急預案、定期組織應急演練、組織開展檢查檢測等。  

　　特別值得一提的是，前不久剛剛公開的《黨委（黨組）網絡安全工作責任制實施辦法》規定了行業主管監管部門對本行業本領域的網絡安全工作所承擔的一系列職責，與《條例》中對保護工作部門職責的規定相一致?！稐l例》的相關規定，既是貫徹落實黨的方針路線政策的具體實踐，也是把黨的主張通過法定程序轉化為國家法律法規的具體體現。  

　　（三）綜合保護體系的第三層是關鍵信息基礎設施運營者 

　　《條例》第四條規定，“強化和落實關鍵信息基礎設施運營者主體責任”。關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，應發揮政府及社會各方面的作用，共同保護關鍵信息基礎設施安全。盡管需要全社會共同保護，但仍然改變不了運營者在綜合保護體系中的主體責任地位?！稐l例》第三章集中規定了運營者的主體責任義務，具體表現有：一是落實“三同步”安全要求。二是建立健全網絡安全保護制度和責任制，保障人力、財力、物力投入。三是設置專門安全管理機構。四是按照《條例》第十五條的規定，落實專門安全管理機構的各項職責。五是每年至少進行一次網絡安全檢測和風險評估。六是及時報告重大網絡安全事件和網絡安全威脅。七是優先采購安全可信的網絡產品和服務。八是明確其網絡產品和服務提供者的技術支持和安全保密義務與責任，并對履行情況進行監督。九是在發生合并、分立、解散等情況時，及時報告保護工作部門，并按保護工作部門的要求進行處置。  

　　另外，《條例》不僅規定了運營者的責任義務，還充分發揮政府及社會各方面的支撐保障和協助支持作用，以增加運營者在開展關鍵信息基礎設施保護工作方面的“獲得感”。具體表現有：一是在開展機構負責人和關鍵崗位人員的安全背景審查方面，《條例》第十四條規定公安機關、國家安全機關應當予以協助。二是《條例》第七條規定，對在關鍵信息基礎設施安全保護工作中取得顯著成績或者作出突出貢獻的單位和個人，按照國家有關規定給予表彰。三是《條例》第十六條規定開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與，改變了以往安全部門“有職無權”的困境。四是《條例》第二十五條規定在開展網絡安全事件處置時，可由保護工作部門提供技術支持與協助。五是《條例》第三十五條規定，國家采取措施，鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作；將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系。六是《條例》第三十二條規定，能源、電信行業應當采取措施，為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。  

　　（四）省級人民政府有關部門 

　　《條例》第三條規定，省級人民政府有關部門依據各自職責對關鍵信息基礎設施實施安全保護和監督管理。省級人民政府有關部門在關鍵信息基礎設施保護工作體系中的職能主要體現在：一是根據條塊管理的職責劃分，在國家網信部門的統籌協調下，與國務院公安部門、保護工作部門協調開展關鍵信息基礎設施保護工作。二是根據《黨委（黨組）網絡安全工作責任制實施辦法》的規定，對本地區沒有主管監管部門的運營者負指導監管責任。  

　　三、結語 

　　《條例》建立的關鍵信息基礎設施安全綜合保護體系是以運營者為主體的綜合治理體系，在壓實運營者主體責任的基礎上，充分發揮政府和社會力量，賦予運營者必要的支持協助。從層次結構上看，形成了“網信公安-保護工作部門-運營者”的三層體系結構；從參與部門看，既有本行業的主管部門，也涵蓋了電信、能源、國家安全、保密、密碼等對關鍵信息基礎設施至關重要的主管監管部門；從職能協調看，明確了部門與部門、部門與地方、部門與運營者的各方職責?？傮w上看，《條例》充分調動了全社會的積極力量，建立起一套完整、科學、嚴密的制度框架。我們有理由相信，隨著《條例》的正式施行，我國的關鍵信息基礎設施保護工作將翻開新的篇章。（作者：林星辰，國家計算機網絡應急技術處理協調中心） 

　　專家解讀三（國家信息技術安全研究中心 俞克群） 

　　關鍵信息基礎設施是國家重要的戰略資源，關系國家安全、國計民生和公共利益，具有基礎性、支撐性、全局性作用，保護關鍵信息基礎設施安全是國家網絡安全工作的重中之重。出臺實施《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）是完善我國網絡空間治理，強化關鍵信息基礎設施安全保護，維護國家安全和發展利益的應時應勢之舉，意義重大，影響深遠。 

　　一、關鍵信息基礎設施安全是網絡安全的重中之重 

　　習近平總書記在網絡安全和信息化工作座談會上指出，“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重，也是可能遭到重點攻擊的目標......我們必須深入研究，采取有效措施，切實做好國家關鍵信息基礎設施安全防護。”習近平總書記的重要指示為我們開展關鍵信息基礎設施安全保護工作指明了方向。 

　　世界各國高度重視關鍵信息基礎設施安全，美歐等通過立法或發布政策文件將關鍵基礎設施安全的網絡安全保護提升到國家安全戰略層面。圍繞關鍵信息基礎設施安全的網絡攻防已成為國家間戰略博弈的重要領域和網絡空間高強度對抗的主戰場。 

