《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》 開啟我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的新時代
關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)安全的重中之重,是關(guān)乎國家安全的命門所在,。習(xí)近平總書記在講話中多次強調(diào),,要加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系,抓緊制定完善關(guān)鍵信息基礎(chǔ)設(shè)施保護等法律法規(guī),。落實習(xí)近平總書記重要講話精神,,加快推動關(guān)鍵信息基礎(chǔ)設(shè)施立法,推動安全保護體系框架不斷健全是必由之路,。
2021年8月17日,,國務(wù)院公布了備受矚目的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(以下簡稱《條例》),其頒布實施既是落實《網(wǎng)絡(luò)安全法》要求,、構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系的頂層設(shè)計和重要舉措,,更是保障國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展的現(xiàn)實需要,。
一,、背景
(一)形勢嚴(yán)峻
網(wǎng)絡(luò)空間作為繼“陸海空天”之后的第五大戰(zhàn)略空間,,已經(jīng)成為了全球博弈的新戰(zhàn)場,。近年來,全球范圍內(nèi)針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊破壞,、竊密等日趨加劇,,涉及眾多行業(yè)領(lǐng)域,其影響范圍之廣,,程度之深,,令人震驚。
1,、國際方面,。針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊:一是導(dǎo)致關(guān)鍵服務(wù)運行中斷。2015年12月,,烏克蘭配電公司約60座變電站遭到網(wǎng)絡(luò)攻擊,,其首都基輔和烏克蘭西部的140萬名居民遭遇數(shù)小時停電。二是造成通信基礎(chǔ)設(shè)施癱瘓,。2016年10月,,美國域名服務(wù)器管理機構(gòu)Dyn遭到Mirai病毒攻擊,眾多網(wǎng)站無法訪問,,美國大半個互聯(lián)網(wǎng)癱瘓,。三是引發(fā)大規(guī)模信息泄露。2021年5月,,美國最大成品油運輸管道運營商Colonial Pipeline公司工控系統(tǒng)遭勒索病毒攻擊導(dǎo)致停機,,造成近100GB數(shù)據(jù)竊取及成品油運輸管道運營中斷。
2、國內(nèi)方面,。我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護面臨的風(fēng)險和挑戰(zhàn)主要為四個方面:一是高等級網(wǎng)絡(luò)攻擊威脅,。隨著網(wǎng)絡(luò)戰(zhàn)略威懾日益升級,各國均加強網(wǎng)軍建設(shè),,高等級攻擊入侵控制,、竊密,對關(guān)鍵信息基礎(chǔ)設(shè)施安全構(gòu)成嚴(yán)重威脅,。二是大型黑客組織威脅,。部分黑客組織頻繁持續(xù)對我國關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)、重要系統(tǒng)等進行攻擊,,直接威脅我國關(guān)鍵信息基礎(chǔ)設(shè)施安全,。三是新技術(shù)新應(yīng)用雙刃劍效應(yīng)。隨著5G移動通信及云計算,、大數(shù)據(jù),、AI等技術(shù)在各行業(yè)的廣泛應(yīng)用,關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施更易成為網(wǎng)絡(luò)攻擊的高價值目標(biāo),。四是供應(yīng)鏈安全挑戰(zhàn),。隨著網(wǎng)絡(luò)產(chǎn)品集成度的不斷提升和供應(yīng)鏈全球化大分工的不斷加深,關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全風(fēng)險面臨著嚴(yán)峻的挑戰(zhàn),。
(二)制度共識
為應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全威脅,,各國在網(wǎng)絡(luò)安全戰(zhàn)略制定和立法方面,,毫無例外將關(guān)鍵信息基礎(chǔ)設(shè)施作為重點,,給予了高度的政治關(guān)注和政策支持。
