開啟我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的新時(shí)代
關(guān)鍵信息基礎(chǔ)設(shè)施是網(wǎng)絡(luò)安全的重中之重����,是關(guān)乎國(guó)家安全的命門所在�����。習(xí)近平總書記在講話中多次強(qiáng)調(diào)���,要加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系��,抓緊制定完善關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等法律法規(guī)。落實(shí)習(xí)近平總書記重要講話精神�,加快推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施立法�����,推動(dòng)安全保護(hù)體系框架不斷健全是必由之路��。
2021年8月17日��,國(guó)務(wù)院公布了備受矚目的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡(jiǎn)稱《條例》)����,其頒布實(shí)施既是落實(shí)《網(wǎng)絡(luò)安全法》要求、構(gòu)建國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系的頂層設(shè)計(jì)和重要舉措����,更是保障國(guó)家安全、社會(huì)穩(wěn)定和經(jīng)濟(jì)發(fā)展的現(xiàn)實(shí)需要。
一����、背景
(一)形勢(shì)嚴(yán)峻
網(wǎng)絡(luò)空間作為繼“陸?����?仗臁敝蟮牡谖宕髴?zhàn)略空間���,已經(jīng)成為了全球博弈的新戰(zhàn)場(chǎng)。近年來�����,全球范圍內(nèi)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊破壞����、竊密等日趨加劇���,涉及眾多行業(yè)領(lǐng)域,其影響范圍之廣���,程度之深,令人震驚�。
1、國(guó)際方面。針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊:一是導(dǎo)致關(guān)鍵服務(wù)運(yùn)行中斷。2015年12月�,烏克蘭配電公司約60座變電站遭到網(wǎng)絡(luò)攻擊��,其首都基輔和烏克蘭西部的140萬名居民遭遇數(shù)小時(shí)停電。二是造成通信基礎(chǔ)設(shè)施癱瘓����。2016年10月��,美國(guó)域名服務(wù)器管理機(jī)構(gòu)Dyn遭到Mirai病毒攻擊�,眾多網(wǎng)站無法訪問,美國(guó)大半個(gè)互聯(lián)網(wǎng)癱瘓���。三是引發(fā)大規(guī)模信息泄露�����。2021年5月,美國(guó)最大成品油運(yùn)輸管道運(yùn)營(yíng)商Colonial Pipeline公司工控系統(tǒng)遭勒索病毒攻擊導(dǎo)致停機(jī)��,造成近100GB數(shù)據(jù)竊取及成品油運(yùn)輸管道運(yùn)營(yíng)中斷�����。
2、國(guó)內(nèi)方面�����。我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)面臨的風(fēng)險(xiǎn)和挑戰(zhàn)主要為四個(gè)方面:一是高等級(jí)網(wǎng)絡(luò)攻擊威脅�����。隨著網(wǎng)絡(luò)戰(zhàn)略威懾日益升級(jí)���,各國(guó)均加強(qiáng)網(wǎng)軍建設(shè)�,高等級(jí)攻擊入侵控制�����、竊密���,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全構(gòu)成嚴(yán)重威脅。二是大型黑客組織威脅。部分黑客組織頻繁持續(xù)對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)�����、重要系統(tǒng)等進(jìn)行攻擊,直接威脅我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施安全�����。三是新技術(shù)新應(yīng)用雙刃劍效應(yīng)�。隨著5G移動(dòng)通信及云計(jì)算、大數(shù)據(jù)、AI等技術(shù)在各行業(yè)的廣泛應(yīng)用,關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施更易成為網(wǎng)絡(luò)攻擊的高價(jià)值目標(biāo)�����。四是供應(yīng)鏈安全挑戰(zhàn)。隨著網(wǎng)絡(luò)產(chǎn)品集成度的不斷提升和供應(yīng)鏈全球化大分工的不斷加深��,關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全風(fēng)險(xiǎn)面臨著嚴(yán)峻的挑戰(zhàn)��。
(二)制度共識(shí)
為應(yīng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全威脅�,各國(guó)在網(wǎng)絡(luò)安全戰(zhàn)略制定和立法方面��,毫無例外將關(guān)鍵信息基礎(chǔ)設(shè)施作為重點(diǎn),給予了高度的政治關(guān)注和政策支持�。
1��、美國(guó)�。推動(dòng)建立兼具防御和威懾能力的安全保護(hù)體系,以期在網(wǎng)絡(luò)空間博弈中保持優(yōu)勢(shì)�。自1998年頒布《克林頓政府對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》以來,至今先后發(fā)布“美國(guó)國(guó)家網(wǎng)絡(luò)安全綜合綱領(lǐng)”和“愛因斯坦計(jì)劃”等多個(gè)大規(guī)模網(wǎng)絡(luò)安全倡議和項(xiàng)目�����,以及《關(guān)鍵基礎(chǔ)設(shè)施信息保護(hù)法》、《增強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架(CSF)》等20余項(xiàng)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)政策��。
