開啟我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的新時代
關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)安全的重中之重����,是關(guān)乎國家安全的命門所在��。習近平總書記在講話中多次強調(diào)�����,要加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系�����,抓緊制定完善關(guān)鍵信息基礎(chǔ)設(shè)施保護等法律法規(guī)����。落實習近平總書記重要講話精神,加快推動關(guān)鍵信息基礎(chǔ)設(shè)施立法�����,推動安全保護體系框架不斷健全是必由之路���。
2021年8月17日���,國務院公布了備受矚目的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱《條例》),其頒布實施既是落實《網(wǎng)絡(luò)安全法》要求����、構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系的頂層設(shè)計和重要舉措�����,更是保障國家安全����、社會穩(wěn)定和經(jīng)濟發(fā)展的現(xiàn)實需要��。
一��、背景
(一)形勢嚴峻
網(wǎng)絡(luò)空間作為繼“陸?���?仗臁敝蟮牡谖宕髴?zhàn)略空間,已經(jīng)成為了全球博弈的新戰(zhàn)場���。近年來�,全球范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊破壞����、竊密等日趨加劇,涉及眾多行業(yè)領(lǐng)域��,其影響范圍之廣�,程度之深���,令人震驚。
1���、國際方面。針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊:一是導致關(guān)鍵服務運行中斷����。2015年12月,烏克蘭配電公司約60座變電站遭到網(wǎng)絡(luò)攻擊�,其首都基輔和烏克蘭西部的140萬名居民遭遇數(shù)小時停電。二是造成通信基礎(chǔ)設(shè)施癱瘓�。2016年10月,美國域名服務器管理機構(gòu)Dyn遭到Mirai病毒攻擊�����,眾多網(wǎng)站無法訪問��,美國大半個互聯(lián)網(wǎng)癱瘓����。三是引發(fā)大規(guī)模信息泄露。2021年5月��,美國最大成品油運輸管道運營商Colonial Pipeline公司工控系統(tǒng)遭勒索病毒攻擊導致停機,造成近100GB數(shù)據(jù)竊取及成品油運輸管道運營中斷���。
2���、國內(nèi)方面。我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護面臨的風險和挑戰(zhàn)主要為四個方面:一是高等級網(wǎng)絡(luò)攻擊威脅���。隨著網(wǎng)絡(luò)戰(zhàn)略威懾日益升級��,各國均加強網(wǎng)軍建設(shè)�����,高等級攻擊入侵控制�、竊密�,對關(guān)鍵信息基礎(chǔ)設(shè)施安全構(gòu)成嚴重威脅。二是大型黑客組織威脅�����。部分黑客組織頻繁持續(xù)對我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)����、重要系統(tǒng)等進行攻擊�,直接威脅我國關(guān)鍵信息基礎(chǔ)設(shè)施安全����。三是新技術(shù)新應用雙刃劍效應。隨著5G移動通信及云計算�����、大數(shù)據(jù)�、AI等技術(shù)在各行業(yè)的廣泛應用�����,關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施更易成為網(wǎng)絡(luò)攻擊的高價值目標����。四是供應鏈安全挑戰(zhàn)。隨著網(wǎng)絡(luò)產(chǎn)品集成度的不斷提升和供應鏈全球化大分工的不斷加深���,關(guān)鍵信息基礎(chǔ)設(shè)施的供應鏈安全風險面臨著嚴峻的挑戰(zhàn)��。
(二)制度共識
為應對關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全威脅��,各國在網(wǎng)絡(luò)安全戰(zhàn)略制定和立法方面��,毫無例外將關(guān)鍵信息基礎(chǔ)設(shè)施作為重點�����,給予了高度的政治關(guān)注和政策支持��。
1�����、美國����。推動建立兼具防御和威懾能力的安全保護體系,以期在網(wǎng)絡(luò)空間博弈中保持優(yōu)勢�����。自1998年頒布《克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護的政策》以來���,至今先后發(fā)布“美國國家網(wǎng)絡(luò)安全綜合綱領(lǐng)”和“愛因斯坦計劃”等多個大規(guī)模網(wǎng)絡(luò)安全倡議和項目����,以及《關(guān)鍵基礎(chǔ)設(shè)施信息保護法》、《增強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(CSF)》等20余項關(guān)鍵信息基礎(chǔ)設(shè)施的保護政策�。
