用科技服務(wù)社會(huì ),做中國一流的系統集成企業(yè)
全國咨詢(xún)熱線(xiàn):0396-3620666

專(zhuān)家解讀|《關(guān)鍵信息基礎設施安全保護條例》

發(fā)布時(shí)間:2021-12-06 15:31:42 人氣:2843

開(kāi)啟我國關(guān)鍵信息基礎設施安全保護的新時(shí)代

關(guān)鍵信息基礎設施是網(wǎng)絡(luò )安全的重中之重,是關(guān)乎國家安全的命門(mén)所在。習近平總書(shū)記在講話(huà)中多次強調,要加快構建關(guān)鍵信息基礎設施安全保障體系,抓緊制定完善關(guān)鍵信息基礎設施保護等法律法規。落實(shí)習近平總書(shū)記重要講話(huà)精神,加快推動(dòng)關(guān)鍵信息基礎設施立法,推動(dòng)安全保護體系框架不斷健全是必由之路。

2021年8月17日,國務(wù)院公布了備受矚目的《關(guān)鍵信息基礎設施安全保護條例》(以下簡(jiǎn)稱(chēng)《條例》),其頒布實(shí)施既是落實(shí)《網(wǎng)絡(luò )安全法》要求、構建國家關(guān)鍵信息基礎設施安全保護體系的頂層設計和重要舉措,更是保障國家安全、社會(huì )穩定和經(jīng)濟發(fā)展的現實(shí)需要。

一、背景

(一)形勢嚴峻

網(wǎng)絡(luò )空間作為繼“陸??仗臁敝蟮牡谖宕髴鹇钥臻g,已經(jīng)成為了全球博弈的新戰場(chǎng)。近年來(lái),全球范圍內針對關(guān)鍵信息基礎設施的網(wǎng)絡(luò )攻擊破壞、竊密等日趨加劇,涉及眾多行業(yè)領(lǐng)域,其影響范圍之廣,程度之深,令人震驚。

1、國際方面。針對關(guān)鍵信息基礎設施的攻擊:一是導致關(guān)鍵服務(wù)運行中斷。2015年12月,烏克蘭配電公司約60座變電站遭到網(wǎng)絡(luò )攻擊,其首都基輔和烏克蘭西部的140萬(wàn)名居民遭遇數小時(shí)停電。二是造成通信基礎設施癱瘓。2016年10月,美國域名服務(wù)器管理機構Dyn遭到Mirai病毒攻擊,眾多網(wǎng)站無(wú)法訪(fǎng)問(wèn),美國大半個(gè)互聯(lián)網(wǎng)癱瘓。三是引發(fā)大規模信息泄露。2021年5月,美國最大成品油運輸管道運營(yíng)商Colonial Pipeline公司工控系統遭勒索病毒攻擊導致停機,造成近100GB數據竊取及成品油運輸管道運營(yíng)中斷。

2、國內方面。我國關(guān)鍵信息基礎設施安全保護面臨的風(fēng)險和挑戰主要為四個(gè)方面:一是高等級網(wǎng)絡(luò )攻擊威脅。隨著(zhù)網(wǎng)絡(luò )戰略威懾日益升級,各國均加強網(wǎng)軍建設,高等級攻擊入侵控制、竊密,對關(guān)鍵信息基礎設施安全構成嚴重威脅。二是大型黑客組織威脅。部分黑客組織頻繁持續對我國關(guān)鍵信息基礎設施網(wǎng)絡(luò )、重要系統等進(jìn)行攻擊,直接威脅我國關(guān)鍵信息基礎設施安全。三是新技術(shù)新應用雙刃劍效應。隨著(zhù)5G移動(dòng)通信及云計算、大數據、AI等技術(shù)在各行業(yè)的廣泛應用,關(guān)系國計民生的關(guān)鍵信息基礎設施更易成為網(wǎng)絡(luò )攻擊的高價(jià)值目標。四是供應鏈安全挑戰。隨著(zhù)網(wǎng)絡(luò )產(chǎn)品集成度的不斷提升和供應鏈全球化大分工的不斷加深,關(guān)鍵信息基礎設施的供應鏈安全風(fēng)險面臨著(zhù)嚴峻的挑戰。

(二)制度共識

為應對關(guān)鍵信息基礎設施面臨的安全威脅,各國在網(wǎng)絡(luò )安全戰略制定和立法方面,毫無(wú)例外將關(guān)鍵信息基礎設施作為重點(diǎn),給予了高度的政治關(guān)注和政策支持。

