一、關鍵信息基礎設施安全保護是我國網絡安全防護體系建設的重要組成部分

關鍵信息基礎設施保護工作歷來是各國網絡安全保護工作的重點。自上世紀90年代起，美、歐等具有較強網絡安全保障能力的國家和地區已將提高關鍵信息基礎設施的安全性和可靠性作為一項長期工作，陸續發布了《增強關鍵基礎設施網絡安全》（美國總統第13636號行政令）《歐洲關鍵基礎設施保護計劃》《網絡與信息安全指令》等一系列政策法規。

習近平總書記“4·19”講話指示“加快構建關鍵信息基礎設施安全保障體系”。《網絡安全法》建立了關鍵信息基礎設施保護制度，明確了關鍵信息基礎設施運營者的安全責任。《密碼法》則進一步要求運營者按照法律法規使用商用密碼保護關鍵信息基礎設施。自2014年起，《關于加強黨政部門云計算服務網絡安全管理的意見》《中央網信辦關于印發<國家網絡安全事件應急預案>的通知》《關鍵信息基礎設施安全保護條例（征求意見稿）》《網絡安全審查辦法》等相繼出臺或公開征求意見，為關鍵信息基礎設施安全防護體系建設夯實了政策法規基礎。
        二、關鍵信息基礎設施安全防護標準為關鍵信息基礎設施安全防護體系的建設提供了重要的技術支撐

隨著網絡攻擊技術的快速發展和攻擊工具自動化程度的不斷提高，我國關鍵信息基礎設施安全防護形式嚴峻，面臨的安全風險日益突出。一是關鍵信息基礎設施行業特點顯著，各行業安全防護能力差異明顯，安全防護體系建設任務重、難度大。二是針對關鍵信息基礎設施的攻擊不僅能導致網絡安全事件，還能進一步破壞物理基礎設施安全，危害國家安全。三是對于有組織、大規模的攻擊行為，關鍵信息基礎設施運營者難以僅依靠自身安全能力開展有效防護，需通過國家層面的安全態勢、威脅信息共享機制，形成聯防聯控，實現有效應對措施。

針對關鍵信息基礎設施保護領域的主要安全風險和安全需求，全國信息安全標準化技術委員會推動研制了包括《關鍵信息基礎設施網絡安全保護基本要求（報批稿）》《關鍵信息基礎設施安全控制措施（報批稿）》《關鍵信息基礎設施安全檢查評估指南（報批稿）》等7項重點急需國家標準，明確了運營者開展網絡安全保護工作的最低要求，提出了安全控制措施，并對檢查評估工作的開展給出指導,為關鍵信息基礎設施保護工作奠定良好標準基礎。

三、積極開展重點標準應用推廣，加快關鍵信息基礎設施安全標準體系建設，助力安全防護能力提升

目前，包括基本要求、安全控制措施、檢查評估指南等關鍵信息基礎設施防護領域的基礎共性標準均已推進至報批稿階段，技術內容較為成熟，應積極開展標準試點應用工作，在應用過程中發現問題、解決問題，提升標準技術條款的適用性和先進性，確保相關標準有用、好用、管用。同時，隨著關鍵信息基礎設施識別認定工作在各行業的開展，圍繞安全防護、檢測預警、事件處置、新技術應用以及行業領域等進一步完善關鍵信息基礎設施標準體系建設工作，推動相關標準形成合力，為關鍵信息基礎設施防護體系建設提供有效支撐。（作者：孫彥，中國電子技術標準化研究院工程師）