首先，要將CII從普遍的、一般的信息基礎設施中區分出來(lái)。在“指南”的檢查評估流程中明確了CII的范圍：調研和梳理檢查評估對象的關(guān)鍵業(yè)務(wù)，確定支撐關(guān)鍵業(yè)務(wù)運行的基礎設施。這樣的基礎設施就是CII。同樣，相關(guān)學(xué)者在《關(guān)鍵信息基礎設施邊界識別刻不容緩》一文中提出的依關(guān)鍵業(yè)務(wù)來(lái)判斷CII，以及依業(yè)務(wù)鏈（信息流）來(lái)將相互聯(lián)系的CII“順藤摸瓜”排查出來(lái)，這都體現了從關(guān)鍵業(yè)務(wù)到CII的思想方法。而關(guān)鍵業(yè)務(wù)的確定，可從關(guān)鍵信息基礎設施運營(yíng)機構的戰略任務(wù)、目標使命中導出，這應該是比較明確的。將關(guān)鍵業(yè)務(wù)從一般化的業(yè)務(wù)中剝離出來(lái)了，就能將CII從普通的信息基礎設施或基礎設施中分離出來(lái)，避免了“關(guān)鍵”與“非關(guān)鍵”混為一談。

根據“條例”中明確的“關(guān)鍵信息基礎設施范圍”，CII可區分為“網(wǎng)絡(luò )設施”與“信息系統”。筆者認為二者并不平等，要區別對待，有所側重。網(wǎng)絡(luò )設施偏物理資產(chǎn)，信息系統偏軟件、數據等無(wú)形資產(chǎn)或虛擬資產(chǎn)。在此引用美國關(guān)鍵基礎設施（CI）保護中的提法，他們將CI分為Physical aspect（物理層面）和Cyber/Virtual aspect（網(wǎng)絡(luò )/虛擬層面），這與上述“網(wǎng)絡(luò )設施”和“信息系統”的分法有一定對應關(guān)系。當今社會(huì )，隨著(zhù)信息網(wǎng)絡(luò )技術(shù)向傳統工業(yè)領(lǐng)域、金融領(lǐng)域等滲透和應用，關(guān)鍵基礎設施網(wǎng)絡(luò )安全的重要性日益凸顯，網(wǎng)絡(luò )安全的形勢明顯比傳統物理安全嚴峻，關(guān)鍵基礎設施的網(wǎng)絡(luò )安全成為了一種新的影響國家安全的威脅隱患。因此，美國所講的CI保護和我國提出的CII保護更多的是對CI/CII網(wǎng)絡(luò )安全方面的保護，而非物理安全。物理安全并非不重要，而是因為來(lái)自網(wǎng)絡(luò )空間對CI/CII的攻擊具有級聯(lián)性、隱蔽性，追根溯源難，其后果和治理難度遠高于傳統的物理威脅。

事實(shí)上，從美國官方發(fā)布的大量文件看，幾乎全部側重于CI的網(wǎng)絡(luò )安全保護，時(shí)間越靠后越如此。通過(guò)全文學(xué)習“條例”不難發(fā)現，不僅明確提出“關(guān)鍵信息基礎設施在網(wǎng)絡(luò )安全等級保護制度基礎上，實(shí)行重點(diǎn)保護”，通篇談?wù)摰亩际荂II的網(wǎng)絡(luò )安全保護問(wèn)題，而不是突出其物理安全保護。包括在開(kāi)展CII安全檢測評估時(shí)也是委托網(wǎng)絡(luò )安全服務(wù)機構進(jìn)行技術(shù)檢測。從“指南”和“指標體系”這兩部國標的“規范性引用文件”來(lái)看，幾乎引用的都是信息安全方面的國家標準，如《信息安全技術(shù)信息安全等級保護基本要求》（GB/T 22239-2015）、《信息安全技術(shù)信息安全保障指標體系及評價(jià)方法》（GB/T 31495.2-2015）等。這印證了網(wǎng)絡(luò )安全（信息安全）是我國開(kāi)展CII安全保護的重點(diǎn)，因此，在CII具體的保護對象上，應側重“信息系統”。

供應鏈是指從供應商到制造商，再到分銷(xiāo)商、零售商直至最終用戶(hù)的一個(gè)完整鏈條，體現了從原材料采購到制造再到生產(chǎn)、銷(xiāo)售的完整周期。眾所周知，在信息技術(shù)、計算機技術(shù)領(lǐng)域我國面臨“缺芯少魂”的局面（中國工程院倪光南院士反復強調）?！靶尽奔葱酒?，“魂”即操作系統，以及工業(yè)基礎軟件和工業(yè)設計仿真軟件。這就決定了我國的CII面臨較大的供應鏈風(fēng)險，后門(mén)、漏洞、特洛伊木馬嚴重威脅CII安全。正因為此，“條例”單設“產(chǎn)品與服務(wù)安全”章，針對采購的網(wǎng)絡(luò )產(chǎn)品和服務(wù)以及外包開(kāi)發(fā)的系統、軟件等制定了相關(guān)制度，解決的就是供應鏈安全問(wèn)題。如“運營(yíng)者應當對外包開(kāi)發(fā)的系統、軟件，接受捐贈的網(wǎng)絡(luò )產(chǎn)品，在其上線(xiàn)應用前進(jìn)行安全檢測”。不僅如此，“指南”提出要收集產(chǎn)品、服務(wù)供應商的信息和產(chǎn)品服務(wù)供應商相關(guān)人員的信息，包括組織架構、崗位設置、人員姓名、手機、郵箱等。這些突破CII運營(yíng)商的大門(mén)，沿著(zhù)供應鏈延伸的管理觸角，看似“管的寬”，實(shí)則告訴我們“供應鏈就是風(fēng)險鏈”，管不好供應鏈的安全是不完善的安全。