1、美國。推動(dòng)建立兼具防御和威懾能力的安全保護體系,以期在網(wǎng)絡(luò )空間博弈中保持優(yōu)勢。自1998年頒布《克林頓政府對關(guān)鍵基礎設施保護的政策》以來(lái),至今先后發(fā)布“美國國家網(wǎng)絡(luò )安全綜合綱領(lǐng)”和“愛(ài)因斯坦計劃”等多個(gè)大規模網(wǎng)絡(luò )安全倡議和項目,以及《關(guān)鍵基礎設施信息保護法》、《增強關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全框架(CSF)》等20余項關(guān)鍵信息基礎設施的保護政策。

2、歐盟。推行基于風(fēng)險管理策略的安全治理,由傳統“威脅、預警、響應”向消減脆弱性為主的理念轉變。2004至2006年,歐盟啟動(dòng)“歐盟關(guān)鍵基礎設施保護規劃”,審議通過(guò)《歐洲關(guān)鍵基礎設施保護計劃》綠皮書(shū);2011至2017年間陸續出臺《網(wǎng)絡(luò )與信息安全指令》《關(guān)鍵信息基礎設施領(lǐng)域的物聯(lián)網(wǎng)安全基線(xiàn)指南》等多項政策,推動(dòng)成員國間的安全戰略協(xié)作和信息共享。

3、俄羅斯。強調關(guān)鍵信息基礎保護的全面性和持續性,明確了等級劃分和重要參數指標,建立分級安全監督流程和嚴格的法律制約體系。2017年頒布了《聯(lián)邦關(guān)鍵信息基礎設施安全法》,明確了俄羅斯聯(lián)邦關(guān)鍵信息基礎設施的保護范圍、原則、機構、客體分級、安全評估及監管等要求;2018年進(jìn)一步?jīng)Q議通過(guò)《關(guān)于確認俄羅斯聯(lián)邦關(guān)鍵信息基礎設施客體等級劃分的規定以及俄羅斯聯(lián)邦關(guān)鍵信息基礎設施客體重要性標準參數列表》。

總體來(lái)看,關(guān)鍵信息基礎設施安全保護能力的提升不僅要依靠資金投入、技術(shù)提升等,更離不開(kāi)政府的高度重視和政策支持,通過(guò)對法律法規等制度體系的健全完善來(lái)牽引整體保護能力的不斷提升,已成為國際社會(huì )普遍共識。

(三)出臺歷程

2016年我國《網(wǎng)絡(luò )安全法》正式通過(guò),關(guān)鍵信息基礎設施安全保護制度被首次提出,第三章中專(zhuān)門(mén)設置“關(guān)鍵信息基礎設施的運行安全”專(zhuān)節,以共計9條(第31-39條)的篇幅對于關(guān)鍵信息基礎設施安全保護的基本要求、分工以及主體責任等問(wèn)題作出法律層面的總體安排。

2017年國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎設施安全保護條例(征求意見(jiàn)稿)》,面向全社會(huì )公開(kāi)征求意見(jiàn),共計八章55條,明確了關(guān)鍵信息基礎設施安全保護總則、支持與保障、關(guān)鍵信息基礎設施范圍、運營(yíng)者安全保護、產(chǎn)品和服務(wù)安全、監測預警、應急處置和檢測評估、法律責任等重點(diǎn)內容。

2019至2021年,《關(guān)鍵信息基礎設施安全保護條例》連續三年納入國家立法計劃,歷經(jīng)多年反復錘煉,終于2021年8月17日正式發(fā)布,并于2021年9月1日起施行?!稐l例》共六章51條,對關(guān)鍵信息基礎設施保護系列制度要素作了具體規定,涵蓋總則、關(guān)鍵信息基礎設施認定、運營(yíng)者責任義務(wù)、保障和促進(jìn)、法律責任等諸多方面。

二、解讀

《條例》上承《網(wǎng)絡(luò )安全法》要求,進(jìn)一步明確關(guān)鍵信息基礎設施安全保護范圍、聯(lián)動(dòng)責任體系、供應鏈安全可控、安全內控和意識培養等方面重點(diǎn)內容,體現出四個(gè)鮮明的特點(diǎn):

(一)“大道至簡(jiǎn)”,厘清重點(diǎn)保護的范圍和原則

《條例》第一、二章開(kāi)宗明義,明確了何為關(guān)鍵信息基礎設施、認定規則考慮因素,全面厘清保護對象范圍。

一方面,緊扣核心,范圍動(dòng)態(tài)。在列舉的“公共通信和信息服務(wù)、能源、交通……”等八個(gè)重點(diǎn)行業(yè)基礎上,預留了動(dòng)態(tài)范圍接口,即明確評判設施性質(zhì)的核心標準在于其是否“一旦遭到破壞、喪失功能或者數據泄露,可能?chē)乐匚:野踩?、國計民生、公共利益”,凸顯了對關(guān)鍵信息基礎設施安全保護根本價(jià)值的深刻認識。

