日前，锦龙信安董事长威客众测CEO 陈新龙先生在接受赛迪网采访时表示，《中华人民共和国网络安全法（草案）》(简称“《草案》”)中对于关键信息基础设施安全的相关规定较为完整，对于关键信息基础设施的安全防护大体给出了一个框架性的建议。不过，各企业或政府单位在落实的时候还是需要根据自身的企业属性、政府工作的职能属性具体问题具体分析，比如能源行业与金融行业由于行业自身的特色属性，在安全防护的规划上就会有一些差异性，“国家出台的《草案》我想更多的是一种对我国网络空间安全的一个国家底线，基于这个底线之上是有足够的可发展、可研究、可探索的成长空间的。”

《草案》的制定出台，是一个重要的里程碑，尽管在关键信息基础设施安全建设方面会有这样那样的问题，但是办法永远比问题多。当下很多企业或政府单位可能很难对自身做一个清晰的定位，他们会片面的思考安全防护应该做到哪一步、哪个层面就足够了，这种想法其实才是最大的难题，因为对于安全来说从来就不是一个可以一劳永逸的事情。我们的国家在进步，同样信息技术、网络技术、通信技术、安全技术更是处在飞速发展的时代，任何一项信息领域的技术变革都会给安全提出更高的要求，所以在建设安全体系的时候要着眼在未来，做一个长期有效可落地的规划，不要生搬硬套的去执行关键信息基础设施安全的相关规定

陈新龙认为，应该设立专门的第三方机构、对企业、单位进行审查、抽查，在《草案》第三章第二节第三十二条与第三十三条中明确写出了可以委托专业检验检测机构进行评估与整改建议，现实情况亦是如此，“在与企业、政府单位沟通中，通过第三方专业机构做安全评估、安全检测、安全建议这类的需求始终存在，问题的关键其实不是在于是否应该设立第三方机构，而是完善第三方机构，让这些机构真正专业起来，而不是为了检测去检测、为了评估去评估。”随着市场需求的增长，会有更多专业、优秀的第三方机构孵化出来。但同时，第三方机构需要真正理解了用户的需求，能够给出权威、专业、可行建议的评测机构才能得到认可。威客众测这个平台其实目前就在做这方面的资源整合工作，希望能给企业、政府单位提供更好的安全服务体验。

现在人们对于关键信息基础设施运营商安全性改进方面的讨论很多，对于是否需要设定完成时间表，陈新龙表示这是一个见仁见智的事情。“对于那些在网络安全方面已经有自己的规划并付诸于行动的企业、政府单位来说，规定一个硬性的完成时间表可能并不是好的方法，网络安全建设规划方向的正确与否先抛开，单论时间周期的必要性，对于那些有安全意识与安全责任的企业与政府单位来说会是一个紧箍咒，不能为了‘做安全’而去做安全。对于那些缺乏网络安全意识或者不知道应该怎么去做好网络安全的企业来说会有一定的效果，人通常对于自己不知道或者做不好的事情都会在短时间内进行充电，这其实就是一种进步，当这些企业真正从网络安全建设的成果中看到了价值，我想这会是一个良性循环的开始。”

面对来势汹汹的恶意攻击，安全预警的重要性愈发凸显。安全预警信息的本质是第一时间告知相应的安全负责人、安全部门已经发生的攻击事件或者在未来某个时段发生攻击事件的可能，从技术角度来说，安全设备、网络设备都可以将告警信息推送到安全监控平台。对于安全预警信息的处理方面要遵循两个原则，首先要可以判断预警信息的准确性，误报信息是不可能规避的，这就要求相应的监控人员可以初步对预警信息进行过滤，其次就是对于一些不明显的预警信息进行一个趋势性分析，考虑下一步可能发生的风险事件。“当然我这两个标准其实对于监控人员的自身安全认知来说有一些苛刻，但这是最理想的素质要求。退一步来说起码监控人员在接受到预警信息之后可以马上做一个风险定向，明确当前的安全事件应该协调什么部门的人员进行二次分析，目前大多数企业、政府单位的监控人员是可以做到这一点的。但是我们应该向着更高的层次去努力，这样才能最大限度的通过安全预警信息去规避可能发生的安全风险。”

最后在谈及如何检验安全应急预案有效性的问题时陈新龙提出：“对于这个问题其实一句话就可以概括的很准确，实践是检测真理的唯一标准。”对于安全从业人员来说，严谨的态度是任何时候都不能摒弃的，因为当攻击真正发生的时候往往是疾风骤雨，甚至是摧枯拉朽。只有在日常的工作中对安全应急预案定期进行验证，才可以做到临危不乱、应对自如。当攻击发生的时候，每个负责安全的人员都明确自己的岗位职责，采用有效的处理方式，安全应急预案才有真正的价值，否则再专业的安全应急预案也只能是纸上谈兵。