2�、歐盟����。推行基于風(fēng)險(xiǎn)管理策略的安全治理,由傳統(tǒng)“威脅��、預(yù)警�、響應(yīng)”向消減脆弱性為主的理念轉(zhuǎn)變。2004至2006年���,歐盟啟動(dòng)“歐盟關(guān)鍵基礎(chǔ)設(shè)施保護(hù)規(guī)劃”�,審議通過《歐洲關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計(jì)劃》綠皮書�����;2011至2017年間陸續(xù)出臺(tái)《網(wǎng)絡(luò)與信息安全指令》《關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的物聯(lián)網(wǎng)安全基線指南》等多項(xiàng)政策��,推動(dòng)成員國(guó)間的安全戰(zhàn)略協(xié)作和信息共享���。
3�����、俄羅斯�����。強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)保護(hù)的全面性和持續(xù)性����,明確了等級(jí)劃分和重要參數(shù)指標(biāo),建立分級(jí)安全監(jiān)督流程和嚴(yán)格的法律制約體系�����。2017年頒布了《聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》�����,明確了俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)范圍�、原則、機(jī)構(gòu)��、客體分級(jí)�����、安全評(píng)估及監(jiān)管等要求;2018年進(jìn)一步?jīng)Q議通過《關(guān)于確認(rèn)俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體等級(jí)劃分的規(guī)定以及俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體重要性標(biāo)準(zhǔn)參數(shù)列表》����。
總體來看,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力的提升不僅要依靠資金投入�、技術(shù)提升等,更離不開政府的高度重視和政策支持�����,通過對(duì)法律法規(guī)等制度體系的健全完善來牽引整體保護(hù)能力的不斷提升����,已成為國(guó)際社會(huì)普遍共識(shí)�。
(三)出臺(tái)歷程
2016年我國(guó)《網(wǎng)絡(luò)安全法》正式通過,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度被首次提出�,第三章中專門設(shè)置“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”專節(jié),以共計(jì)9條(第31-39條)的篇幅對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的基本要求���、分工以及主體責(zé)任等問題作出法律層面的總體安排��。
2017年國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》�,面向全社會(huì)公開征求意見,共計(jì)八章55條�����,明確了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)總則���、支持與保障�、關(guān)鍵信息基礎(chǔ)設(shè)施范圍��、運(yùn)營(yíng)者安全保護(hù)�、產(chǎn)品和服務(wù)安全、監(jiān)測(cè)預(yù)警��、應(yīng)急處置和檢測(cè)評(píng)估����、法律責(zé)任等重點(diǎn)內(nèi)容。
2019至2021年�,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》連續(xù)三年納入國(guó)家立法計(jì)劃,歷經(jīng)多年反復(fù)錘煉�����,終于2021年8月17日正式發(fā)布,并于2021年9月1日起施行����。《條例》共六章51條���,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)系列制度要素作了具體規(guī)定����,涵蓋總則��、關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定�、運(yùn)營(yíng)者責(zé)任義務(wù)、保障和促進(jìn)���、法律責(zé)任等諸多方面。
二�、解讀
《條例》上承《網(wǎng)絡(luò)安全法》要求,進(jìn)一步明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)范圍���、聯(lián)動(dòng)責(zé)任體系��、供應(yīng)鏈安全可控�、安全內(nèi)控和意識(shí)培養(yǎng)等方面重點(diǎn)內(nèi)容��,體現(xiàn)出四個(gè)鮮明的特點(diǎn):
(一)“大道至簡(jiǎn)”,厘清重點(diǎn)保護(hù)的范圍和原則
《條例》第一����、二章開宗明義,明確了何為關(guān)鍵信息基礎(chǔ)設(shè)施���、認(rèn)定規(guī)則考慮因素���,全面厘清保護(hù)對(duì)象范圍。
