日前頒布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《關(guān)基保護條例》）對事關(guān)“國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)”，提出了除網(wǎng)絡(luò)安全等級保護制度之外的增強性安全要求和安全措施。貫穿于其中的增強性要求和措施的一條主線，是主體責任與綜合共治相配合的理念，即《關(guān)基保護條例》第四條所提出的：“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護堅持綜合協(xié)調(diào)、分工負責、依法保護，強化和落實關(guān)鍵信息基礎(chǔ)設(shè)施運營者（以下簡稱關(guān)基運營者）主體責任，充分發(fā)揮政府及社會各方面的作用，共同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全”。本文將簡析《關(guān)基保護條例》在落實綜合共治方面的相關(guān)制度設(shè)計，并著重從網(wǎng)絡(luò)安全信息共享的角度進行闡釋和分析，以彰顯《關(guān)基保護條例》所秉持的先進理念。

　　一、《關(guān)基保護條例》重點設(shè)計了綜合共治的制度路徑

　　《關(guān)基保護條例》對關(guān)基安全保護的綜合共治，有著豐富的制度設(shè)計。除了對關(guān)基運營者提出了相對于一般運營者更高的安全責任義務(wù)之外，還在多個方面建立了制度性途徑，要求保護工作部門、國家網(wǎng)信部門、國務(wù)院公安部門，與關(guān)基運營者一道，直接參與到關(guān)基的日常保護工作之中。

　　具體來說，一是人員方面，第十四條規(guī)定對關(guān)基安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查時，“公安機關(guān)、國家安全機關(guān)應(yīng)當予以協(xié)助”。二是在產(chǎn)品和服務(wù)方面，第十九條規(guī)定運營者“采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”。三是應(yīng)急演練。第二十五條規(guī)定，保護工作部門應(yīng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，當定期組織應(yīng)急演練。四是事件應(yīng)對處置中的技術(shù)支持與協(xié)助，體現(xiàn)在第二十五規(guī)定中，關(guān)基的保護工作部門在指導運營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置時，“根據(jù)需要組織提供技術(shù)支持與協(xié)助”；第二十九條規(guī)定，國家網(wǎng)信部門、電信部門、公安部門“應(yīng)當根據(jù)保護工作部門的需要，及時提供技術(shù)支持和協(xié)助”。

　　二、網(wǎng)絡(luò)安全信息共享是綜合共治的突出體現(xiàn)

　　除了上述四方面，綜合共治的另外一個突出體現(xiàn)即是網(wǎng)絡(luò)安全信息共享。首先是關(guān)基運營者的信息上報義務(wù)，按照第十五條，關(guān)基運營者所建立的專門安全管理機構(gòu)應(yīng)“按照規(guī)定報告網(wǎng)絡(luò)安全事件和重要事項”；第十七條規(guī)定，運營者開展網(wǎng)絡(luò)安全檢測和風險評估時，應(yīng)當“按照保護工作部門要求報送情況”；第十八條進一步要求，“發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時，運營者應(yīng)當按照有關(guān)規(guī)定向保護工作部門、公安機關(guān)報告”；第二十一條還規(guī)定，如果“運營者發(fā)生合并、分立、解散等情況，應(yīng)當及時報告保護工作部門”。

　　其次是部門檢查檢測、監(jiān)測機制。其具體體現(xiàn)在兩個方面：一是第二十六和二十七條所要求的國家網(wǎng)信部門、國務(wù)院公安部門和保護工作部門主動組織網(wǎng)絡(luò)安全檢查檢測，目的主動發(fā)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施存在的網(wǎng)絡(luò)安全漏洞、管理問題、技術(shù)缺陷等，并就此提出改進措施，指導運營者整改安全隱患，完善安全措施。二是第二十四條要求保護工作部門應(yīng)當建立“本行業(yè)、本領(lǐng)域”的關(guān)基網(wǎng)絡(luò)安全監(jiān)測制度，以便“及時掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運行狀況、安全態(tài)勢”。

　　再次是各部門之間的信息共享制度。第十八條規(guī)定，對于特別重大的網(wǎng)絡(luò)安全事件或網(wǎng)絡(luò)安全威脅，例如“關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運行或者主要功能故障、國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個人信息泄露、造成較大經(jīng)濟損失、違法信息較大范圍傳播等”，保護工作部門“應(yīng)當在收到報告后，及時向國家網(wǎng)信部門、國務(wù)院公安部門報告”。第二十三條要求“國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機制，及時匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息，促進有關(guān)部門、保護工作部門、運營者以及網(wǎng)絡(luò)安全服務(wù)機構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”。

　　最后是保護工作部門的信息預(yù)警制度。在通過前述規(guī)定實現(xiàn)網(wǎng)絡(luò)安全信息收集和共享之后，《關(guān)基保護條例》第二十四條要求保護工作部門應(yīng)當建立“本行業(yè)、本領(lǐng)域”的關(guān)基網(wǎng)絡(luò)安全預(yù)警制度，以便“預(yù)警通報網(wǎng)絡(luò)安全威脅和隱患，指導做好安全防范工作”。