2、歐盟���。推行基于風險管理策略的安全治理���,由傳統(tǒng)“威脅、預警����、響應”向消減脆弱性為主的理念轉(zhuǎn)變。2004至2006年��,歐盟啟動“歐盟關(guān)鍵基礎(chǔ)設(shè)施保護規(guī)劃”�,審議通過《歐洲關(guān)鍵基礎(chǔ)設(shè)施保護計劃》綠皮書�;2011至2017年間陸續(xù)出臺《網(wǎng)絡(luò)與信息安全指令》《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》等多項政策,推動成員國間的安全戰(zhàn)略協(xié)作和信息共享�����。
3�、俄羅斯。強調(diào)關(guān)鍵信息基礎(chǔ)保護的全面性和持續(xù)性����,明確了等級劃分和重要參數(shù)指標���,建立分級安全監(jiān)督流程和嚴格的法律制約體系。2017年頒布了《聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》�,明確了俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施的保護范圍、原則��、機構(gòu)����、客體分級、安全評估及監(jiān)管等要求����;2018年進一步?jīng)Q議通過《關(guān)于確認俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體等級劃分的規(guī)定以及俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體重要性標準參數(shù)列表》。
總體來看�,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護能力的提升不僅要依靠資金投入、技術(shù)提升等�����,更離不開政府的高度重視和政策支持��,通過對法律法規(guī)等制度體系的健全完善來牽引整體保護能力的不斷提升���,已成為國際社會普遍共識����。
(三)出臺歷程
2016年我國《網(wǎng)絡(luò)安全法》正式通過,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度被首次提出�����,第三章中專門設(shè)置“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”專節(jié)����,以共計9條(第31-39條)的篇幅對于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本要求、分工以及主體責任等問題作出法律層面的總體安排��。
2017年國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》�����,面向全社會公開征求意見��,共計八章55條����,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護總則���、支持與保障�����、關(guān)鍵信息基礎(chǔ)設(shè)施范圍�、運營者安全保護、產(chǎn)品和服務安全���、監(jiān)測預警�、應急處置和檢測評估��、法律責任等重點內(nèi)容�。
2019至2021年,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》連續(xù)三年納入國家立法計劃���,歷經(jīng)多年反復錘煉��,終于2021年8月17日正式發(fā)布���,并于2021年9月1日起施行?��!稐l例》共六章51條��,對關(guān)鍵信息基礎(chǔ)設(shè)施保護系列制度要素作了具體規(guī)定�,涵蓋總則、關(guān)鍵信息基礎(chǔ)設(shè)施認定���、運營者責任義務��、保障和促進���、法律責任等諸多方面。
二�����、解讀
《條例》上承《網(wǎng)絡(luò)安全法》要求��,進一步明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護范圍����、聯(lián)動責任體系、供應鏈安全可控���、安全內(nèi)控和意識培養(yǎng)等方面重點內(nèi)容,體現(xiàn)出四個鮮明的特點:
(一)“大道至簡”����,厘清重點保護的范圍和原則
《條例》第一���、二章開宗明義,明確了何為關(guān)鍵信息基礎(chǔ)設(shè)施�����、認定規(guī)則考慮因素�����,全面厘清保護對象范圍��。
