文 | 郝志强 国家工业信息安全发展研究中心副主任
近年来,信息与通信技术迅猛发展,网络空间深度融入到经济社会发展、人民生活和社会治理各个方面,极大地影响和改变了社会生产活动方式,在促进经济发展、技术创新、文化繁荣和社会进步的同时,网络安全问题,尤其是关键信息基础设施网络安全问题日益严峻。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施的安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。美国、欧盟、俄罗斯等发达国家不断调整和完善关键信息基础设施保护的相关法规,以应对不断升级的网络安全威胁。2017年,俄罗斯颁布了《联邦关键信息基础设施安全法》以保障关键信息基础设施在遭受网络攻击时的稳定运行。2021年,拜登签发国家安全备忘录加速推进美国关键基础设施网络安全升级,同年欧盟委员会推动《欧盟量子通信基础设施计划》为欧洲各地提供可靠、安全和经济的连接服务。我国早已把网络安全上升至国家战略的高度。2021年8月17日,国务院第745号令《关键信息基础设施安全保护条例》(以下简称《条例》)公布,并于9月1日起施行。《条例》对关键信息基础设施运营者提出了一系列安全要求,属于法定义务,受到业界各方密切关注。《条例》实施一年以来,网络安全保护意识和能力水平均得到了有效提升。近年来,全球范围内针对关键信息基础设施的攻击呈快速增长趋势。
2019年,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电;2021年科洛尼尔管道运输公司遭遇网络攻击,致使美国多州进入紧急状态,美国国家运输安全管理局因此颁布了首部针对管道行业的强制性网络安全指令,以替代先前的自愿性指导文件;2022年俄乌战争期间,乌克兰的黑客支持者对白俄罗斯铁路网络进行攻击,导致正常的铁路调度无法完成。针对关键信息基础设施的网络攻防对抗已成为常态。
《条例》是贯彻落实习近平总书记关于网络强国重要思想的具体措施,也是近年来国家网络安全和信息化工作成功经验的制度化提升,为我国深入开展关键信息基础设施安全保护工作提供了有力法治保障,为应对网络安全严峻形势提出了解决方案。从运营者、保护工作部门、各主管监管部门、国家等四个层面,明确了各个角色关键信息基础设施保护的责任义务。一是明确了运营者的主体责任。明确了运营者安全保护“三同步”、网络安全保护制度和责任制、安全检测评估要求、网络安全审查要求和重大威胁应对等内容;二是突出行业和国家层面的保障促进。对保护工作部门、主管监管部门保护提出具体要求,明确了网络安全信息共享、监测预警制度、应急处置、定期检查与整改、能源电信优先保障等要求,突出了对关键信息基础设施安全保护措施的“关键”要求;三是明确建立了“上下联动,左右协调”的管理体系。强调安全保护坚持“综合协调、分工负责、依法保护”的工作原则,涉及“指导、配合、支持、协助、通报”等需要各层面配合开展的工作,覆盖了认定规则和结果确定、人员安全背景审查、网络安全信息共享、检查检测等方面工作,部门职责更为明确,工作流程更为清晰,保护措施更具可操作性,为指导各部门开展相关工作提出了较为明确的方案。《条例》进一步健全了关键信息基础设施安全保护法规体系近年来,国家一系列相关法律都对加强关键信息基础设施安全保护作出了明确规定和要求。《网络安全法》《数据安全法》《条例》《个人信息保护法》等政策法规,在关键信息基础设施保护领域形成了覆盖设施认定、数据流动、运行安全、个人信息保护等方面的框架性规则。2019年10月颁布的《密码法》,提出对关键信息基础设施商用密码的应用要求。2020年4月,国家网信办等12部门发布的《网络安全审查办法》,对关键信息基础设施供应链安全明确保障要求。2021年6月,《数据安全法》明确关键信息基础设施的运营者在境内运营中收集和产生的重要数据的出境安全管理。2021年8月,《个人信息保护法》提出关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在境内收集和产生的个人信息存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估。2021年9月,工业和信息化部、国家互联网信息办公室、公安部联合印发了《网络产品安全漏洞管理规定》,明确了漏洞管理工作新要求,推动网络安全威胁和漏洞信息共享平台建设,推动网络产品安全漏洞管理工作的制度化和规范化。
