《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》）構(gòu)建了以關(guān)鍵信息基礎(chǔ)設(shè)施運營者（以下簡稱“運營者”）為主體的綜合治理體系，并將網(wǎng)絡(luò)安全檢測和風(fēng)險評估作為一項重要責(zé)任義務(wù)。落實好網(wǎng)絡(luò)安全檢測評估工作，是保護好關(guān)鍵信息基礎(chǔ)設(shè)施的關(guān)鍵環(huán)節(jié)。

　　一、關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估概述

　　（一）充分認(rèn)識檢測評估的工作職責(zé)

　　檢測評估工作是運營者開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的一項法定職責(zé)。《條例》第十五條規(guī)定，運營者設(shè)置的專門安全管理機構(gòu)應(yīng)當(dāng)履行“組織推動網(wǎng)絡(luò)安全防護能力建設(shè)，開展網(wǎng)絡(luò)安全監(jiān)測、檢測和風(fēng)險評估”的工作職責(zé)。運營者必須按照《條例》第十七條的相關(guān)要求，開展檢測評估工作。一是工作頻度方面的要求，運營者每年應(yīng)至少進行一次網(wǎng)絡(luò)安全檢測和風(fēng)險評估；二是工作形式方面的要求，有能力的運營者可以自行開展檢測評估，能力不足的運營者可以委托專業(yè)的第三方網(wǎng)絡(luò)安全服務(wù)機構(gòu)開展檢測評估；三是結(jié)果使用方面的要求，一方面，要及時整改發(fā)現(xiàn)的安全問題，另一方面，要按保護工作部門的要求報送檢測評估、安全整改等方面的情況，便于主管監(jiān)管部門及時掌握風(fēng)險現(xiàn)狀。

　　（二）準(zhǔn)確理解檢測評估的重要作用

　　1. 從標(biāo)準(zhǔn)體系理解檢測評估工作

　　當(dāng)前，關(guān)鍵信息基礎(chǔ)設(shè)施的安全標(biāo)準(zhǔn)體系的基本框架已經(jīng)初步建立，對運營者應(yīng)履行的具體職責(zé)做出了更細(xì)致的規(guī)定。在《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求》《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法》等報批稿或公開征求意見稿的標(biāo)準(zhǔn)中，將關(guān)鍵信息基礎(chǔ)設(shè)施保護工作劃分為五個環(huán)節(jié)：識別認(rèn)定、安全防護、檢測評估、監(jiān)測預(yù)警、事件處置。從中可以看出，檢測評估工作不是孤立的，而是關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系中一個重要的有機組成部分。檢測評估不能代替監(jiān)測預(yù)警和事件處置，然而卻可以通過定期的深入評估，使得運營者對關(guān)鍵信息基礎(chǔ)設(shè)施的保護制度運行情況、識別認(rèn)定的科學(xué)性和準(zhǔn)確性、安全防護措施的全面性和有效性做到及時掌握，以應(yīng)對潛在風(fēng)險和隱患事件。

　　2. 區(qū)分檢測評估與等級保護測評的關(guān)系

　　準(zhǔn)確理解檢測評估的另一個重要方面，是區(qū)分檢測評估與等級保護測評的關(guān)系。首先，從工作目標(biāo)上來說，等級保護測評的目標(biāo)是合規(guī)，檢測評估的目標(biāo)是基于合規(guī)提出更高的能力要求。等級保護測評的本質(zhì)是符合性測評，運營者只要完成規(guī)定的動作和措施即可。檢測評估在滿足等級保護合規(guī)要求的基礎(chǔ)之上，還會提出具有關(guān)鍵信息基礎(chǔ)設(shè)施保護特色的合規(guī)要求，如專門安全管理機構(gòu)設(shè)置、人員經(jīng)費配套情況等；另外，檢測評估不僅僅停留在合規(guī)要求上，還會對運營者的技術(shù)防護提出更高要求，如檢驗防護措施的有效性、發(fā)現(xiàn)網(wǎng)絡(luò)安全隱患、分析潛在可能引起的安全事件等。

　　其次，從安全責(zé)任上看，等級保護測評的效果是合規(guī)，運營者需要按照等級保護工作框架，嚴(yán)格落實標(biāo)準(zhǔn)規(guī)范所要求的規(guī)定動作，盡可能避免發(fā)生安全事故。關(guān)鍵信息基礎(chǔ)設(shè)施作為經(jīng)濟社會運行的神經(jīng)中樞，其運營者肩負(fù)重大的保護責(zé)任，等級保護測評的合規(guī)理念，難以有效督促運營者發(fā)揮安全保護作用。關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估工作則不僅僅著眼于合規(guī)，運營者在完成合規(guī)動作之外，還應(yīng)在標(biāo)準(zhǔn)規(guī)范的指導(dǎo)下，通過檢測評估檢驗安全防護措施的有效性，全面識別脆弱性和安全威脅，分析潛在風(fēng)險事件，提出整改措施。若因應(yīng)發(fā)現(xiàn)而未發(fā)現(xiàn)的風(fēng)險，造成了可避免而未避免的重大網(wǎng)絡(luò)安全事件，《條例》第四十七條對運營者或其他有關(guān)部門因失職、瀆職造成重大和特別重大網(wǎng)絡(luò)安全事件的責(zé)任追究保留了依據(jù)，合規(guī)動作不能成為重大責(zé)任事故的免責(zé)借口，有效地彌補了等級保護測評的不足。