　　三、網(wǎng)絡(luò)安全信息共享對關(guān)基安全保護具有重要意義

　　《關(guān)基保護條例》之所以花如此多的筆墨在行業(yè)、領(lǐng)域乃至國家層面，圍繞著關(guān)鍵信息基礎(chǔ)設(shè)施保護構(gòu)建網(wǎng)絡(luò)安全信息共享機制，其最直接的意義是為了能夠“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”。在全面的網(wǎng)絡(luò)安全態(tài)勢感知的指引下，關(guān)基運營者首先能夠識別風險、認識風險。習近平總書記指出，“知己知彼，才能百戰(zhàn)不殆”；“維護網(wǎng)絡(luò)安全，首先要知道風險在哪里，是什么樣的風險，什么時候發(fā)生風險”；“沒有意識到風險是最大的風險”，無法識別風險的后果只能是“誰進來了不知道、是敵是友不知道、干了什么不知道”。對于內(nèi)部風險，網(wǎng)絡(luò)安全態(tài)勢感知能夠讓關(guān)基運營者“摸清家底”、“找出漏洞”、“通報結(jié)果”、“督促整改”； 對于外部風險，網(wǎng)絡(luò)安全態(tài)勢感知能夠讓關(guān)基運營者知道什么時候“人家用的是飛機大炮，我們這里還用大刀長矛”。

　　其次，全面的網(wǎng)絡(luò)安全態(tài)勢感知對網(wǎng)絡(luò)安全工作的統(tǒng)籌安排、資源分配具有全局性、基礎(chǔ)性的指導意義?？倳浿赋觯熬W(wǎng)絡(luò)安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全，那樣不僅會背上沉重負擔，甚至可能顧此失彼”。因此，在資源約束下，如何判斷輕重緩急，如何做到科學高效地分配網(wǎng)絡(luò)安全力量，全面的網(wǎng)絡(luò)安全態(tài)勢感知是最好的指南?？倳浾f，通過識別和認識風險，我們才能“有本清清楚楚的賬”——即“哪些方面要重兵把守、嚴防死守，哪些方面由地方政府保障、適度防范，哪些方面由市場力量防護”。

　　從前述網(wǎng)絡(luò)安全信息共享的四方面制度中不難看拿出，參與到信息共享，對單個運營者來說，能對攻擊者有更多、更深的了解，縮短對網(wǎng)絡(luò)攻擊的反應(yīng)時間；能夠效仿別的運營者部署的行之有效的安全措施，提高總體安全水平。與此同時，政府部門參與到安全信息共享中去，把自己掌握的情況通過共享網(wǎng)絡(luò)做到快速、廣泛發(fā)布，通過信息共享，達到調(diào)動、協(xié)調(diào)全社會實現(xiàn)實時的群防群治，提高網(wǎng)絡(luò)安全治理的效果。

　　此外，政府部門、運營者、網(wǎng)絡(luò)安全服務(wù)提供者等各主體間更大程度的安全信息共享，意味著有更多的安全信息和數(shù)據(jù)被“生產(chǎn)”出來，并開始流通。安全大數(shù)據(jù)得以成為可能。政府部門能借此在宏觀層面，更全面地掌握威脅和安全防護方面的全局性情況，分析出未來可能的發(fā)展趨勢，為在國家層面制定戰(zhàn)略和行動計劃、開展專項行動，有針對性地協(xié)調(diào)各部門、各行業(yè)進行防護工作等打下堅實的基礎(chǔ)。

　　總之，全面的網(wǎng)絡(luò)安全信息共享機制能夠在關(guān)鍵信息基礎(chǔ)設(shè)施保護工作中超越“靜態(tài)底線式”的安全合規(guī)，實現(xiàn)有效掌握“攻防兩端能力”對比變化，科學高效分配有限的安全資源和力量，進而在動態(tài)對抗博弈中贏得主動，達到動態(tài)優(yōu)化式的安全保障效果。

　　四、結(jié)語

　　如前文分析，《關(guān)基保護條例》的科學之處在于清晰地認識到關(guān)基保護的核心關(guān)鍵之一在于公私緊密合作；在此方面中外莫不如是。同時由于我國國情因素，地區(qū)、部門之間的協(xié)作也至關(guān)重要。因此，在綜合共治方面，《關(guān)基保護條例》提出了豐富且先進的制度設(shè)計：一方面在關(guān)基安全保護的重要節(jié)點，部門通過自身的資源和能力直接賦能運營者。另一方面通過網(wǎng)絡(luò)安全信息上報、收集、共享等，并通過預(yù)警機制，“點滴之中”直接指導、提升運營者的日常安全保護工作。兩個方面相結(jié)合，做到了對關(guān)基運營和安全的全覆蓋。就此，我們有理由相信《關(guān)基保護條例》的科學設(shè)計為提升關(guān)基安全保護水平奠定了堅實基礎(chǔ)。（完）