日前，錦龍信安董事長威客眾測CEO 陳新龍先生在接受賽迪網采訪時表示，《中華人民共和國網絡安全法（草案）》(簡稱“《草案》”)中對于關鍵信息基礎設施安全的相關規定較為完整，對于關鍵信息基礎設施的安全防護大體給出了一個框架性的建議。不過，各企業或政府單位在落實的時候還是需要根據自身的企業屬性、政府工作的職能屬性具體問題具體分析，比如能源行業與金融行業由于行業自身的特色屬性，在安全防護的規劃上就會有一些差異性，“國家出臺的《草案》我想更多的是一種對我國網絡空間安全的一個國家底線，基于這個底線之上是有足夠的可發展、可研究、可探索的成長空間的。”

《草案》的制定出臺，是一個重要的里程碑，盡管在關鍵信息基礎設施安全建設方面會有這樣那樣的問題，但是辦法永遠比問題多。當下很多企業或政府單位可能很難對自身做一個清晰的定位，他們會片面的思考安全防護應該做到哪一步、哪個層面就足夠了，這種想法其實才是最大的難題，因為對于安全來說從來就不是一個可以一勞永逸的事情。我們的國家在進步，同樣信息技術、網絡技術、通信技術、安全技術更是處在飛速發展的時代，任何一項信息領域的技術變革都會給安全提出更高的要求，所以在建設安全體系的時候要著眼在未來，做一個長期有效可落地的規劃，不要生搬硬套的去執行關鍵信息基礎設施安全的相關規定

陳新龍認為，應該設立專門的第三方機構、對企業、單位進行審查、抽查，在《草案》第三章第二節第三十二條與第三十三條中明確寫出了可以委托專業檢驗檢測機構進行評估與整改建議，現實情況亦是如此，“在與企業、政府單位溝通中，通過第三方專業機構做安全評估、安全檢測、安全建議這類的需求始終存在，問題的關鍵其實不是在于是否應該設立第三方機構，而是完善第三方機構，讓這些機構真正專業起來，而不是為了檢測去檢測、為了評估去評估。”隨著市場需求的增長，會有更多專業、優秀的第三方機構孵化出來。但同時，第三方機構需要真正理解了用戶的需求，能夠給出權威、專業、可行建議的評測機構才能得到認可。威客眾測這個平臺其實目前就在做這方面的資源整合工作，希望能給企業、政府單位提供更好的安全服務體驗。

現在人們對于關鍵信息基礎設施運營商安全性改進方面的討論很多，對于是否需要設定完成時間表，陳新龍表示這是一個見仁見智的事情。“對于那些在網絡安全方面已經有自己的規劃并付諸于行動的企業、政府單位來說，規定一個硬性的完成時間表可能并不是好的方法，網絡安全建設規劃方向的正確與否先拋開，單論時間周期的必要性，對于那些有安全意識與安全責任的企業與政府單位來說會是一個緊箍咒，不能為了‘做安全’而去做安全。對于那些缺乏網絡安全意識或者不知道應該怎么去做好網絡安全的企業來說會有一定的效果，人通常對于自己不知道或者做不好的事情都會在短時間內進行充電，這其實就是一種進步，當這些企業真正從網絡安全建設的成果中看到了價值，我想這會是一個良性循環的開始。”

面對來勢洶洶的惡意攻擊，安全預警的重要性愈發凸顯。安全預警信息的本質是第一時間告知相應的安全負責人、安全部門已經發生的攻擊事件或者在未來某個時段發生攻擊事件的可能，從技術角度來說，安全設備、網絡設備都可以將告警信息推送到安全監控平臺。對于安全預警信息的處理方面要遵循兩個原則，首先要可以判斷預警信息的準確性，誤報信息是不可能規避的，這就要求相應的監控人員可以初步對預警信息進行過濾，其次就是對于一些不明顯的預警信息進行一個趨勢性分析，考慮下一步可能發生的風險事件。“當然我這兩個標準其實對于監控人員的自身安全認知來說有一些苛刻，但這是最理想的素質要求。退一步來說起碼監控人員在接受到預警信息之后可以馬上做一個風險定向，明確當前的安全事件應該協調什么部門的人員進行二次分析，目前大多數企業、政府單位的監控人員是可以做到這一點的。但是我們應該向著更高的層次去努力，這樣才能最大限度的通過安全預警信息去規避可能發生的安全風險。”

最后在談及如何檢驗安全應急預案有效性的問題時陳新龍提出：“對于這個問題其實一句話就可以概括的很準確，實踐是檢測真理的唯一標準。”對于安全從業人員來說，嚴謹的態度是任何時候都不能摒棄的，因為當攻擊真正發生的時候往往是疾風驟雨，甚至是摧枯拉朽。只有在日常的工作中對安全應急預案定期進行驗證，才可以做到臨危不亂、應對自如。當攻擊發生的時候，每個負責安全的人員都明確自己的崗位職責，采用有效的處理方式，安全應急預案才有真正的價值，否則再專業的安全應急預案也只能是紙上談兵。