针对我国关键信息基础设施的网络攻击呈现脆弱资产靶向定位、网络边界高效突破、社工利用广范围覆盖、高持续性威胁潜伏漫游、特定靶标精准打击等特征,传统基于边界防护的分散化、独立化的防护体系,已难以应对日益增长的针对我国关键信息基础设施的大规模网络攻击。需要“动态-持续-全局-协同”的智能化关键信息基础设施保护体系,实现安全感知、认知、控制和协同能力的跃升,提升极限情况下关键信息基础设施网络攻击应对能力。行业保护措施体系性仍显不足,缺乏最佳实践指导关键信息基础设施安全保护典型行业最佳实践有待优化关键信息基础设施保护工作目前仍处于起步和探索阶段,各行业在实施网络安全保护方面缺乏相关具体实践。在关键信息基础设施认定方面,《条例》界定的关键信息基础设施涉及行业领域众多,运行状态、防护需求各异,相关行业认定规则和操作标准有待出台,企业对关键信息基础设施边界识别能力有待提升。由于缺乏有效的行业配套政策指导文件,实施过程中容易出现运营者对要求认知不够、理解不一,工作落实不到位等问题。《条例》中明确关键信息基础设施运营者在关键信息基础设施安全保护中承担主体责任,但运营者在积极响应新出台的政策法规时,其安全团队和管理机构能力尚不满足关键信息基础设施保护工作需要。一方面,当前运营者主要依赖于等保、密评等现有网络安全管理体系的相关实践安全机制,缺乏对关键信息基础设施协同规划、建设、使用的全生命周期联动研究。另一方面,多数运营者尚不具备对关键信息基础设施核心技术元件的充分自主可控能力,供应链、产业链安全仍是制约多数关键信息基础设施安全发展的重要因素,客观上增大了安全防护的难度,运营者所处信息化发展阶段尚不足以满足关键信息基础设施“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的安全需求。
加强对关键信息基础设施保护相关政策标准的合规管理,通过论坛演讲、专题研讨、实训演练等多种形式持续推动《条例》等政策标准的宣贯培训,加快《条例》等政策标准的落地和应用。选取典型关键信息基础设施,深入开展《条例》等政策标准行业试点示范工作,加强政策引导,逐步完善关键信息基础设施安全标准体系。 完善重点行业指导性文件,加强安全检测评估与监测能力建设
基于《条例》等国家政策标准要求,加快出台行业关键信息基础设施认定细则,持续制定、细化和完善关键信息基础设施安全保护的行业侧指导文件,指导运营者做好关键信息基础设施的准确认定和梳理。加强关键行业关键信息基础设施保护的布局和分析,结合标准试点工作,梳理行业关键信息基础设施安全防护要求,形成多行业最佳实践案例。同时,在技术层面,按照《条例》要求从行业层面推进网络安全检测评估,细化明确行业关键信息基础设施评估要求,持续加强行业级监测预警平台建设,加强网络安全态势感知能力建设。
运营者应按照《条例》等国家政策标准要求,建章立制健全关键信息基础设施安全保护体系,围绕制度、组织、人员、建设、运维等夯实安全管理基础,实现安全防护措施与信息化建设一体化设计、建设、运行。加大自主创新力度,推动自主信息技术研发,加快突破关键信息基础设施保护“卡脖子”技术。严格落实网络安全审查要求,加强对合作伙伴、供应商、上下游企业等相关方的安全准入,不断强化关键信息基础设施供应链安全保障。 在日益严峻复杂的安全形势下,《条例》作为我国网络安全保护的重要法规,它的出台实施将成为指导完善我国关键信息基础设施体系建设的重大举措,对我国关键信息基础设施安全保护工作具有里程碑意义,是网络安全保护体系的重要环节和依法治网的重要基石。《条例》充分调动了全社会的积极力量,建立起一套完整、科学、严密的制度框架。在《条例》的具体施行带动下,我国的关键信息基础设施保护工作将越来越完善。