另一方面,與時(shí)俱進(jìn),深謀遠慮。認定規則考慮因素聚焦于功能和后果,在傳統的“核心業(yè)務(wù)重要程度”、“一旦遭到破壞后可能帶來(lái)的危害程度”基礎上,增加“對其他行業(yè)領(lǐng)域的關(guān)聯(lián)性影響”考慮,維度更加細化全面,與當下各行業(yè)關(guān)鍵信息基礎設施向深度交叉融合方向發(fā)展的趨勢密切適配。

(二)“君子務(wù)本”,確立分層協(xié)同聯(lián)動(dòng)責任體系

《條例》第一章第3-4條、第三章和第四章第22-33條,分層次角色廓清了安全保護的職責、任務(wù)、分工和聯(lián)動(dòng)機制。

一是分層保護、精準把控。《條例》中明確形成了由國家網(wǎng)信部門(mén)統籌協(xié)調、國務(wù)院公安部門(mén)指導監督、重要行業(yè)和領(lǐng)域主管監管部門(mén)作為保護工作部門(mén)分別實(shí)施保護和監督管理、省級人民政府有關(guān)部門(mén)各司其職開(kāi)展保護監督、運營(yíng)者具體落實(shí)、安全服務(wù)機構輔助支撐的關(guān)鍵信息基礎設施安全保護格局,全面理清了統籌、監管、主管、地方、運營(yíng)者和服務(wù)機構之間的職責,實(shí)現了對責任的精準把控和資源的合理“抓”“放”。

二是內外聯(lián)防,轉變模式。《條例》進(jìn)一步細化了聯(lián)動(dòng)機制,通過(guò)加強社會(huì )分工,依托全社會(huì )力量,構筑“內防脆弱”、“外防威脅”、“內外聯(lián)防”的積極保護體系。對內方面,運營(yíng)者圍繞落實(shí)安全“三同步”、安全審查、風(fēng)險評估、內部制度完善和能力建設開(kāi)展落實(shí);國家網(wǎng)信部門(mén)統籌推動(dòng)保護標準、開(kāi)展監督檢查、引導專(zhuān)業(yè)化的安全服務(wù)和技術(shù)攻關(guān)。對外方面,運營(yíng)者做好安全態(tài)勢監測和信息通報;國家網(wǎng)信部門(mén)統籌推動(dòng)信息共享和研判預警;公安和國安部門(mén)各司其職主要開(kāi)展防范打擊違法犯罪活動(dòng),強化關(guān)鍵信息基礎設施的安全保衛。

三是重點(diǎn)突出,強化牽引。首先,突出特殊行業(yè)重要性。《條例》在第一章第2條中,將“公共通信和信息服務(wù)”列于八個(gè)行業(yè)之首;第四章第32條,“國家采取措施,優(yōu)先保障能源、電信等關(guān)鍵信息基礎設施安全運行”,將能源和電信行業(yè)擺在更為突出的位置優(yōu)先保障,并強調要為其他行業(yè)領(lǐng)域提供重點(diǎn)保障。其次,提升安全管理機構話(huà)語(yǔ)權。《條例》第五章第39條,“未設置專(zhuān)門(mén)安全管理機構的”、“開(kāi)展與網(wǎng)絡(luò )安全和信息化有關(guān)的決策沒(méi)有專(zhuān)門(mén)安全管理機構人員參與的”將面臨行政處罰。最后,有效強化法律責任約束。《條例》第五章第43條明確,未經(jīng)國家網(wǎng)信部門(mén)、國務(wù)院公安部門(mén)批準或者保護工作部門(mén)、運營(yíng)者授權,任何個(gè)人和組織若對關(guān)鍵信息基礎設施實(shí)施漏洞探測、滲透性測試等可能影響或者危害關(guān)鍵信息基礎設施安全的活動(dòng),以及對基礎電信網(wǎng)絡(luò )實(shí)施漏洞探測、滲透測試等活動(dòng),未事先向國務(wù)院電信主管部門(mén)報告的,將可能面臨治安管理處罰甚至刑事處罰。

