2017年5月12日，Wannacry勒索病毒利用美国国家安全局被泄露安全漏洞“永恒之蓝”肆虐全球（以下简称“永恒之蓝”事件），在短短一天时间内，迅速感染全球百余个国家和地区，直接威胁重要领域内网、隔离网络中的主机和数据安全，给全球网络空间安全带来严重威胁。本次事件发作快、传播广、影响深，远远超出普通网络病毒攻击的范畴，暴露出我国当前关键信息基础设施保护工作中仍存在诸多不足。为应对日趋严峻的网络安全形势，我国应正视威胁、积极应对、补齐短板、发挥优势，加快构建“基础牢固、攻防兼备”的国家关键信息基础设施保护综合防御体系。

1 “永恒之蓝”事件暴露出当前我国关键信息基础设施保护仍面临诸多问题

一是关键信息基础设施的国家层面的落地性工作需加快推动。

Wannacry勒索病毒爆发之后，虽然我国各监管部门采取了一系列措施，重点行业领域关键基础设施运营者积极应对，但是仍给我国关键信息基础设施带来极大损失，从侧面反映出应从国家层面高度重视，统一出台关键信息基础设施安全配套的法律法规和部门规章才能将损失降到最低。

2017年6月1日起我国首部全面规范网络空间安全管理的基础性法律《网络安全法》正式实施。《网络安全法》强调要保障关键信息基础设施安全，并对关键信息基础设施的定义进行详细阐述，明确关键信息基础设施运营者的安全保护义务。经过此次“永恒之蓝”事件，我们意识到网络运行安全是网络安全的重心，关键信息基础设施安全则是重中之重。《网络安全法》已经明确关键信息基础设施相关概念，但是配套措施如安全审查、重要数据和个人信息本地存储等概念尚不明确，对关键信息基础设施的认定标准尚不明确，配套部门规章、行业规划等配套文件尚不健全。需继续加快完善关键信息基础设施保护、网络安全审查、数据安全管理等重点领域配套法律法规和部门规章，在推动构建以《网络安全法》为核心，专项立法和相关法律法规同步发展的网络与信息安全法律法规体系的同时，增强力量全面开展关键信息基础设施安全保护相关要求的落实工作。

二是部分行业关键信息基础设施基础性安全防护能力不强。

Wannacry勒索病毒对我国教育、能源等多个重要行业的关键信息基础设施造成了不同程度的影响，包括北京、上海、杭州、重庆、成都和南京等多地部分加油站业务系统受到影响。

我来自川庆钻探长庆井下技术作业公司，目前在公司对外合作项目部工作，我公司项目部负责长北壳牌和苏南道达尔两个中石油长庆油田的对外合作区块的完井服务总包项目。这个案例反应的是项目部和道达尔公司之间合作出现的沟通难题和如何顺利解决整个过程的心得体会。

我国高度重视关键信息基础设施安全保护，2017年7月11日发布的《关键信息基础设施安全保护条例（征求意见稿）》为我国开展关键信息基础设施安全保护工作提供了有力指导，揭开了我国关键信息基础设施安全保护立法的新篇章。未来我国需加强技管结合，构建完整的关键信息基础设施安全保护体系。

三是关键信息基础设施各领域高端安全能力参差不齐。

《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》都缺乏构建政府与企业之间协作机制的规定。对于网络安全信息共享，前者第39条和后者第38条规定了网络安全服务机构等之间的“网络安全信息共享”；前者第25条和后者第39条规定了运营者应按照规定报告网络安全事件；前者第51条和后者第36条规定了建立网络安全监测预警和信息通报制度。但这些规定相对简单，没有具体负责机构和实现机制，对企业的激励也不够充分。

在“永恒之蓝”事件发生后，虽然监管机构、关键基础设施运营者、安全企业均采取相应措施开展应对，但没有形成有效的联动机制，导致未能及时响应，共享网络安全信息，对国内各行业造成了严重损失。

四是政企协作能力较弱，无法及时有效地启动联动机制。

由此可见，我国各行业应对网络安全攻击事件的能力不均衡，存在严重的差异化。传统ICT行业在此次“永恒之蓝”事件中在监测预警、态势感知、应急处置等方面虽然体现出了强有力的安全防护能力，但在网络安全信息共享方面没有积极发挥优势。目前，我国网络安全事件监测、通报和处置力量相对分散，缺乏协调整合，与企业和行业组织的联系还不够充分，很难做到实时共享网络安全信息。政府和企业安全保护职责的划分一般是按照“谁主管，谁负责；谁运营，谁负责”的原则，政府的主要职责是明确安全保护的目标以及企业需要落实的要求，并在必要时给予企业技术支持，协助企业进行应急恢复。而企业间缺少协同沟通机制，导致传统ICT行业无法发挥其应有的安全防护优势，非传统ICT行业无法得到实时共享安全信息，因此无法更好地应对网络安全攻击。

从受影响的严重程度看，“永恒之蓝”对我国各行业的影响参差不齐。其中，教育、能源和政务领域网络受影响相对较重；交通领域受到一定影响，但未出现大范围爆发情况；金融、通信等传统行业基本未受影响。

不合理低价游是旅游业的“痼疾”，给旅游市场造成许多问题。第一，导致了企业之间的恶性竞争，扰乱了正常的旅游市场秩序，破坏了行业规范和商业生态，损害了行业声誉。第二，导游擅自缩减游览项目、增加购物点、诱导胁迫游客购物，导致游客投诉，降低了旅游服务质量，也损害了旅游者合法权益。原国家旅游局监督管理司司长彭志凯曾在2015年2月公开表示，“不合理低价”问题是我国旅游市场秩序的“百病之源”。这足以说明不合理低价游对整个旅游市场带来的危害。因此，如何消除旅游市场不合理低价游现象是一个非常迫切的关乎旅游业未来发展的问题。