一方面���,緊扣核心�,范圍動態(tài)��。在列舉的“公共通信和信息服務���、能源��、交通……”等八個重點行業(yè)基礎(chǔ)上�����,預留了動態(tài)范圍接口�����,即明確評判設(shè)施性質(zhì)的核心標準在于其是否“一旦遭到破壞���、喪失功能或者數(shù)據(jù)泄露���,可能嚴重危害國家安全、國計民生����、公共利益”,凸顯了對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護根本價值的深刻認識�����。
另一方面�����,與時俱進,深謀遠慮����。認定規(guī)則考慮因素聚焦于功能和后果����,在傳統(tǒng)的“核心業(yè)務重要程度”、“一旦遭到破壞后可能帶來的危害程度”基礎(chǔ)上���,增加“對其他行業(yè)領(lǐng)域的關(guān)聯(lián)性影響”考慮����,維度更加細化全面���,與當下各行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施向深度交叉融合方向發(fā)展的趨勢密切適配�。
(二)“君子務本”��,確立分層協(xié)同聯(lián)動責任體系
《條例》第一章第3-4條���、第三章和第四章第22-33條�,分層次角色廓清了安全保護的職責����、任務����、分工和聯(lián)動機制���。
一是分層保護����、精準把控�����。《條例》中明確形成了由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)�、國務院公安部門指導監(jiān)督、重要行業(yè)和領(lǐng)域主管監(jiān)管部門作為保護工作部門分別實施保護和監(jiān)督管理���、省級人民政府有關(guān)部門各司其職開展保護監(jiān)督�����、運營者具體落實���、安全服務機構(gòu)輔助支撐的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護格局,全面理清了統(tǒng)籌、監(jiān)管��、主管��、地方��、運營者和服務機構(gòu)之間的職責����,實現(xiàn)了對責任的精準把控和資源的合理“抓”“放”���。
二是內(nèi)外聯(lián)防���,轉(zhuǎn)變模式。《條例》進一步細化了聯(lián)動機制�����,通過加強社會分工�����,依托全社會力量����,構(gòu)筑“內(nèi)防脆弱”�、“外防威脅”���、“內(nèi)外聯(lián)防”的積極保護體系��。對內(nèi)方面���,運營者圍繞落實安全“三同步”、安全審查��、風險評估�、內(nèi)部制度完善和能力建設(shè)開展落實;國家網(wǎng)信部門統(tǒng)籌推動保護標準��、開展監(jiān)督檢查�����、引導專業(yè)化的安全服務和技術(shù)攻關(guān)����。對外方面,運營者做好安全態(tài)勢監(jiān)測和信息通報�����;國家網(wǎng)信部門統(tǒng)籌推動信息共享和研判預警;公安和國安部門各司其職主要開展防范打擊違法犯罪活動�,強化關(guān)鍵信息基礎(chǔ)設(shè)施的安全保衛(wèi)。
三是重點突出�����,強化牽引����。首先����,突出特殊行業(yè)重要性。《條例》在第一章第2條中�����,將“公共通信和信息服務”列于八個行業(yè)之首�����;第四章第32條���,“國家采取措施���,優(yōu)先保障能源���、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行”,將能源和電信行業(yè)擺在更為突出的位置優(yōu)先保障�����,并強調(diào)要為其他行業(yè)領(lǐng)域提供重點保障�����。其次���,提升安全管理機構(gòu)話語權(quán)���。《條例》第五章第39條,“未設(shè)置專門安全管理機構(gòu)的”��、“開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策沒有專門安全管理機構(gòu)人員參與的”將面臨行政處罰��。最后�,有效強化法律責任約束�。《條例》第五章第43條明確��,未經(jīng)國家網(wǎng)信部門����、國務院公安部門批準或者保護工作部門、運營者授權(quán)�����,任何個人和組織若對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測��、滲透性測試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動���,以及對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測、滲透測試等活動����,未事先向國務院電信主管部門報告的,將可能面臨治安管理處罰甚至刑事處罰�。
(三)“因地制宜”,發(fā)揮優(yōu)勢聚力聚焦自主可控