1,、美國,。推動建立兼具防御和威懾能力的安全保護體系,以期在網(wǎng)絡(luò)空間博弈中保持優(yōu)勢,。自1998年頒布《克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護的政策》以來,,至今先后發(fā)布“美國國家網(wǎng)絡(luò)安全綜合綱領(lǐng)”和“愛因斯坦計劃”等多個大規(guī)模網(wǎng)絡(luò)安全倡議和項目,以及《關(guān)鍵基礎(chǔ)設(shè)施信息保護法》,、《增強關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(CSF)》等20余項關(guān)鍵信息基礎(chǔ)設(shè)施的保護政策,。
2、歐盟,。推行基于風(fēng)險管理策略的安全治理,,由傳統(tǒng)“威脅、預(yù)警,、響應(yīng)”向消減脆弱性為主的理念轉(zhuǎn)變,。2004至2006年,歐盟啟動“歐盟關(guān)鍵基礎(chǔ)設(shè)施保護規(guī)劃”,審議通過《歐洲關(guān)鍵基礎(chǔ)設(shè)施保護計劃》綠皮書,;2011至2017年間陸續(xù)出臺《網(wǎng)絡(luò)與信息安全指令》《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》等多項政策,,推動成員國間的安全戰(zhàn)略協(xié)作和信息共享。
3,、俄羅斯,。強調(diào)關(guān)鍵信息基礎(chǔ)保護的全面性和持續(xù)性,明確了等級劃分和重要參數(shù)指標(biāo),,建立分級安全監(jiān)督流程和嚴(yán)格的法律制約體系,。2017年頒布了《聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》,明確了俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施的保護范圍,、原則,、機構(gòu)、客體分級,、安全評估及監(jiān)管等要求,;2018年進一步?jīng)Q議通過《關(guān)于確認(rèn)俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體等級劃分的規(guī)定以及俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體重要性標(biāo)準(zhǔn)參數(shù)列表》。
總體來看,,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護能力的提升不僅要依靠資金投入,、技術(shù)提升等,更離不開政府的高度重視和政策支持,,通過對法律法規(guī)等制度體系的健全完善來牽引整體保護能力的不斷提升,,已成為國際社會普遍共識。
(三)出臺歷程
2016年我國《網(wǎng)絡(luò)安全法》正式通過,,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度被首次提出,,第三章中專門設(shè)置“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”專節(jié),以共計9條(第31-39條)的篇幅對于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的基本要求,、分工以及主體責(zé)任等問題作出法律層面的總體安排,。
2017年國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》,面向全社會公開征求意見,,共計八章55條,,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護總則、支持與保障,、關(guān)鍵信息基礎(chǔ)設(shè)施范圍,、運營者安全保護、產(chǎn)品和服務(wù)安全,、監(jiān)測預(yù)警,、應(yīng)急處置和檢測評估、法律責(zé)任等重點內(nèi)容,。
2019至2021年,,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》連續(xù)三年納入國家立法計劃,,歷經(jīng)多年反復(fù)錘煉,終于2021年8月17日正式發(fā)布,,并于2021年9月1日起施行,。《條例》共六章51條,,對關(guān)鍵信息基礎(chǔ)設(shè)施保護系列制度要素作了具體規(guī)定,,涵蓋總則、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定,、運營者責(zé)任義務(wù),、保障和促進、法律責(zé)任等諸多方面,。
二,、解讀
《條例》上承《網(wǎng)絡(luò)安全法》要求,進一步明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護范圍,、聯(lián)動責(zé)任體系,、供應(yīng)鏈安全可控、安全內(nèi)控和意識培養(yǎng)等方面重點內(nèi)容,,體現(xiàn)出四個鮮明的特點:
(一)“大道至簡”,,厘清重點保護的范圍和原則
《條例》第一、二章開宗明義,,明確了何為關(guān)鍵信息基礎(chǔ)設(shè)施,、認(rèn)定規(guī)則考慮因素,全面厘清保護對象范圍,。