　　我國2017年正式實施的網絡安全法明確就關鍵信息基礎設施運行安全提出要求?！稐l例》的出臺實施，是踐行習近平總書記關于網絡強國的重要思想，貫徹黨中央、國務院重大決策部署的重要舉措，是落實網絡安全法有關要求，完善我國關鍵信息基礎設施安全保護工作的法治保障，也是網絡空間領域貫徹總體國家安全觀，應對當前國際形勢新變局，維護網絡空間主權安全的應有之義。 

　　二、《條例》的出臺實施，為開展關鍵信息基礎設施安全保護工作提供了基本遵循 

　　《條例》作為依據網絡安全法制定的行政法規，是對網絡安全法關于關鍵信息基礎設施運行安全相關規定的落實和細化，促進了我國關鍵信息基礎設施安全保護的法律法規體系構建完善。 

　　（一）明確關鍵信息基礎設施安全保護工作的對象和關鍵流程?！稐l例》對關鍵信息基礎設施的概念和范圍作出了明確界定。同時，還對關鍵信息基礎設施認定和變更、運營者設置專門安全管理機構、網絡安全事件和威脅報告等關鍵環節設置了流程化、規范化的要求指引。 

　　（二）明確國家對關鍵信息基礎設施的重點保護、保障和促進措施?！稐l例》確立了“綜合協調、分工負責、依法保護”的工作原則，明確了國家網信部門、國務院公安部門、保護工作部門、地方政府的職責分工，形成監管保護合力；另一方面，《條例》提出了圍繞關鍵信息基礎設施的信息共享、監測預警、應急處置、檢查檢測、軍地協同等保護保障措施，以及專業人才培養、技術創新和產業發展、網絡安全服務機構建設管理等促進措施，體現了國家對關鍵信息基礎設施實行重點保護的意志和決心；此外，《條例》還作出特別規定，禁止非法侵入、干擾、破壞關鍵信息基礎設施，任何組織和個人一旦實施危害關鍵信息基礎設施安全的行為將面臨法律法規的嚴懲。 

　　（三）明確關鍵信息基礎設施運營者的責任義務?！稐l例》重點壓實了關鍵信息基礎設施運營者（以下簡稱“運營者”）的主體責任，從安全保護措施、建立健全保護制度和責任制、設置專門安全管理機構、經費和人員投入、檢測評估、網絡安全事件及威脅報告、網絡產品和服務采購等多個層面提出了明確要求，構建了開展關鍵信息基礎設施安全保護工作的長效機制。 

　　三、落實《條例》要求，提升關鍵信息基礎設施安全保護能力水平的幾點思考 

　　一是強化意識，深刻認識關鍵信息基礎設施安全保護工作的重要性。從事關鍵信息基礎設施運營和保護工作的單位和個人應充分意識到，做好關鍵信息基礎設施安全保護工作不僅事關自身系統安全和業務穩定運行，更關乎國計民生，要深刻認識到確保關鍵信息基礎設施安全的極端重要性，站立高位、保持清醒、敢于擔當、勇于作為，以國家網絡安全為己任，嚴格落實相關法律、政策、制度的要求。 

　　二是明晰底數，精準掌握關鍵信息基礎設施安全運行情況。掌握關鍵信息基礎設施安全運行的網絡和數據資產信息，是國家主管監管部門和保護工作部門開展指導監督工作的重要前提；對于運營者而言，更是落實主體責任，加強防護工作的必要手段。一方面，應全面梳理關鍵信息基礎設施網絡產品和服務情況，在掌握關鍵信息基礎設施網絡資產的基礎上，進一步梳理組件級的型號信息、配置設置信息等，支撐供應鏈網絡攻擊發生后的快速定位和準確研判。另一方面，應厘清關鍵信息基礎設施承載的數據資產，梳理數據采集、加工、傳輸情況，分析數據流動條件和路徑。此外，對于涉及控制類系統的關鍵信息基礎設施，應在上述措施基礎上，重點加強分析識別，最大限度地掌握觸發或可能觸發控制動作的協議、指令情況，以及可能觸及核心控制設備、系統的數據流及具有操作權限的人員情況。 

　　三是提升能力，全面加強關鍵信息基礎設施安全防護。運營者應重點從脆弱性和風險隱患自查自糾、安全事件和威脅分析研判、極端極限情況下關鍵信息基礎設施的持續穩定運行等能力入手，加強相應的手段建設，逐步培養網絡安全專業人才隊伍，注重防護措施有效性的檢驗評價，強化網絡安全防護持續運營理念；對于網絡安全學術界、企業、研究機構而言，應針對關鍵信息基礎設施的特殊性、重要性，以風險識別、評估、防范、化解為關注重點，從理論、方法、技術多個層面加強研發攻關，為關鍵信息基礎設施安全防護提供技術支撐。 

　　四是全面貫通，合力推動關鍵信息基礎設施安全保護工作。一方面，《條例》中的信息共享、監測預警、應急處置、檢查檢測等措施需要各有關部門進一步體系化、制度化、常態化推動完善；另一方面，《條例》中對運營者“采購網絡產品和服務可能影響國家安全的”情況的相關要求與國家網絡安全審查制度一脈相承，運營者應在落實網絡安全審查、保障關鍵信息基礎設施供應鏈安全的工作過程中進一步提升主動性。 

　　落實關鍵信息基礎設施保護制度，需要政、產、學、研、用各個層面的通力合作，社會各界應強化認識、找準定位、貢獻力量，共同筑牢國家網絡安全屏障，進而為維護國家安全、經濟發展和社會穩定提供堅實支撐。

    （信息中心供稿）