習近平總書記在“4·19”講話中指出��,“網(wǎng)絡(luò)安全的本質(zhì)在對抗���,對抗的本質(zhì)在攻防兩端能力較量”����。在網(wǎng)絡(luò)安全的較量中既要充分發(fā)揮自身優(yōu)勢、彌補短板����,又要保護重點,變被動為主動��?!稐l例》一方面,緊牽關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全的“牛鼻子”����。在第三章第19條明確“運營者應當優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務;采購網(wǎng)絡(luò)產(chǎn)品和服務可能影響國家安全的�,應當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全��。另一方面��,發(fā)揮國家體制機制優(yōu)勢集中力量辦大事��。在第四章第36���、38條�,明確“國家支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展,組織力量實施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)”��,通過國家力量牽引建設(shè)重點工程�、推進軍民融合,提升關(guān)鍵信息基礎(chǔ)設(shè)施安全可控整體水平�。
(四)“以人為本”,強化安全內(nèi)控和意識的培養(yǎng)
網(wǎng)絡(luò)是開放復雜的系統(tǒng)�����,除了關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)本身外���,人是不穩(wěn)定因素重要來源���,《條例》全面貫穿“以人為本”的管理理念���,真正實現(xiàn)“網(wǎng)絡(luò)安全靠人民”�����、“網(wǎng)絡(luò)安全為人民”��。
一方面���,加強內(nèi)部管控�����。負責關(guān)鍵信息基礎(chǔ)設(shè)施安全管理的內(nèi)部人員是網(wǎng)絡(luò)安全風險的極大隱患之一����,《條例》第三章第14條�,明確要求“運營者應當設(shè)置專門安全管理機構(gòu),并對機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查”����。
另一方面,強化教育培訓����。網(wǎng)絡(luò)安全是交叉性學科,需要復合型人才��,發(fā)揚“工匠”精神�����,多培養(yǎng)技能型人才?!稐l例》第四章第35條,“將運營者安全管理人員���、安全技術(shù)人員培訓納入國家繼續(xù)教育體系”�����,全面促進內(nèi)部人員的網(wǎng)絡(luò)安全意識和技能水平提升����,以及外部技術(shù)支撐力量的培訓����。
三、落實《條例》的幾點思考
(一)強化資源配套
一方面�,建議加快推動制定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的國家標準、行業(yè)標準�����,為關(guān)鍵信息基礎(chǔ)設(shè)施的具體保護工作提供指導���。另一方面�,加強對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護國家級支撐力量的培養(yǎng)���,建立多層級的安全保障專業(yè)隊伍����,提升隊伍專業(yè)素養(yǎng)�����。
(二)強化技術(shù)攻關(guān)
一方面�,匯聚全社會力量開展重點難點技術(shù)攻關(guān),加強對關(guān)鍵信息基礎(chǔ)設(shè)施所需關(guān)鍵部件�����、平臺應用��、生態(tài)發(fā)展的支撐��,不斷提升相關(guān)領(lǐng)域的安全自主可控能力����。另一方面,嚴格落實網(wǎng)絡(luò)安全審查要求,建立健全相關(guān)組織機制和支撐體系���,不斷強化關(guān)鍵信息基礎(chǔ)設(shè)施供應鏈安全保障����。
(三)強化體系落地
一是抓好基礎(chǔ)管理��。根據(jù)國家政策法律要求����,加速建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系,圍繞制度���、組織����、人員�����、建設(shè)�����、運維等夯實安全管理基礎(chǔ)。二是強化技管結(jié)合�����。建立統(tǒng)一的安全應急響應中心�,圍繞風險識別����、安全防護、檢測評估�����、監(jiān)測預警��、事件處置等方面做好關(guān)鍵信息基礎(chǔ)設(shè)施安全集中化運營��。三是推動研運一體����。通過建設(shè)集中化安全運營平臺,建立健全網(wǎng)絡(luò)空間測繪����、威脅情報����、靶場等多種安全能力體系�,打造網(wǎng)絡(luò)安全運營“常備軍”,為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護提供有力技術(shù)支撐���。
毋庸置疑���,《條例》的出臺,為我國關(guān)鍵信息基礎(chǔ)設(shè)施保護工作勾勒出嶄新的藍圖�,為推動關(guān)鍵信息基礎(chǔ)設(shè)施安全保障向法治化、體系化�、科學化發(fā)展指明了方向,必將在維護國家安全�����、經(jīng)濟發(fā)展和社會穩(wěn)定方面持續(xù)發(fā)揮重大作用�����。(作者:張濱��,中國移動集團有限公司信息安全管理與運行中心)
