《關鍵信息基礎設施安全保護條例》（以下簡稱《條例》）作為《網絡安全法》的重要配套行政法規，針對關鍵信息基礎設施各類責任主體、保護對象和法定義務作出了明確而具體的規定。在電子政務領域，《條例》對當前我國依托政務外網規范推進數字政府建設進程，有效提升政府開展在線履職、便民服務能力和水平，穩步深化開發政府數據應用，奠定堅實的法治基礎，發揮著重要的法治保障作用。

　　一、電子政務外網實施關鍵信息基礎設施保護的必要性凸顯

　　經過多年建設，電子政務外網已經發展成為我國覆蓋面最廣、連接政務部門最多、承載業務最全面的全國電子政務統一網絡。電子政務外網貫通全國“中央、省、市、縣”四級網絡平臺，省級、地市級實現全覆蓋，區縣級、鄉鎮、村級網絡應需盡接，大部分區縣實現下轄鄉鎮全覆蓋。130 多個中央部門政務部門和相關單位、近 20 萬個各級地方部門基于政務外網開展電子政務。

　　電子政務外網是電子政務領域基礎“云、網、數”重要底層設施，由于其連接全國各級黨政機關，承載運行各級政務數據資源、重大信息庫和重要信息系統，同金融、能源、電力、通信、交通等領域的關鍵信息基礎設施一樣，是各級政府開展政務協同服務、老百姓網上辦事的網絡樞紐，其網絡安全是關鍵信息基礎設施保護工作的重中之重。

　　此次《條例》發布，標志著關鍵信息基礎設施保護制度基本形成，與我國正在施行的等級保護制度結合，形成圍繞關鍵信息基礎設施的“兩個制度”格局，二者相互銜接配套，各有偏重，落實這兩個制度必將有助于電子政務外網更全面地推進關鍵信息基礎設施全網整體安全保護，更有效地保障各級政府利用政務外網在線履職、服務于民。

　?。ㄒ唬嵤┱胀饩W關鍵信息基礎設施保護是嚴格遵循國家法律法規的基本要求

　　《條例》出臺，是落實《網絡安全法》的一項舉措，也是《網絡安全法》的配套法規。如果將《網絡安全法》看作是網絡空間安全整體的治理，《數據安全法》則定位為數據處理活動的安全與開發利用，《個人信息保護法》定位為公民個人隱私信息保護，三部法律并行形成了我國網絡空間法治“三叉戟”?！稐l例》則突出了保護涉及我國國家安全、國計民生、公共利益的重要設施運行。政務外網作為法定保護對象，應嚴格遵循法規要求，配合主管部門、監管部門履行工作部門和運營者相關義務。

　?。ǘ嵤┱胀饩W關鍵信息基礎設施保護是全網各級單位應對安全挑戰的重要抓手

　　國家電子政務外網是按照中辦發〔2002〕17 號文件和〔2006〕18 號文件要求建設的我國電子政務重要公共基礎設施，是服務于各級黨委、人大、政府、政協、法院和檢察院等政務部門，滿足其經濟調節、市場監管、社會管理和公共服務等方面需要的政務公用網絡。

　　政務外網支持跨地區、跨部門的業務應用、信息共享和業務協同，以及不需在政務內網上運行的業務。政務外網由中央政務外網和地方政務外網組成，與互聯網嚴格隔離。國家電子政務外網管理中心近年來陸續組織開展全網邊界安全檢查專項工作和全網網絡安全風險排查工作，經梳理發現，經過近年來網絡安全基礎設施建設，政務外網已初步具備較完善的安全管理體系、安全防護體系和安全監測體系。但隨著政務外網業務承載量逐漸增多以及業務上云化帶來的諸多挑戰，政務外網面臨的整體安全形勢仍舊比較嚴峻，形成設施保護方面的一些挑戰。

　　1. 基層網絡安全管理仍不足

　　地方政務外網基層單位存在安全管理機構缺失、安全管理制度不完善、制度更新不及時、執行不到位、責任不明確等各種各樣的安全管理短板問題，部分地方基層單位存在未完成等級保護測評工作的情況。

　　2. 各地數據安全建設水平參差不齊

　　政務信息整合共享工作基本實現“網絡通、數據通”的階段性目標，全國一體化數據共享交換平臺建成，公共信息資源開放有效展開。各級政務外網業務承載急劇增加，大量政務數據在政務外網匯聚，各地政務外網在數據采集、存儲、傳輸、使用、銷毀等環節還須加強對管理和技術要求全面的“雙落實”，圍繞數據全生命周期安全保護能力建設仍需下力氣“大投入”。

