日前，绿盟科技安全顾问肖岩军先生接受了赛迪网的采访。当被问及《中华人民共和国网络安全法（草案）》(简称“《草案》”)对于关键信息基础设施安全的相关规定是否完整，是否已经覆盖了相关安全防护的各个方面时，肖岩军认为《草案》本身的意义在于确定了相关部门的权责，要求各个运营者在职责、组织架构、设备采购、运营维护等方面进行了定义，是一份大纲性质的法律，而具体相关规定会有各种配套办法来具体实施。“目前来看，该法律条款切中要害，使得各种基础设置运营者有保证信息安全的职责，使得相关职能部门的监督有法可依。”

肖岩军提出《草案》仅仅定义了大纲性条款，这意味着要落地相关规定，需要国务院、网信办、公安等部门制定详细的细则，并用于指导各级关键信息基础设施安全的相关建设工作。

面对是否应该成立专门的第三方机构对企业、单位遵守“关键信息基础设施的运行安全”相关规定情况进行审核、抽查这一问题，肖岩军首先为我们介绍了“它山之石”的情况。“在美国政府行业，政府成立了专门的绩效中心，用于评估相关情况，同时美国审计署也会对政府进行审核。对于企业，美国重视行业规范和行业认证推荐，例如金融行业，就是PCI DSS规范。”而现在中国国内却存在多头管理的情况，目前公安部、工信部、国家质量监督总局都有直属的检测部门，但各个检测部门之间互不相认的情况，则造成了管理和权责方面的问题。本次《草案》案第十九条规定：“网络关键设备和网络安全专用产品应当按照相关国家标准、行业标准的强制性要求，由具备资格的机构安全认证合格或者安全检测符合要求后，方可销售。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测。”由此可以预见，后续的审核工作将更为正规。

我国已经实施等级保护多年，由此催生了多家第三方机构进行相关审核资质的认定工作，而且审核人员也是必须要持证上岗(CISP认证)。因此，目前有第三方专业机构能够对关键信息基础设施运营者的网络安全性和可能存在的风险进行检测评估。“另外，公安要求各个第三方专业机构分成测评和整改两种，测评就不能做整改。”

如何才能尽快加速关键信息基础设施运营者IT体系的安全改进呢？从国外经验来看，因为安全改进涉及投资无法采用强制方式，所以美国的方法是由政府进行正向引导，例如政府会表彰先进企业，给予其优惠待遇等。而在政府内部还会展开横向评比，通过政府绩效中心来表彰最佳实践，OMB(行政管理和预算局)会在预算等方面对于表现好企业给予倾斜。总体而言，美国通过各类表彰实现管理上“激励为主”的做法。毕竟，安全是一种状态。一个动态的安全，面临一个随着各种新型攻击变化的环境。2011《联邦信息安全管理法》FISMA2.0所述：从反应性、防御性的机构迁移到一个善于适应环境的有机组织，因此不存在时间表，但是政府应该对于关键的项目设定时间表。如下图，为落实FISMA法案，美国启动了CAP(Cross-Agency Priority Goalon Cybersecurity，跨联邦部门网络安全优先目标)计划。也就是说，要想加快用户的安全升级改造，最好采取鼓励为主的相关措施，激发其主动性。同时，要划定好优先改造目标。

在谈到《草案》中安全预警相关条款时，肖岩军为我们分享了美国对于安全预警信息的处理办法。

“9·11”之后，美国的信息安全政策和管理体制变化主要体现在以下三个方面：一是情报收集、分析和分享，二是重要信息基础设施保护，三是网络攻击能力建设。“9·11”事件之后，美国社会认为，如此多的美国情报机构居然没能发现和阻止“9·11”事件，这说明美国的情报和安全体制存在问题。911后美国成立国土安全部，奥巴马政府在白宫设立一个由信息安全协调员领导的信息安全协调办公室，以负责统筹和协调政府的信息安全政策。信息安全协调员是美国政府行政部门中最重要的官员之一，对美国安全、外交和经济事务具有举足轻重的影响力。设立信息安全协调员办公室，任命信息安全协调员，可以认为是奥巴马政府对布什政府信息安全管理体制的重大调整。

由此可见国外对安全预警信息非常重视，美国通过的《网络空间安全信息共享法》更是希望借助包括民间在内的力量加强情报收集。

在安全预警方面，美国是保持开放态度，借助STIX、国家漏洞库等项目，预警信息可以直达各个政府单位，企业等。美国在推动这些情报的使用场景发挥，除了涉密的部分外，通过漏洞标准化、元语化来强化预警信息的分类、流通。相对而言，美国是最重视这方面工作的，例如每个漏洞都有唯一CVE(“Common Vulnerabilities & Exposures”公共漏洞和暴露)编号，有了CVE就改变了之前各个厂家随意命名的问题。

而为了检验安全应急预案的有效性，美国则是组织全行业参与到“网络风暴”演练。由军方或者政府负责攻击，运营商、金融、电网负责防护，“在实践中检验是最佳做法。”

2008 年1月，美国总统签署国家安全第54号总统令/国土安全第23号总统令，提出国家信息安全综合行动计划(CNCI)。其中第(8)条，开展“网络风暴”演习。组织联邦、州和地方政府及私营部门、国际盟友共同参与，检验和加强国家的网络安全预防与响应能力。

《草案》在制定过程中，应该本着“拿来主义”走出去，充分借鉴他国的先进经验，兼顾国内实际情况。由此打磨出来的《草案》才更加有效、更容易执行。