📌 导语

自《关键信息基础设施安全保护条例》正式实施以来，我国关基安全保护工作已从制度构建迈入深度落地阶段。结合近期网信办发布的《实施网络安全标识的产品目录》、金监总局AI安全指导意见等政策，以及Solon框架漏洞、Mongoose注入攻击等事件，本文深入解读关基保护条例的实践进展、挑战与未来趋势，为行业提供前瞻性分析。

🔑 关键要点

1. 关基保护条例已形成‘识别-防护-检测-响应-恢复’全链条闭环管理框架。

2. 近期政策密集出台，如网络安全标识目录和AI安全意见，进一步细化关基安全要求。

3. 实战化安全事件（如Solon漏洞）暴露了关基系统在供应链和第三方软件层面的薄弱环节。

4. 关基保护正从静态合规转向动态风险治理，强调持续监测与自适应防御。

🔍 深度分析

自2021年《关键信息基础设施安全保护条例》施行以来，我国关基安全保护经历了从顶层设计到具体落地的转变。2026年6月，国家网信办发布的《实施网络安全标识的产品目录（第一批）》标志着关基系统采购与部署的标准化迈出关键一步，通过强制标识实现设备与服务的可追溯性，从源头降低供应链风险。同时，金监总局发布的《关于银行业保险业人工智能安全开发应用的指导意见》明确要求AI系统在关基领域应用需通过安全评估，呼应了AI大模型在金融、能源等关基行业的快速渗透。 从近期安全事件看，Solon框架模板漏洞和Mongoose搜索注入漏洞均涉及开源组件，说明关基系统的攻击面已扩展到开发运维环节。攻击者通过供应链投毒或依赖链攻击，可绕过传统边界防护直接威胁核心系统。这迫使关基保护必须从‘边界隔离’转向‘零信任’架构，并强化软件物料清单（SBOM）管理。此外，美国特朗普签署AI国安备忘录、美商务部发布车联网供应链豁免规则，表明国际地缘博弈正通过技术标准和安全规则影响关基生态，我国需在自主可控基础上加强国际互认。 当前趋势显示，关基保护正从‘合规达标’向‘实战化运营’演进。例如，国家网络安全攻防演练常态化，要求关基单位具备分钟级应急响应能力。同时，分布式数字身份互认等新技术应用，在提升效率的同时也引入了新的安全挑战。未来，关基安全将更依赖AI驱动的威胁情报分析、自动化编排响应（SOAR）以及跨行业协同防御体系。

⚡ 影响评估

对行业而言，金融、能源、交通等关基领域将面临更严格的采购准入和审计要求，推动安全厂商提供符合目录的合规产品。对企业来说，需投入更多资源用于供应链安全评估、SBOM管理和漏洞修复，尤其是使用第三方组件的企业将面临整改压力。对个人而言，关基保护强化将提升公共服务（如电力、金融）的连续性，但隐私数据保护仍需关注。整体上，政策与技术的双轮驱动将加速关基安全产业升级，形成千亿级市场。

💡 建议措施

1. 建立关基系统全生命周期SBOM管理机制，定期扫描并修复开源组件漏洞。

2. 采用零信任架构，部署基于身份和行为的动态访问控制，强化内部威胁防护。

3. 积极参与国家网络安全演练，建设具备分钟级自动响应能力的SOC平台。

4. 关注网络安全标识目录更新，确保采购设备与服务的合规性，降低供应链风险。

5. 推动AI安全开发框架落地，对关基系统中AI模型进行持续安全评估与对抗测试。

数安早知道

— 点击上方链接访问知识库，获取更多安全资讯 —