　　3. 終端安全尚未實現全網統籌管控

　　全網終端接入分散控制，整體安全管控策略必要但還無法實現，目前仍存在終端同時訪問政務外網和互聯網的情況，部分單位無法對所有接入政務外網的終端進行有效管控，主機安全防護一旦措施落實不到位，非法用戶就有了“可乘之機”，終端一旦感染病毒、中了后門木馬，對政務外網設施產生的威脅不可忽視。

　　4. 監測措施還不夠完備

　　政務外網存在著不少的新型攻擊形態，各地區政務外網網絡安全采集、分析水平參差不齊，安全設備部署較為分散，部分單位安全監測難以實現全天候值守，實時發現和安全事件聯動處置能力存在不足。

　　《條例》出臺為政務外網履行法定保護，化解問題和挑戰，重新規劃落實設施保護措施，建立更加有效的實戰化、體系化、常態化等新理念，全方位構建主動防御、安全可信、動態感知和全面審計，強化安全集中管控，持續增強動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控等新能力，提供依據和抓手。

　　二、電子政務外網關鍵信息基礎設施安全保護工作實踐

　　《條例》為當前政務外網全網各級設施運營單位做好設施保護工作提供了全面的指導，各級運營單位應加緊對照法定要求，依法推進政務外網關鍵信息基礎設施各項保護措施穩步落地。

　　重點應加強三項措施：一是依托現有組織體系架構，構建政務外網關鍵信息基礎設施保護工作機構，保障各級外網各項工作有序展開。依托國家電子政務外網管理中心網絡和安全等組織架構和人員，設立全國政務外網統一的保護工作專門機構，監督指導各級外網開展保護工作，并構建專門安全管理職責隊伍，建立健全保護制度和責任機制，推進人力、財力、物力投入，定期開展安全管理、技術人員培訓，開展“有獎有罰”的公平考核評價機制。

　　二是立足政務外網主管、監管、運營職能劃分，加強上下內外左右“三協同”，形成主管、監管、運營工作“三合力”。各級政務外網共建共管、共享共治，形成全國全網一盤棋。政務外網運營者在已經明確關基范圍、認定工作流程和考慮因素的基礎上，加強與國家網信部門、國務院辦公廳電子政務辦、公安部門、安全保護部門的協作配合，進一步完善保護對象體系化工作，與地方外網、部門使用單位劃分責任和工作邊界，避免設施保護工作各自為戰、條塊分割等問題。

　　三是遵循《條例》和等保制度指引，落實條例重點保護措施，提升政務外網安全服務支撐水平。基于國家電子政務外網實施三級等級保護工作成效，進一步完善網絡安全防護、數據共享交換安全、安全服務支撐、日常安全管理四位一體的網絡安全體系，落實政務外網關鍵信息基礎設施五方面重點保護任務。一是重點建立資產檔案；二是強化核心崗位人員管理；三是加強網絡攻擊威脅管控、整體防護、監測預警、應急處置、數據保護等重點保護措施；四是強化全網技術系統聯動；五是委托網絡安全服務機構對關鍵信息基礎設施每年開展網絡安全檢測和風險評估；六是發生重大網絡安全事件或者發現重大網絡安全威脅時，及時向保護部門、公安機關報告。

　　圍繞做好電子政務外網關鍵信息基礎設施安全保護工作，建議在實踐中重點注意以下幾點：

　?。ㄒ唬┳R別認定政務外網關鍵信息基礎設施范圍和邊界

　　電子政務外網關鍵信息基礎設施具有《條例》中所定義的電子政務這一重要行業和領域對象的顯著特性，是一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統。政務外網由全國各級外網設施組成，政務外網各級骨干網含城域網、廣域網，政務外網數據中心及集中地提供公共服務的云計算平臺設施、數據共享交換平臺等所構成的整體信息基礎設施，統一認定為一個關鍵信息基礎設施，其邊界統一設定為政務外網與互聯網的邊界、各級政務部門接入邊界，政務外網數據中心與其他數據中心的邊界。

　?。ǘ┩晟聘骷壵胀饩W內部專門組織管理機構

　　在國家電子政務外網管理中心現有分工基礎上，設立專門負責推進關鍵信息基礎設施保護的全網安全管理機構，由各級外網單位共同參加，并對機構所有關鍵崗位人員進行安全背景審查。各地政務外網專門安全管理機構具體負責政務外網關鍵信息基礎設施安全保護工作，履行下列職責。一是建立健全本地政務外網網絡安全管理、評價考核制度，擬訂本地政務外網關鍵信息基礎設施安全保護計劃。二是組織推動本地政務外網網絡安全防護能力建設，開展網絡安全監測、檢測和風險評估。三是按照國家外網網絡安全協同應急體系要求，構建本地政務外網協同應急平臺，制定本單位應急預案，定期開展應急演練，處置網絡安全事件。四是認定政務外網網絡安全關鍵崗位，參加國家外網組織開展的網絡安全工作考核，開展本地外網考核。五是參加國家外網統一認證培訓，組織本地網絡安全教育、培訓，加大政務外網網絡安全保障人才培養力度，定期組織開展技能培訓。六是履行個人信息和數據安全保護責任，建立健全個人信息和數據安全保護制度。七是開展本地政務外網關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理。八是通過全國政務外網協同應急平臺及安全通報渠道及時向國家外網報告網絡安全事件和重要事項。

