日前頒布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡稱《關(guān)基保護(hù)條例》）對事關(guān)“國家安全、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)”，提出了除網(wǎng)絡(luò)安全等級保護(hù)制度之外的增強(qiáng)性安全要求和安全措施。貫穿于其中的增強(qiáng)性要求和措施的一條主線，是主體責(zé)任與綜合共治相配合的理念，即《關(guān)基保護(hù)條例》第四條所提出的：“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅(jiān)持綜合協(xié)調(diào)、分工負(fù)責(zé)、依法保護(hù)，強(qiáng)化和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下簡稱關(guān)基運(yùn)營者）主體責(zé)任，充分發(fā)揮政府及社會(huì)各方面的作用，共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全”。本文將簡析《關(guān)基保護(hù)條例》在落實(shí)綜合共治方面的相關(guān)制度設(shè)計(jì)，并著重從網(wǎng)絡(luò)安全信息共享的角度進(jìn)行闡釋和分析，以彰顯《關(guān)基保護(hù)條例》所秉持的先進(jìn)理念。

　　一、《關(guān)基保護(hù)條例》重點(diǎn)設(shè)計(jì)了綜合共治的制度路徑

　　《關(guān)基保護(hù)條例》對關(guān)基安全保護(hù)的綜合共治，有著豐富的制度設(shè)計(jì)。除了對關(guān)基運(yùn)營者提出了相對于一般運(yùn)營者更高的安全責(zé)任義務(wù)之外，還在多個(gè)方面建立了制度性途徑，要求保護(hù)工作部門、國家網(wǎng)信部門、國務(wù)院公安部門，與關(guān)基運(yùn)營者一道，直接參與到關(guān)基的日常保護(hù)工作之中。

　　具體來說，一是人員方面，第十四條規(guī)定對關(guān)基安全管理機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查時(shí)，“公安機(jī)關(guān)、國家安全機(jī)關(guān)應(yīng)當(dāng)予以協(xié)助”。二是在產(chǎn)品和服務(wù)方面，第十九條規(guī)定運(yùn)營者“采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”。三是應(yīng)急演練。第二十五條規(guī)定，保護(hù)工作部門應(yīng)建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，當(dāng)定期組織應(yīng)急演練。四是事件應(yīng)對處置中的技術(shù)支持與協(xié)助，體現(xiàn)在第二十五規(guī)定中，關(guān)基的保護(hù)工作部門在指導(dǎo)運(yùn)營者做好網(wǎng)絡(luò)安全事件應(yīng)對處置時(shí)，“根據(jù)需要組織提供技術(shù)支持與協(xié)助”；第二十九條規(guī)定，國家網(wǎng)信部門、電信部門、公安部門“應(yīng)當(dāng)根據(jù)保護(hù)工作部門的需要，及時(shí)提供技術(shù)支持和協(xié)助”。

　　二、網(wǎng)絡(luò)安全信息共享是綜合共治的突出體現(xiàn)

　　除了上述四方面，綜合共治的另外一個(gè)突出體現(xiàn)即是網(wǎng)絡(luò)安全信息共享。首先是關(guān)基運(yùn)營者的信息上報(bào)義務(wù)，按照第十五條，關(guān)基運(yùn)營者所建立的專門安全管理機(jī)構(gòu)應(yīng)“按照規(guī)定報(bào)告網(wǎng)絡(luò)安全事件和重要事項(xiàng)”；第十七條規(guī)定，運(yùn)營者開展網(wǎng)絡(luò)安全檢測和風(fēng)險(xiǎn)評估時(shí)，應(yīng)當(dāng)“按照保護(hù)工作部門要求報(bào)送情況”；第十八條進(jìn)一步要求，“發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)，運(yùn)營者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告”；第二十一條還規(guī)定，如果“運(yùn)營者發(fā)生合并、分立、解散等情況，應(yīng)當(dāng)及時(shí)報(bào)告保護(hù)工作部門”。