一方面,,緊扣核心,范圍動態(tài),。在列舉的“公共通信和信息服務(wù),、能源、交通……”等八個重點行業(yè)基礎(chǔ)上,,預(yù)留了動態(tài)范圍接口,即明確評判設(shè)施性質(zhì)的核心標(biāo)準(zhǔn)在于其是否“一旦遭到破壞,、喪失功能或者數(shù)據(jù)泄露,,可能嚴(yán)重危害國家安全、國計民生,、公共利益”,,凸顯了對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護根本價值的深刻認(rèn)識。
另一方面,,與時俱進,,深謀遠(yuǎn)慮,。認(rèn)定規(guī)則考慮因素聚焦于功能和后果,在傳統(tǒng)的“核心業(yè)務(wù)重要程度”,、“一旦遭到破壞后可能帶來的危害程度”基礎(chǔ)上,,增加“對其他行業(yè)領(lǐng)域的關(guān)聯(lián)性影響”考慮,維度更加細(xì)化全面,,與當(dāng)下各行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施向深度交叉融合方向發(fā)展的趨勢密切適配,。
(二)“君子務(wù)本”,確立分層協(xié)同聯(lián)動責(zé)任體系
《條例》第一章第3-4條,、第三章和第四章第22-33條,,分層次角色廓清了安全保護的職責(zé)、任務(wù),、分工和聯(lián)動機制,。
一是分層保護、精準(zhǔn)把控,?!稐l例》中明確形成了由國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)、國務(wù)院公安部門指導(dǎo)監(jiān)督,、重要行業(yè)和領(lǐng)域主管監(jiān)管部門作為保護工作部門分別實施保護和監(jiān)督管理,、省級人民政府有關(guān)部門各司其職開展保護監(jiān)督、運營者具體落實,、安全服務(wù)機構(gòu)輔助支撐的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護格局,,全面理清了統(tǒng)籌、監(jiān)管,、主管,、地方、運營者和服務(wù)機構(gòu)之間的職責(zé),,實現(xiàn)了對責(zé)任的精準(zhǔn)把控和資源的合理“抓”“放”,。
二是內(nèi)外聯(lián)防,轉(zhuǎn)變模式,?!稐l例》進一步細(xì)化了聯(lián)動機制,通過加強社會分工,,依托全社會力量,,構(gòu)筑“內(nèi)防脆弱”、“外防威脅”,、“內(nèi)外聯(lián)防”的積極保護體系,。對內(nèi)方面,運營者圍繞落實安全“三同步”,、安全審查,、風(fēng)險評估,、內(nèi)部制度完善和能力建設(shè)開展落實;國家網(wǎng)信部門統(tǒng)籌推動保護標(biāo)準(zhǔn),、開展監(jiān)督檢查,、引導(dǎo)專業(yè)化的安全服務(wù)和技術(shù)攻關(guān)。對外方面,,運營者做好安全態(tài)勢監(jiān)測和信息通報,;國家網(wǎng)信部門統(tǒng)籌推動信息共享和研判預(yù)警;公安和國安部門各司其職主要開展防范打擊違法犯罪活動,,強化關(guān)鍵信息基礎(chǔ)設(shè)施的安全保衛(wèi),。
三是重點突出,強化牽引,。首先,,突出特殊行業(yè)重要性?!稐l例》在第一章第2條中,,將“公共通信和信息服務(wù)”列于八個行業(yè)之首;第四章第32條,,“國家采取措施,,優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運行”,,將能源和電信行業(yè)擺在更為突出的位置優(yōu)先保障,,并強調(diào)要為其他行業(yè)領(lǐng)域提供重點保障。其次,,提升安全管理機構(gòu)話語權(quán),。《條例》第五章第39條,,“未設(shè)置專門安全管理機構(gòu)的”,、“開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策沒有專門安全管理機構(gòu)人員參與的”將面臨行政處罰。最后,,有效強化法律責(zé)任約束,。《條例》第五章第43條明確,,未經(jīng)國家網(wǎng)信部門,、國務(wù)院公安部門批準(zhǔn)或者保護工作部門、運營者授權(quán),,任何個人和組織若對關(guān)鍵信息基礎(chǔ)設(shè)施實施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動,,以及對基礎(chǔ)電信網(wǎng)絡(luò)實施漏洞探測,、滲透測試等活動,,未事先向國務(wù)院電信主管部門報告的,將可能面臨治安管理處罰甚至刑事處罰,。
(三)“因地制宜”,,發(fā)揮優(yōu)勢聚力聚焦自主可控
