《关键信息基础设施安全保护条例》一周年 “关键软件”安全可信立根基

关键信息基础设施是关乎国家安全的命门所在。《条例》的颁布实施是产业呼唤安全保障需求的政策呼应，是落实我国《网络安全法》等顶层规划的重要组成部分。

近年来一系列针对关键信息基础设施的安全事件，引发了各国对关键信息基础设施安全的关注，世界主要信息化发达国家纷纷加大投入，出台相关法律法规，积极强化关键基础设施安全防护。

这些法律法规围绕以下层面，对关键基础设施的信息化工作提出了全新的安全要求，有效提升了关基行业应对攻击的能力，也为我国关键信息基础设施保护提供了参考。一是加强了关基设施的风险识别要求；二是要求关基机构遭到攻击时必须及时上报；三是强化了针对关基设施攻击事件的处理和打击；第四点也是最重要的一点，是强化了关基设施的供应链管理，特别是提出了“关键软件”的概念，要求提升“关键软件”供应链的安全性和完整性。

我国的《关键信息基础设施安全保护条例》，也强调了可信任的技术供给能力。除了传统的能力、网络可信任，复杂多变的国际形势也要求我们必须做到供应链的可信任。除了“关键软件”供应链可靠，更强调从操作系统到中间件数据库，乃至芯片和整机及上层应用软件的全产品、全场景的供应链可信任。《条例》中涵盖的关基设施种类各种各样，需要配套的基础软硬件、安全防护和检测等整体技术体系的供应链都要做到安全可信赖。同时，《条例》也创造性的指出了关基建设几个重要实践执行要点，从识别认定、安全防护、预警监测到应急处置的各环节需要执行的重点内容和关键步骤，为我国关基设施的保护提供了从法规、理论、标准规范到实践应用的全方位政策指导。

从目前实践情况看，我国关基行业已经开始有效落实《条例》相关内容，梳理业务条线。在标识、响应、对应等层级做了有效提升。但在关键软件的可信赖上，还存在一个较大风险：我国关基领域关键软件大部分依赖进口，在源代码和供应链的可信赖度上，无法做到美国这样100%可信可控。因此，在落实《条例》过程中，必须要补齐关键软件供应链可信赖的这一短板。我国目前在操作系统等关键软件领域，已经具备了银河麒麟等自主创新产品，并开始推动开放麒麟等根社区建设。这些措施，保证了关键产品的源代码和供应链可信、可查、可控，符合关基条例相关要求。上述产品已经在电力等关基核心控制系统领域获得大规模应用验证，可有效支撑用户单位落实条例规定。

《条例》施行一周年以来，是我国关键信息基础设施安全保护不断取得务实进展的一年，更是我国基础软硬件产业深入关基行业支撑应用的一年。安全技术不断进步，行业应用逐步深入，我国的关键软件和关基行业的绑定越来越密切，更将成为拉动网络安全产业迈向高质量发展的重要引擎。

本文选自《中国信息安全》2022年第9期，作者为麒麟软件副总裁李震宁