　　其次是部門檢查檢測、監(jiān)測機(jī)制。其具體體現(xiàn)在兩個(gè)方面：一是第二十六和二十七條所要求的國家網(wǎng)信部門、國務(wù)院公安部門和保護(hù)工作部門主動(dòng)組織網(wǎng)絡(luò)安全檢查檢測，目的主動(dòng)發(fā)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施存在的網(wǎng)絡(luò)安全漏洞、管理問題、技術(shù)缺陷等，并就此提出改進(jìn)措施，指導(dǎo)運(yùn)營者整改安全隱患，完善安全措施。二是第二十四條要求保護(hù)工作部門應(yīng)當(dāng)建立“本行業(yè)、本領(lǐng)域”的關(guān)基網(wǎng)絡(luò)安全監(jiān)測制度，以便“及時(shí)掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況、安全態(tài)勢”。

　　再次是各部門之間的信息共享制度。第十八條規(guī)定，對于特別重大的網(wǎng)絡(luò)安全事件或網(wǎng)絡(luò)安全威脅，例如“關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行或者主要功能故障、國家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個(gè)人信息泄露、造成較大經(jīng)濟(jì)損失、違法信息較大范圍傳播等”，保護(hù)工作部門“應(yīng)當(dāng)在收到報(bào)告后，及時(shí)向國家網(wǎng)信部門、國務(wù)院公安部門報(bào)告”。第二十三條要求“國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機(jī)制，及時(shí)匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息，促進(jìn)有關(guān)部門、保護(hù)工作部門、運(yùn)營者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享”。

　　最后是保護(hù)工作部門的信息預(yù)警制度。在通過前述規(guī)定實(shí)現(xiàn)網(wǎng)絡(luò)安全信息收集和共享之后，《關(guān)基保護(hù)條例》第二十四條要求保護(hù)工作部門應(yīng)當(dāng)建立“本行業(yè)、本領(lǐng)域”的關(guān)基網(wǎng)絡(luò)安全預(yù)警制度，以便“預(yù)警通報(bào)網(wǎng)絡(luò)安全威脅和隱患，指導(dǎo)做好安全防范工作”。

　　三、網(wǎng)絡(luò)安全信息共享對關(guān)基安全保護(hù)具有重要意義

　　《關(guān)基保護(hù)條例》之所以花如此多的筆墨在行業(yè)、領(lǐng)域乃至國家層面，圍繞著關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)構(gòu)建網(wǎng)絡(luò)安全信息共享機(jī)制，其最直接的意義是為了能夠“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”。在全面的網(wǎng)絡(luò)安全態(tài)勢感知的指引下，關(guān)基運(yùn)營者首先能夠識別風(fēng)險(xiǎn)、認(rèn)識風(fēng)險(xiǎn)。習(xí)近平總書記指出，“知己知彼，才能百戰(zhàn)不殆”；“維護(hù)網(wǎng)絡(luò)安全，首先要知道風(fēng)險(xiǎn)在哪里，是什么樣的風(fēng)險(xiǎn)，什么時(shí)候發(fā)生風(fēng)險(xiǎn)”；“沒有意識到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)”，無法識別風(fēng)險(xiǎn)的后果只能是“誰進(jìn)來了不知道、是敵是友不知道、干了什么不知道”。對于內(nèi)部風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全態(tài)勢感知能夠讓關(guān)基運(yùn)營者“摸清家底”、“找出漏洞”、“通報(bào)結(jié)果”、“督促整改”； 對于外部風(fēng)險(xiǎn)，網(wǎng)絡(luò)安全態(tài)勢感知能夠讓關(guān)基運(yùn)營者知道什么時(shí)候“人家用的是飛機(jī)大炮，我們這里還用大刀長矛”。