　　二、檢測評估的主要內(nèi)容

　　掌握科學(xué)、有效、全面的檢測評估方法對于運營者來說至關(guān)重要。當(dāng)前，正在制定完善中的關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系提出了一套檢測評估方法，可作為《條例》施行后、標(biāo)準(zhǔn)正式發(fā)布前，運營者開展檢測評估的工作參考。

　　（一）建立檢測評估制度

　　運營者應(yīng)建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估制度，包括但不限于檢測評估流程、方式方法、周期、人員組織、資金保障等。

　　（二）合規(guī)檢查

　　運營者在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作框架內(nèi)，應(yīng)滿足基本的工作要求和職責(zé)。一是評估關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定情況，檢查是否已將支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)備和信息系統(tǒng)均納入了認(rèn)定范圍，確保沒有存在漏報、誤報、瞞報的情況。二是評估法律法規(guī)、政策文件和標(biāo)準(zhǔn)規(guī)范梳理情況，確保運營者沒有遺漏重要的工作依據(jù)工作。三是網(wǎng)絡(luò)安全等級保護落實情況，確保基本的等級保護合規(guī)工作落實到位。四是個人隱私數(shù)據(jù)保護情況，評估是否按照相關(guān)法律法規(guī)開展個人信息保護。五是安全管理機構(gòu)設(shè)置和人員安全管理情況，確保專門安全管理機構(gòu)設(shè)置、安全背景審查、安全教育、技術(shù)培訓(xùn)考核等工作落實到位。六是安全保障措施落實情況，如安全管理制度、安全建設(shè)、安全運維、日常監(jiān)測、備份與恢復(fù)、應(yīng)急響應(yīng)與處置等工作落實情況。

　　（三）技術(shù)檢查

　　運營者在合規(guī)檢查的基礎(chǔ)上，應(yīng)開展技術(shù)檢查。一是安全檢測。以人員現(xiàn)場操作為主要手段，包括信息收集、漏洞掃描、漏洞驗證、業(yè)務(wù)安全測試、社會工程學(xué)測試、無線安全測試、內(nèi)網(wǎng)安全測試、安全域測試、入侵檢測、安全意識測試、安全整改情況復(fù)查等共 11 項內(nèi)容。二是安全監(jiān)測。以部署軟硬件設(shè)備的方式為主要手段，在信息嗅探行為、漏洞利用攻擊、間諜軟件、病毒蠕蟲攻擊、木馬后門攻擊、惡意郵件攻擊、應(yīng)用攻擊和漏洞、惡意域名、異常流量、敏感信息泄露等共 10 個方面開展監(jiān)測。

　　三、下一步思考

　　隨著技術(shù)應(yīng)用的不斷發(fā)展和國內(nèi)外網(wǎng)絡(luò)空間安全態(tài)勢的演變，需要不斷完善關(guān)鍵信息基礎(chǔ)設(shè)施檢測評估的重點內(nèi)容，以應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作面臨的一系列新問題新挑戰(zhàn)。

　　一是將技術(shù)對抗納入關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護基本要求和檢測評估的內(nèi)容。技術(shù)對抗指的是在現(xiàn)有的關(guān)鍵信息基礎(chǔ)設(shè)施保護基本要求五大環(huán)節(jié)的監(jiān)測預(yù)警的基礎(chǔ)之上，以態(tài)勢感知和追蹤溯源技術(shù)為支撐，實現(xiàn)對攻擊行為的自動化阻斷，對攻擊者的身份溯源。技術(shù)對抗不僅是一種保護手段，也是一種積極防御和潛在反制手段，將對攻擊者形成威懾，促使其從“不能攻”轉(zhuǎn)變?yōu)椤安桓夜ァ睆亩鴮崿F(xiàn)更好的防御。

　　二是加強關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的檢測評估手段。近年來，全球分工體系深刻變化，國際貿(mào)易、地緣政治等因素持續(xù)沖擊全球供應(yīng)鏈結(jié)構(gòu)，新冠肺炎疫情更是加劇全球供應(yīng)鏈動蕩，威脅我國關(guān)鍵信息基礎(chǔ)設(shè)施安全。然而，由于產(chǎn)業(yè)結(jié)構(gòu)的復(fù)雜性、供應(yīng)鏈關(guān)系的隱蔽性、風(fēng)險傳導(dǎo)的滯后性、事件爆發(fā)的突發(fā)性等因素，供應(yīng)鏈風(fēng)險的感知、評估、預(yù)警能力非常不足，成為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的重大短板。“十四五”規(guī)劃提出，“建立重要資源和產(chǎn)品全球供應(yīng)鏈風(fēng)險預(yù)警系統(tǒng)”，對我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作提出了新要求。

　　三是加強關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全和個人信息保護檢測評估能力。隨著大數(shù)據(jù)時代的到來，數(shù)據(jù)安全和個人信息保護在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護中的分量越來越重。隨著《數(shù)據(jù)安全法》和《個人信息保護法》的出臺生效，關(guān)鍵信息基礎(chǔ)設(shè)施安全標(biāo)準(zhǔn)體系中關(guān)于數(shù)據(jù)安全和個人信息保護的工作要求已不能滿足上位法的相關(guān)要求，需要進一步補充完善。