(三)“因地制宜”,發(fā)揮優(yōu)勢聚力聚焦自主可控

習近平總書(shū)記在“4·19”講話(huà)中指出,“網(wǎng)絡(luò )安全的本質(zhì)在對抗,對抗的本質(zhì)在攻防兩端能力較量”。在網(wǎng)絡(luò )安全的較量中既要充分發(fā)揮自身優(yōu)勢、彌補短板,又要保護重點(diǎn),變被動(dòng)為主動(dòng)?!稐l例》一方面,緊牽關(guān)鍵信息基礎設施供應鏈安全的“牛鼻子”。在第三章第19條明確“運營(yíng)者應當優(yōu)先采購安全可信的網(wǎng)絡(luò )產(chǎn)品和服務(wù);采購網(wǎng)絡(luò )產(chǎn)品和服務(wù)可能影響國家安全的,應當按照國家網(wǎng)絡(luò )安全規定通過(guò)安全審查”,確保關(guān)鍵信息基礎設施供應鏈安全。另一方面,發(fā)揮國家體制機制優(yōu)勢集中力量辦大事。在第四章第36、38條,明確“國家支持關(guān)鍵信息基礎設施安全防護技術(shù)創(chuàng )新和產(chǎn)業(yè)發(fā)展,組織力量實(shí)施關(guān)鍵信息基礎設施安全技術(shù)攻關(guān)”,通過(guò)國家力量牽引建設重點(diǎn)工程、推進(jìn)軍民融合,提升關(guān)鍵信息基礎設施安全可控整體水平。

(四)“以人為本”,強化安全內控和意識的培養

網(wǎng)絡(luò )是開(kāi)放復雜的系統,除了關(guān)鍵信息基礎設施系統本身外,人是不穩定因素重要來(lái)源,《條例》全面貫穿“以人為本”的管理理念,真正實(shí)現“網(wǎng)絡(luò )安全靠人民”、“網(wǎng)絡(luò )安全為人民”。

一方面,加強內部管控。負責關(guān)鍵信息基礎設施安全管理的內部人員是網(wǎng)絡(luò )安全風(fēng)險的極大隱患之一,《條例》第三章第14條,明確要求“運營(yíng)者應當設置專(zhuān)門(mén)安全管理機構,并對機構負責人和關(guān)鍵崗位人員進(jìn)行安全背景審查”。

另一方面,強化教育培訓。網(wǎng)絡(luò )安全是交叉性學(xué)科,需要復合型人才,發(fā)揚“工匠”精神,多培養技能型人才?!稐l例》第四章第35條,“將運營(yíng)者安全管理人員、安全技術(shù)人員培訓納入國家繼續教育體系”,全面促進(jìn)內部人員的網(wǎng)絡(luò )安全意識和技能水平提升,以及外部技術(shù)支撐力量的培訓。

三、落實(shí)《條例》的幾點(diǎn)思考

(一)強化資源配套

一方面,建議加快推動(dòng)制定關(guān)鍵信息基礎設施安全保護的國家標準、行業(yè)標準,為關(guān)鍵信息基礎設施的具體保護工作提供指導。另一方面,加強對關(guān)鍵信息基礎設施安全保護國家級支撐力量的培養,建立多層級的安全保障專(zhuān)業(yè)隊伍,提升隊伍專(zhuān)業(yè)素養。

(二)強化技術(shù)攻關(guān)

一方面,匯聚全社會(huì )力量開(kāi)展重點(diǎn)難點(diǎn)技術(shù)攻關(guān),加強對關(guān)鍵信息基礎設施所需關(guān)鍵部件、平臺應用、生態(tài)發(fā)展的支撐,不斷提升相關(guān)領(lǐng)域的安全自主可控能力。另一方面,嚴格落實(shí)網(wǎng)絡(luò )安全審查要求,建立健全相關(guān)組織機制和支撐體系,不斷強化關(guān)鍵信息基礎設施供應鏈安全保障。

(三)強化體系落地

一是抓好基礎管理。根據國家政策法律要求,加速建立健全關(guān)鍵信息基礎設施安全保護體系,圍繞制度、組織、人員、建設、運維等夯實(shí)安全管理基礎。二是強化技管結合。建立統一的安全應急響應中心,圍繞風(fēng)險識別、安全防護、檢測評估、監測預警、事件處置等方面做好關(guān)鍵信息基礎設施安全集中化運營(yíng)。三是推動(dòng)研運一體。通過(guò)建設集中化安全運營(yíng)平臺,建立健全網(wǎng)絡(luò )空間測繪、威脅情報、靶場(chǎng)等多種安全能力體系,打造網(wǎng)絡(luò )安全運營(yíng)“常備軍”,為關(guān)鍵信息基礎設施安全保護提供有力技術(shù)支撐。

毋庸置疑,《條例》的出臺,為我國關(guān)鍵信息基礎設施保護工作勾勒出嶄新的藍圖,為推動(dòng)關(guān)鍵信息基礎設施安全保障向法治化、體系化、科學(xué)化發(fā)展指明了方向,必將在維護國家安全、經(jīng)濟發(fā)展和社會(huì )穩定方面持續發(fā)揮重大作用。(作者:張濱,中國移動(dòng)集團有限公司信息安全管理與運行中心


在線(xiàn)客服
聯(lián)系方式

熱線(xiàn)電話(huà)

0396-3620777

上班時(shí)間

周一到周五

公司電話(huà)

0396-3620666

二維碼
線(xiàn)