　　其次，全面的網(wǎng)絡(luò)安全態(tài)勢感知對網(wǎng)絡(luò)安全工作的統(tǒng)籌安排、資源分配具有全局性、基礎(chǔ)性的指導(dǎo)意義?？倳浿赋?，“網(wǎng)絡(luò)安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計(jì)成本追求絕對安全，那樣不僅會(huì)背上沉重負(fù)擔(dān)，甚至可能顧此失彼”。因此，在資源約束下，如何判斷輕重緩急，如何做到科學(xué)高效地分配網(wǎng)絡(luò)安全力量，全面的網(wǎng)絡(luò)安全態(tài)勢感知是最好的指南。總書記說，通過識別和認(rèn)識風(fēng)險(xiǎn)，我們才能“有本清清楚楚的賬”——即“哪些方面要重兵把守、嚴(yán)防死守，哪些方面由地方政府保障、適度防范，哪些方面由市場力量防護(hù)”。

　　從前述網(wǎng)絡(luò)安全信息共享的四方面制度中不難看拿出，參與到信息共享，對單個(gè)運(yùn)營者來說，能對攻擊者有更多、更深的了解，縮短對網(wǎng)絡(luò)攻擊的反應(yīng)時(shí)間；能夠效仿別的運(yùn)營者部署的行之有效的安全措施，提高總體安全水平。與此同時(shí)，政府部門參與到安全信息共享中去，把自己掌握的情況通過共享網(wǎng)絡(luò)做到快速、廣泛發(fā)布，通過信息共享，達(dá)到調(diào)動(dòng)、協(xié)調(diào)全社會(huì)實(shí)現(xiàn)實(shí)時(shí)的群防群治，提高網(wǎng)絡(luò)安全治理的效果。

　　此外，政府部門、運(yùn)營者、網(wǎng)絡(luò)安全服務(wù)提供者等各主體間更大程度的安全信息共享，意味著有更多的安全信息和數(shù)據(jù)被“生產(chǎn)”出來，并開始流通。安全大數(shù)據(jù)得以成為可能。政府部門能借此在宏觀層面，更全面地掌握威脅和安全防護(hù)方面的全局性情況，分析出未來可能的發(fā)展趨勢，為在國家層面制定戰(zhàn)略和行動(dòng)計(jì)劃、開展專項(xiàng)行動(dòng)，有針對性地協(xié)調(diào)各部門、各行業(yè)進(jìn)行防護(hù)工作等打下堅(jiān)實(shí)的基礎(chǔ)。

　　總之，全面的網(wǎng)絡(luò)安全信息共享機(jī)制能夠在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作中超越“靜態(tài)底線式”的安全合規(guī)，實(shí)現(xiàn)有效掌握“攻防兩端能力”對比變化，科學(xué)高效分配有限的安全資源和力量，進(jìn)而在動(dòng)態(tài)對抗博弈中贏得主動(dòng)，達(dá)到動(dòng)態(tài)優(yōu)化式的安全保障效果。

　　四、結(jié)語

　　如前文分析，《關(guān)基保護(hù)條例》的科學(xué)之處在于清晰地認(rèn)識到關(guān)基保護(hù)的核心關(guān)鍵之一在于公私緊密合作；在此方面中外莫不如是。同時(shí)由于我國國情因素，地區(qū)、部門之間的協(xié)作也至關(guān)重要。因此，在綜合共治方面，《關(guān)基保護(hù)條例》提出了豐富且先進(jìn)的制度設(shè)計(jì)：一方面在關(guān)基安全保護(hù)的重要節(jié)點(diǎn)，部門通過自身的資源和能力直接賦能運(yùn)營者。另一方面通過網(wǎng)絡(luò)安全信息上報(bào)、收集、共享等，并通過預(yù)警機(jī)制，“點(diǎn)滴之中”直接指導(dǎo)、提升運(yùn)營者的日常安全保護(hù)工作。兩個(gè)方面相結(jié)合，做到了對關(guān)基運(yùn)營和安全的全覆蓋。就此，我們有理由相信《關(guān)基保護(hù)條例》的科學(xué)設(shè)計(jì)為提升關(guān)基安全保護(hù)水平奠定了堅(jiān)實(shí)基礎(chǔ)。（完）