所謂“產(chǎn)業(yè)鏈安全”是從CII運營(yíng)商在整個(gè)產(chǎn)業(yè)鏈或行業(yè)中扮演的角色，以及不同行業(yè)間相互依賴(lài)關(guān)系的角度來(lái)反觀(guān)對自身CII安全的需求。說(shuō)白了，就是自己出了問(wèn)題會(huì )對外界有哪些影響。例如CII領(lǐng)域中的化工業(yè)，一般化工業(yè)分為化學(xué)品原材料生產(chǎn)、加工的上游行業(yè)，和化學(xué)品深加工以及經(jīng)銷(xiāo)、零售的下游行業(yè)。很顯然，一旦上游行業(yè)出問(wèn)題必將影響下游行業(yè)。又如，從不同行業(yè)相互依賴(lài)的角度看?；I(yè)為污水凈化提供化學(xué)物質(zhì)消毒、為能源業(yè)和運輸業(yè)提供化石燃料、為信息技術(shù)產(chǎn)業(yè)提供芯片和集成電路制造的原材料等。站在相互聯(lián)系的角度把這些問(wèn)題分析清楚了就明白確保自身和整個(gè)行業(yè)CII安全的高度重要性，從而制定針對性的保護措施。

在這個(gè)問(wèn)題上，美國國家標準技術(shù)研究院NIST為關(guān)鍵基礎設施的網(wǎng)絡(luò )安全制定的“網(wǎng)絡(luò )安全框架”（Cybersecurity Framework）也體現了對供應鏈、產(chǎn)業(yè)鏈進(jìn)行整體管理的思想?！翱蚣堋睂⑴c關(guān)鍵基礎設施企業(yè)有關(guān)的供應商、大客戶(hù)和企業(yè)的合作伙伴并稱(chēng)為“stakeholders”——利益相關(guān)者，即將三者作為一個(gè)整體。例如“框架”就規定了“風(fēng)險管理流程被建立、管理以及被企業(yè)的利益相關(guān)者同意”，“外部服務(wù)提供商的活動(dòng)被監控以檢測潛在的網(wǎng)絡(luò )安全事件”，以及“企業(yè)在關(guān)鍵基礎設施和它的工業(yè)領(lǐng)域中的地位被辨識和理解”。這些規定都體現了“內”和“外”的協(xié)調一致，即一個(gè)企業(yè)的網(wǎng)絡(luò )安全問(wèn)題既要考慮自身的需求，也要考慮外部（供應鏈、產(chǎn)業(yè)鏈、行業(yè)領(lǐng)域）的需求，將二者統籌兼顧，并取得協(xié)調一致，它體現了圍繞供應鏈安全和產(chǎn)業(yè)鏈安全的體系化保護思想。

此外，在制度設計方面，“指南”提出安全管理制度要成體系化建設，這個(gè)“體系”包含：日常工作規范、安全配置標準、業(yè)務(wù)連續性計劃、應急預案等。這也是體系化保護思想的體現。

所謂“硬安全”是指具有可測指標或有承載實(shí)體的對象安全，“軟安全”是指人員思想意識、規章制度的建立與落實(shí)等看不見(jiàn)、難以測度的安全事宜。國標“指標體系”中有多個(gè)可測的指標，如安全漏洞數量、有害程序事件數、網(wǎng)絡(luò )攻擊事件數、信息破壞事件數等10余項，還有安全管理人才隊伍情況（通過(guò)統計從業(yè)人員網(wǎng)絡(luò )安全培訓規模、通過(guò)網(wǎng)絡(luò )安全資質(zhì)測試的從業(yè)人員數量來(lái)計算）、攻擊破壞防護能力情況（通過(guò)統計通過(guò)系統安全測評和建立了網(wǎng)絡(luò )信任體系的信息系統數來(lái)計算）、安全監測能力（通過(guò)統計建立安全監測預警體系和開(kāi)展風(fēng)險評估的系統數量來(lái)計算）等。這些安全指標都是客觀(guān)、量化、可測的，有看得見(jiàn)的數量、摸得著(zhù)的系統，能操作的軟件，屬于硬安全指標。然而，影響CII安全的因素不止這些，還有人員的安全意識、安全責任落實(shí)情況、安全標準執行情況、安全發(fā)展規劃制定情況以及關(guān)鍵崗位人員背景審查情況等，這些都是偏主觀(guān)、見(jiàn)于思想和難以量化的。對這些指標的檢查需要檢查方、安全管理負責人深入研究、長(cháng)期觀(guān)察，及采用問(wèn)卷調查、談心談話(huà)等方法。如“指南”提出的“安全意識測試”采用發(fā)放安全意識調查問(wèn)卷、測試安全常識掌握情況，和向相關(guān)人員發(fā)送無(wú)害的釣魚(yú)郵件、釣魚(yú)短信等方式檢測其安全意識。此外，在CII安全保護中還應注意外防與內防相結合。外防即我們經(jīng)常講的防御來(lái)自外部網(wǎng)絡(luò )或從外界侵入的惡意攻擊、病毒植入、拒絕服務(wù)攻擊等。內防則是對單位內部的從業(yè)人員利用職務(wù)和所掌握的資源優(yōu)勢從事有害CII安全的行為的防范?！皸l例”、“指南”、“指標體系”均提出“要對關(guān)鍵崗位人員進(jìn)行安全背景審查”的要求。此外還應采用授權管理、訪(fǎng)問(wèn)控制的技術(shù)措施，貫徹權限最低、職責分離的原則，以及建立健全機房出入記錄、網(wǎng)絡(luò )安全日志留存、人員離職審查等制度，加強對人員行為的監管。

來(lái)源：網(wǎng)信軍民融合