　?。ㄈ┟鞔_各級政務外網運營者主體責任

　　在關鍵信息基礎設施安全保護工作上，明確地方政務外網運營者所需承擔的具體責任，并嚴格遵照執行八項要求。一是安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。二是建立健全本地政務外網網絡安全保護制度和責任制，保障人力、財力、物力投入。主要負責人對本地政務外網關鍵信息基礎設施安全保護負總責，領導本地政務外網關鍵信息基礎設施安全保護和重大網絡安全事件處置工作，組織研究解決重大網絡安全問題。三是保障專門安全管理機構的運行經費、配備相應的人員，開展與網絡安全和信息化有關的決策應當有專門安全管理機構人員參與。四是自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估，對發現的安全問題及時整改，并按照政務外網保護工作部門要求報送情況。五是本地政務外網關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時，運營者應當按照有關規定向政務外網保護工作部門、公安機關報告。六是優先采購安全可信的網絡產品和服務；采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查。七是采購網絡產品和服務，應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議，明確提供者的技術支持和安全保密義務與責任，并對義務與責任履行情況進行監督。八是配合政務外網保護工作部門以及公安、國家安全、保密行政管理、密碼管理等有關部門依法開展的關鍵信息基礎設施網絡安全檢查工作。

　?。ㄋ模┘訌娬胀饩W關鍵信息基礎設施網絡安全和數據安全

　　在基礎防護能力建設方面，構建全方位的政務外網安全防御體系，在網絡側、互聯網接入側、應用側部署相應的安全防護措施，建立較強的邊界防護能力、終端防護能力、安全審計能力。在安全監測能力建設方面，積極開展政務外網安全監測類平臺建設，提供 7*24 小時的全方位安全監測服務，逐步具備整網安全事件及時發現并處置的能力。在終端安全管控能力建設方面，強化政務外網接入終端安全管控，杜絕終端政務外網、互聯網兩網通聯，有效查殺蠕蟲病毒、惡意軟件、勒索軟件、引導區病毒、木馬等惡意文件，從系統的更底層發現漏洞攻擊代碼的執行，防護“零日”（0Day）漏洞等，按需收集終端的軟硬件信息，包括硬件信息、操作系統信息、終端登記信息等，形成資產檔案。

　　在數據安全保護能力建設方面，在促進數據共享使用的同時，推動政務外網數據安全保護能力建設，深入推廣數據訪問控制與權限管理、數據加密、數據脫敏、數據標識、數據審計等防護措施的建設和應用，提升數據安全交換功能和性能，加強數據容災備份設施建設，實現數據安全管控。同時，提升政務外網國產密碼一體化支撐能力，推進國產密碼在政務網絡、政務云、各業務系統、數據共享體系方面的規模化部署和替代，持續開展政務外網密碼應用安全性評估相關工作。

　?。ㄎ澹┨岣哒胀饩W協同處置能力

　　構建覆蓋中央、省、市、縣四級的政務外網安全事件管理協同處置機制，明確工作范圍、職責、流程等內容。建設政務外網安全事件管理平臺，及時收集、匯總、分析、共享各方網絡安全信息，為各級政務外網安全管理部門處置跨地域、跨層級、跨系統的安全事件搭建協同處置通道。依托國家網絡與信息安全信息通報機制，加強國家電子政務外網網絡信息安全通報預警力量建設，推進與網信、公安、保密等主管部門和主流安全廠商網絡安全威脅情報共享協同，聯合機構、院校、廠商深度挖掘分析，形成具有政務外網特色的威脅情報信息庫，支撐政務外網安全事件管理協同處置機制能力建設。建設政務外網安全應急演練平臺，為各級政務外網安全管理部門搭建演練環境，提升政務外網安全事件協同處置能力。

　　三、結語

　　隨著政府數字化轉型、應用新模式的推進發展，電子政務外網關鍵信息基礎設施保護工作不容小覷，貫徹落實關鍵信息基礎設施保護和網絡安全等級保護兩個制度，完善政務外網體制機制建設，以全局規劃、戰略布局、整體推進為原則，堅持全國“一盤棋”，發揮各級政務外網積極性，全面協同推進國家電子政務外網關鍵信息基礎設施全網安全保護取得新進展。