日前，綠盟科技安全顧問肖巖軍先生接受了賽迪網的采訪。當被問及《中華人民共和國網絡安全法（草案）》(簡稱“《草案》”)對于關鍵信息基礎設施安全的相關規定是否完整，是否已經覆蓋了相關安全防護的各個方面時，肖巖軍認為《草案》本身的意義在于確定了相關部門的權責，要求各個運營者在職責、組織架構、設備采購、運營維護等方面進行了定義，是一份大綱性質的法律，而具體相關規定會有各種配套辦法來具體實施。“目前來看，該法律條款切中要害，使得各種基礎設置運營者有保證信息安全的職責，使得相關職能部門的監督有法可依。”

肖巖軍提出《草案》僅僅定義了大綱性條款，這意味著要落地相關規定，需要國務院、網信辦、公安等部門制定詳細的細則，并用于指導各級關鍵信息基礎設施安全的相關建設工作。

面對是否應該成立專門的第三方機構對企業、單位遵守“關鍵信息基礎設施的運行安全”相關規定情況進行審核、抽查這一問題，肖巖軍首先為我們介紹了“它山之石”的情況。“在美國政府行業，政府成立了專門的績效中心，用于評估相關情況，同時美國審計署也會對政府進行審核。對于企業，美國重視行業規范和行業認證推薦，例如金融行業，就是PCI DSS規范。”而現在中國國內卻存在多頭管理的情況，目前公安部、工信部、國家質量監督總局都有直屬的檢測部門，但各個檢測部門之間互不相認的情況，則造成了管理和權責方面的問題。本次《草案》案第十九條規定：“網絡關鍵設備和網絡安全專用產品應當按照相關國家標準、行業標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售。國家網信部門會同國務院有關部門制定、公布網絡關鍵設備和網絡安全專用產品目錄，并推動安全認證和安全檢測結果互認，避免重復認證、檢測。”由此可以預見，后續的審核工作將更為正規。

我國已經實施等級保護多年，由此催生了多家第三方機構進行相關審核資質的認定工作，而且審核人員也是必須要持證上崗(CISP認證)。因此，目前有第三方專業機構能夠對關鍵信息基礎設施運營者的網絡安全性和可能存在的風險進行檢測評估。“另外，公安要求各個第三方專業機構分成測評和整改兩種，測評就不能做整改。”

如何才能盡快加速關鍵信息基礎設施運營者IT體系的安全改進呢？從國外經驗來看，因為安全改進涉及投資無法采用強制方式，所以美國的方法是由政府進行正向引導，例如政府會表彰先進企業，給予其優惠待遇等。而在政府內部還會展開橫向評比，通過政府績效中心來表彰最佳實踐，OMB(行政管理和預算局)會在預算等方面對于表現好企業給予傾斜。總體而言，美國通過各類表彰實現管理上“激勵為主”的做法。畢竟，安全是一種狀態。一個動態的安全，面臨一個隨著各種新型攻擊變化的環境。2011《聯邦信息安全管理法》FISMA2.0所述：從反應性、防御性的機構遷移到一個善于適應環境的有機組織，因此不存在時間表，但是政府應該對于關鍵的項目設定時間表。如下圖，為落實FISMA法案，美國啟動了CAP(Cross-Agency Priority Goalon Cybersecurity，跨聯邦部門網絡安全優先目標)計劃。也就是說，要想加快用戶的安全升級改造，最好采取鼓勵為主的相關措施，激發其主動性。同時，要劃定好優先改造目標。

在談到《草案》中安全預警相關條款時，肖巖軍為我們分享了美國對于安全預警信息的處理辦法。

“9·11”之后，美國的信息安全政策和管理體制變化主要體現在以下三個方面：一是情報收集、分析和分享，二是重要信息基礎設施保護，三是網絡攻擊能力建設。“9·11”事件之后，美國社會認為，如此多的美國情報機構居然沒能發現和阻止“9·11”事件，這說明美國的情報和安全體制存在問題。911后美國成立國土安全部，奧巴馬政府在白宮設立一個由信息安全協調員領導的信息安全協調辦公室，以負責統籌和協調政府的信息安全政策。信息安全協調員是美國政府行政部門中最重要的官員之一，對美國安全、外交和經濟事務具有舉足輕重的影響力。設立信息安全協調員辦公室，任命信息安全協調員，可以認為是奧巴馬政府對布什政府信息安全管理體制的重大調整。

由此可見國外對安全預警信息非常重視，美國通過的《網絡空間安全信息共享法》更是希望借助包括民間在內的力量加強情報收集。

在安全預警方面，美國是保持開放態度，借助STIX、國家漏洞庫等項目，預警信息可以直達各個政府單位，企業等。美國在推動這些情報的使用場景發揮，除了涉密的部分外，通過漏洞標準化、元語化來強化預警信息的分類、流通。相對而言，美國是最重視這方面工作的，例如每個漏洞都有唯一CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露)編號，有了CVE就改變了之前各個廠家隨意命名的問題。

而為了檢驗安全應急預案的有效性，美國則是組織全行業參與到“網絡風暴”演練。由軍方或者政府負責攻擊，運營商、金融、電網負責防護，“在實踐中檢驗是最佳做法。”

2008 年1月，美國總統簽署國家安全第54號總統令/國土安全第23號總統令，提出國家信息安全綜合行動計劃(CNCI)。其中第(8)條，開展“網絡風暴”演習。組織聯邦、州和地方政府及私營部門、國際盟友共同參與，檢驗和加強國家的網絡安全預防與響應能力。

《草案》在制定過程中，應該本著“拿來主義”走出去，充分借鑒他國的先進經驗，兼顧國內實際情況。由此打磨出來的《草案》才更加有效、更容易執行。