2 构建我国关键信息基础设施保护体系的对策建议

在如此短的时间内，“永恒之蓝”事件对国内产生一定影响，暴露出我国部分关键信息基础设施领域仍存在基础性安全能力不强、网络安全抵抗能力薄弱、安全监测和态势感知等网络安全中高端能力手段不足的问题。网络安全技术人员配备不足、安全人员水平不高也成为关键信息基础设施安全防护的薄弱环节。

一是加快出台清单，加大对工作的指导，建立健全保护框架，加强技术统筹。

识别风险、评估风险，对网络安全工作，乃至于关键信息基础设施的保护，具有先导性的意义。从国际上看，建立风险评估体系、提升威胁应对能力，是美国和欧盟等国家与地区最新的网络安全立法、政策、标准的核心理念。虽然美国和欧盟在法律体系上存在显著差异，但是应对网络安全问题的路径在逐渐趋同，即均高度重视风险评估，敦促运营者时刻根据不断变化的网络风险来调整所采取的安全防护措施。我国应高度重视关键信息基础设施的风险评估工作，在全国范围内针对关键信息基础设施建立立体、交叉的网络安全态势感知体系，并通过政府部门的抽查、检测、演练等举措，将对风险的实时感知和分析转化为动态、有针对性的安全防护要求，以更好地应对网络空间日益严峻的安全形势，切实保障国家安全、国计民生和公共利益。

二是高度重视安全风险评估环节，提升威胁应对能力。

从美国和欧盟的经验来看，认定关键信息基础设施有两种基本方式，包括从“网络架构设施”入手和从“关键网络服务”入手。从“网络架构设施”入手侧重认定保护其中的骨干网络和关键运行节点，这种方式往往会忽视金融、能源、交通等很多行业领域的重要网络服务。因此，各国多采用“从关键网络服务入手”的方式认定关键信息基础设施。这种认定方法包括3个步骤：一是确定关键行业领域，二是确定关键行业领域中的关键网络服务，三是确定支撑这些关键网络服务的网络信息系统和设施。同时，从国外经验来看，关键信息基础设施虽然涉及的重要行业领域是公开的，但考虑到切实确保国家安全，其具体范围是秘密不公开的。建议我国充分借鉴国际经验，结合我国实际，建立关键信息基础设施秘密清单制度。

三是强化政企协作机制，不断提升信息共享能力。

建议政府与企业建立协作机制，并进一步完善网络安全信息共享制度，从而实现关键信息基础设施的安全可控。一方面，授权国家网信部门、相关行业主管部门与关键信息基础设施运营者建立协作机制。在确定各行业领域政府主管部门的基础上，鼓励引导各个行业领域成立自身的行业协作委员会，授权政府主管部门和相应的行业协作委员会建立合作协作机制。企业通过这一机制反映自身面临的网络安全威胁，并协助主管部门制定行业关键信息基础设施保护和安全信息共享计划；网信部门等国家机关通过这一机制广泛征求产业界的意见，在制定关键信息基础设施保护政策和标准等过程中，充分反映行业的最佳实践，鼓励不同行业间网络安全保护经验的推广和宣传推优。另一方面，完善网络安全信息共享制度，包括政府和企业的网络安全信息共享机制和行业内网络安全信息共享机制。建议授权网信部门建立专门的国家级网络安全信息共享中心，为中小企业网络安全信息共享提供建议指南。

色谱条件：色谱柱为HP-88（100 m×0.25 mm,0.20μm film thickness，J&W Sci.USA）；进样口温度250℃，载气He，流速1 mL/min。采用程序升温方式，由室温升至160℃保持2 min，然后以2.5℃/min升至250℃,保持2 min，不分流进样。

④安装生态长袋：生态长袋安装时先从坡顶开始往下坡方向顺边坡放下未装植生土的生态长袋，然后在边坡顶部填装植生土，当填充土至锚孔附近时打锚杆进行锚固，锚杆在边坡外保留一定长度，继续填充植生土直至坡脚，每隔2米进行钢筋锚固。生态长袋应填充饱满（厚度约23～25 cm），使其生态袋形成长方形状，相邻两排生态袋要紧密靠拢并排，将坡面生态长袋连成一体。

四是兼收并蓄，着力构建关键信息基础设施保护创新人才培养体系。

需从国家层面加强关键信息基础设施保护人才培养，为网络空间安全防护工作提供强有力的人才保障。加大关键信息基础设施保护人才培养力度，通过定向培养、继续教育等形式培养急需的技术和应用创新型人才。创新关键信息基础设施保护人才选拔使用机制，建立科学的关键信息基础设施保护人才评价标准体系，从技术水平、学习能力、管理能力、创新能力、人格品质等多维度对关键信息基础设施保护人才进行量化评估；鼓励通过安全大会、安全培训、行业安全竞赛等途径，实现关键信息基础设施保护人才的多渠道选拔。完善关键信息基础设施保护人才激励制度，不断完善技术入股、股权期权激励、科技成果知识产权收益分配等政策。

参考文献：

[1] 何耀忠,郭晓峰. 国内外关键信息基础设施保护政策和标准解读[J].网络安全技术与应用,2017(08):15～17.