一方面���,緊扣核心�����,范圍動(dòng)態(tài)��。在列舉的“公共通信和信息服務(wù)��、能源��、交通……”等八個(gè)重點(diǎn)行業(yè)基礎(chǔ)上���,預(yù)留了動(dòng)態(tài)范圍接口�,即明確評(píng)判設(shè)施性質(zhì)的核心標(biāo)準(zhǔn)在于其是否“一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全��、國(guó)計(jì)民生���、公共利益”���,凸顯了對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)根本價(jià)值的深刻認(rèn)識(shí)。
另一方面�����,與時(shí)俱進(jìn)���,深謀遠(yuǎn)慮。認(rèn)定規(guī)則考慮因素聚焦于功能和后果�����,在傳統(tǒng)的“核心業(yè)務(wù)重要程度”、“一旦遭到破壞后可能帶來的危害程度”基礎(chǔ)上��,增加“對(duì)其他行業(yè)領(lǐng)域的關(guān)聯(lián)性影響”考慮��,維度更加細(xì)化全面��,與當(dāng)下各行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施向深度交叉融合方向發(fā)展的趨勢(shì)密切適配�。
(二)“君子務(wù)本”,確立分層協(xié)同聯(lián)動(dòng)責(zé)任體系
《條例》第一章第3-4條����、第三章和第四章第22-33條,分層次角色廓清了安全保護(hù)的職責(zé)����、任務(wù)、分工和聯(lián)動(dòng)機(jī)制�。
一是分層保護(hù)、精準(zhǔn)把控���。《條例》中明確形成了由國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)���、國(guó)務(wù)院公安部門指導(dǎo)監(jiān)督、重要行業(yè)和領(lǐng)域主管監(jiān)管部門作為保護(hù)工作部門分別實(shí)施保護(hù)和監(jiān)督管理�、省級(jí)人民政府有關(guān)部門各司其職開展保護(hù)監(jiān)督�、運(yùn)營(yíng)者具體落實(shí)�����、安全服務(wù)機(jī)構(gòu)輔助支撐的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)格局�,全面理清了統(tǒng)籌、監(jiān)管����、主管、地方�、運(yùn)營(yíng)者和服務(wù)機(jī)構(gòu)之間的職責(zé),實(shí)現(xiàn)了對(duì)責(zé)任的精準(zhǔn)把控和資源的合理“抓”“放”����。
二是內(nèi)外聯(lián)防,轉(zhuǎn)變模式����。《條例》進(jìn)一步細(xì)化了聯(lián)動(dòng)機(jī)制,通過加強(qiáng)社會(huì)分工��,依托全社會(huì)力量�,構(gòu)筑“內(nèi)防脆弱”、“外防威脅”�����、“內(nèi)外聯(lián)防”的積極保護(hù)體系�。對(duì)內(nèi)方面,運(yùn)營(yíng)者圍繞落實(shí)安全“三同步”��、安全審查��、風(fēng)險(xiǎn)評(píng)估��、內(nèi)部制度完善和能力建設(shè)開展落實(shí)���;國(guó)家網(wǎng)信部門統(tǒng)籌推動(dòng)保護(hù)標(biāo)準(zhǔn)�、開展監(jiān)督檢查�����、引導(dǎo)專業(yè)化的安全服務(wù)和技術(shù)攻關(guān)���。對(duì)外方面�,運(yùn)營(yíng)者做好安全態(tài)勢(shì)監(jiān)測(cè)和信息通報(bào)����;國(guó)家網(wǎng)信部門統(tǒng)籌推動(dòng)信息共享和研判預(yù)警�����;公安和國(guó)安部門各司其職主要開展防范打擊違法犯罪活動(dòng)����,強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施的安全保衛(wèi)��。
三是重點(diǎn)突出���,強(qiáng)化牽引���。首先,突出特殊行業(yè)重要性���。《條例》在第一章第2條中���,將“公共通信和信息服務(wù)”列于八個(gè)行業(yè)之首;第四章第32條���,“國(guó)家采取措施��,優(yōu)先保障能源��、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行”����,將能源和電信行業(yè)擺在更為突出的位置優(yōu)先保障�,并強(qiáng)調(diào)要為其他行業(yè)領(lǐng)域提供重點(diǎn)保障。其次��,提升安全管理機(jī)構(gòu)話語(yǔ)權(quán)����。《條例》第五章第39條,“未設(shè)置專門安全管理機(jī)構(gòu)的”�����、“開展與網(wǎng)絡(luò)安全和信息化有關(guān)的決策沒有專門安全管理機(jī)構(gòu)人員參與的”將面臨行政處罰��。最后���,有效強(qiáng)化法律責(zé)任約束���。《條例》第五章第43條明確,未經(jīng)國(guó)家網(wǎng)信部門���、國(guó)務(wù)院公安部門批準(zhǔn)或者保護(hù)工作部門�����、運(yùn)營(yíng)者授權(quán)��,任何個(gè)人和組織若對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施漏洞探測(cè)�����、滲透性測(cè)試等可能影響或者危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的活動(dòng)����,以及對(duì)基礎(chǔ)電信網(wǎng)絡(luò)實(shí)施漏洞探測(cè)、滲透測(cè)試等活動(dòng)�����,未事先向國(guó)務(wù)院電信主管部門報(bào)告的��,將可能面臨治安管理處罰甚至刑事處罰��。
