《關鍵信息基礎設施安全保護條例》一周年 “關鍵軟件”安全可信立根基

關鍵信息基礎設施是關乎國家安全的命門所在。《條例》的頒布實施是產業呼喚安全保障需求的政策呼應，是落實我國《網絡安全法》等頂層規劃的重要組成部分。

近年來一系列針對關鍵信息基礎設施的安全事件，引發了各國對關鍵信息基礎設施安全的關注，世界主要信息化發達國家紛紛加大投入，出臺相關法律法規，積極強化關鍵基礎設施安全防護。

這些法律法規圍繞以下層面，對關鍵基礎設施的信息化工作提出了全新的安全要求，有效提升了關基行業應對攻擊的能力，也為我國關鍵信息基礎設施保護提供了參考。一是加強了關基設施的風險識別要求；二是要求關基機構遭到攻擊時必須及時上報；三是強化了針對關基設施攻擊事件的處理和打擊；第四點也是最重要的一點，是強化了關基設施的供應鏈管理，特別是提出了“關鍵軟件”的概念，要求提升“關鍵軟件”供應鏈的安全性和完整性。

我國的《關鍵信息基礎設施安全保護條例》，也強調了可信任的技術供給能力。除了傳統的能力、網絡可信任，復雜多變的國際形勢也要求我們必須做到供應鏈的可信任。除了“關鍵軟件”供應鏈可靠，更強調從操作系統到中間件數據庫，乃至芯片和整機及上層應用軟件的全產品、全場景的供應鏈可信任。《條例》中涵蓋的關基設施種類各種各樣，需要配套的基礎軟硬件、安全防護和檢測等整體技術體系的供應鏈都要做到安全可信賴。同時，《條例》也創造性的指出了關基建設幾個重要實踐執行要點，從識別認定、安全防護、預警監測到應急處置的各環節需要執行的重點內容和關鍵步驟，為我國關基設施的保護提供了從法規、理論、標準規范到實踐應用的全方位政策指導。

從目前實踐情況看，我國關基行業已經開始有效落實《條例》相關內容，梳理業務條線。在標識、響應、對應等層級做了有效提升。但在關鍵軟件的可信賴上，還存在一個較大風險：我國關基領域關鍵軟件大部分依賴進口，在源代碼和供應鏈的可信賴度上，無法做到美國這樣100%可信可控。因此，在落實《條例》過程中，必須要補齊關鍵軟件供應鏈可信賴的這一短板。我國目前在操作系統等關鍵軟件領域，已經具備了銀河麒麟等自主創新產品，并開始推動開放麒麟等根社區建設。這些措施，保證了關鍵產品的源代碼和供應鏈可信、可查、可控，符合關基條例相關要求。上述產品已經在電力等關基核心控制系統領域獲得大規模應用驗證，可有效支撐用戶單位落實條例規定。

《條例》施行一周年以來，是我國關鍵信息基礎設施安全保護不斷取得務實進展的一年，更是我國基礎軟硬件產業深入關基行業支撐應用的一年。安全技術不斷進步，行業應用逐步深入，我國的關鍵軟件和關基行業的綁定越來越密切，更將成為拉動網絡安全產業邁向高質量發展的重要引擎。

本文選自《中國信息安全》2022年第9期，作者為麒麟軟件副總裁李震寧