習(xí)近平總書記在“4·19”講話中指出,“網(wǎng)絡(luò)安全的本質(zhì)在對抗,,對抗的本質(zhì)在攻防兩端能力較量”,。在網(wǎng)絡(luò)安全的較量中既要充分發(fā)揮自身優(yōu)勢、彌補短板,,又要保護重點,,變被動為主動?!稐l例》一方面,,緊牽關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的“牛鼻子”。在第三章第19條明確“運營者應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù),;采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的,,應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全,。另一方面,,發(fā)揮國家體制機制優(yōu)勢集中力量辦大事。在第四章第36,、38條,,明確“國家支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展,組織力量實施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)”,,通過國家力量牽引建設(shè)重點工程,、推進軍民融合,提升關(guān)鍵信息基礎(chǔ)設(shè)施安全可控整體水平,。
(四)“以人為本”,,強化安全內(nèi)控和意識的培養(yǎng)
網(wǎng)絡(luò)是開放復(fù)雜的系統(tǒng),除了關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)本身外,,人是不穩(wěn)定因素重要來源,,《條例》全面貫穿“以人為本”的管理理念,真正實現(xiàn)“網(wǎng)絡(luò)安全靠人民”,、“網(wǎng)絡(luò)安全為人民”,。
一方面,加強內(nèi)部管控,。負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全管理的內(nèi)部人員是網(wǎng)絡(luò)安全風(fēng)險的極大隱患之一,,《條例》第三章第14條,明確要求“運營者應(yīng)當(dāng)設(shè)置專門安全管理機構(gòu),,并對機構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進行安全背景審查”,。
另一方面,,強化教育培訓(xùn)。網(wǎng)絡(luò)安全是交叉性學(xué)科,,需要復(fù)合型人才,,發(fā)揚“工匠”精神,多培養(yǎng)技能型人才,?!稐l例》第四章第35條,“將運營者安全管理人員,、安全技術(shù)人員培訓(xùn)納入國家繼續(xù)教育體系”,,全面促進內(nèi)部人員的網(wǎng)絡(luò)安全意識和技能水平提升,以及外部技術(shù)支撐力量的培訓(xùn),。
三,、落實《條例》的幾點思考
(一)強化資源配套
一方面,建議加快推動制定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的國家標(biāo)準(zhǔn),、行業(yè)標(biāo)準(zhǔn),,為關(guān)鍵信息基礎(chǔ)設(shè)施的具體保護工作提供指導(dǎo)。另一方面,,加強對關(guān)鍵信息基礎(chǔ)設(shè)施安全保護國家級支撐力量的培養(yǎng),,建立多層級的安全保障專業(yè)隊伍,提升隊伍專業(yè)素養(yǎng),。
(二)強化技術(shù)攻關(guān)
一方面,,匯聚全社會力量開展重點難點技術(shù)攻關(guān),加強對關(guān)鍵信息基礎(chǔ)設(shè)施所需關(guān)鍵部件,、平臺應(yīng)用,、生態(tài)發(fā)展的支撐,不斷提升相關(guān)領(lǐng)域的安全自主可控能力,。另一方面,,嚴(yán)格落實網(wǎng)絡(luò)安全審查要求,建立健全相關(guān)組織機制和支撐體系,,不斷強化關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全保障,。
(三)強化體系落地
一是抓好基礎(chǔ)管理。根據(jù)國家政策法律要求,,加速建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系,,圍繞制度、組織,、人員,、建設(shè)、運維等夯實安全管理基礎(chǔ)。二是強化技管結(jié)合,。建立統(tǒng)一的安全應(yīng)急響應(yīng)中心,,圍繞風(fēng)險識別,、安全防護,、檢測評估、監(jiān)測預(yù)警,、事件處置等方面做好關(guān)鍵信息基礎(chǔ)設(shè)施安全集中化運營,。三是推動研運一體。通過建設(shè)集中化安全運營平臺,,建立健全網(wǎng)絡(luò)空間測繪,、威脅情報、靶場等多種安全能力體系,,打造網(wǎng)絡(luò)安全運營“常備軍”,,為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護提供有力技術(shù)支撐。
毋庸置疑,,《條例》的出臺,,為我國關(guān)鍵信息基礎(chǔ)設(shè)施保護工作勾勒出嶄新的藍(lán)圖,為推動關(guān)鍵信息基礎(chǔ)設(shè)施安全保障向法治化,、體系化,、科學(xué)化發(fā)展指明了方向,必將在維護國家安全,、經(jīng)濟發(fā)展和社會穩(wěn)定方面持續(xù)發(fā)揮重大作用,。(作者:張濱,中國移動集團有限公司信息安全管理與運行中心)
掃一掃在手機端打開當(dāng)前頁
京公網(wǎng)安備11040102700079號