(三)“因地制宜”����,發(fā)揮優(yōu)勢(shì)聚力聚焦自主可控
習(xí)近平總書記在“4·19”講話中指出��,“網(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗��,對(duì)抗的本質(zhì)在攻防兩端能力較量”��。在網(wǎng)絡(luò)安全的較量中既要充分發(fā)揮自身優(yōu)勢(shì)�����、彌補(bǔ)短板,又要保護(hù)重點(diǎn)����,變被動(dòng)為主動(dòng)?����!稐l例》一方面���,緊牽關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的“牛鼻子”��。在第三章第19條明確“運(yùn)營(yíng)者應(yīng)當(dāng)優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)�;采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的,應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過安全審查”���,確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全���。另一方面,發(fā)揮國(guó)家體制機(jī)制優(yōu)勢(shì)集中力量辦大事�����。在第四章第36��、38條��,明確“國(guó)家支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展�����,組織力量實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)”,通過國(guó)家力量牽引建設(shè)重點(diǎn)工程、推進(jìn)軍民融合�����,提升關(guān)鍵信息基礎(chǔ)設(shè)施安全可控整體水平����。
(四)“以人為本”,強(qiáng)化安全內(nèi)控和意識(shí)的培養(yǎng)
網(wǎng)絡(luò)是開放復(fù)雜的系統(tǒng)�����,除了關(guān)鍵信息基礎(chǔ)設(shè)施系統(tǒng)本身外��,人是不穩(wěn)定因素重要來源���,《條例》全面貫穿“以人為本”的管理理念����,真正實(shí)現(xiàn)“網(wǎng)絡(luò)安全靠人民”����、“網(wǎng)絡(luò)安全為人民”�。
一方面,加強(qiáng)內(nèi)部管控�。負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全管理的內(nèi)部人員是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的極大隱患之一,《條例》第三章第14條����,明確要求“運(yùn)營(yíng)者應(yīng)當(dāng)設(shè)置專門安全管理機(jī)構(gòu),并對(duì)機(jī)構(gòu)負(fù)責(zé)人和關(guān)鍵崗位人員進(jìn)行安全背景審查”�����。
另一方面,強(qiáng)化教育培訓(xùn)�。網(wǎng)絡(luò)安全是交叉性學(xué)科,需要復(fù)合型人才���,發(fā)揚(yáng)“工匠”精神����,多培養(yǎng)技能型人才����。《條例》第四章第35條���,“將運(yùn)營(yíng)者安全管理人員�����、安全技術(shù)人員培訓(xùn)納入國(guó)家繼續(xù)教育體系”���,全面促進(jìn)內(nèi)部人員的網(wǎng)絡(luò)安全意識(shí)和技能水平提升,以及外部技術(shù)支撐力量的培訓(xùn)�。
三���、落實(shí)《條例》的幾點(diǎn)思考
(一)強(qiáng)化資源配套
一方面,建議加快推動(dòng)制定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的國(guó)家標(biāo)準(zhǔn)����、行業(yè)標(biāo)準(zhǔn),為關(guān)鍵信息基礎(chǔ)設(shè)施的具體保護(hù)工作提供指導(dǎo)�����。另一方面�����,加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)國(guó)家級(jí)支撐力量的培養(yǎng)��,建立多層級(jí)的安全保障專業(yè)隊(duì)伍���,提升隊(duì)伍專業(yè)素養(yǎng)。
(二)強(qiáng)化技術(shù)攻關(guān)
一方面��,匯聚全社會(huì)力量開展重點(diǎn)難點(diǎn)技術(shù)攻關(guān)�����,加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施所需關(guān)鍵部件、平臺(tái)應(yīng)用����、生態(tài)發(fā)展的支撐,不斷提升相關(guān)領(lǐng)域的安全自主可控能力���。另一方面�,嚴(yán)格落實(shí)網(wǎng)絡(luò)安全審查要求�����,建立健全相關(guān)組織機(jī)制和支撐體系���,不斷強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全保障�。
(三)強(qiáng)化體系落地
一是抓好基礎(chǔ)管理����。根據(jù)國(guó)家政策法律要求,加速建立健全關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系�,圍繞制度、組織�����、人員、建設(shè)�����、運(yùn)維等夯實(shí)安全管理基礎(chǔ)�。二是強(qiáng)化技管結(jié)合。建立統(tǒng)一的安全應(yīng)急響應(yīng)中心�����,圍繞風(fēng)險(xiǎn)識(shí)別���、安全防護(hù)��、檢測(cè)評(píng)估��、監(jiān)測(cè)預(yù)警���、事件處置等方面做好關(guān)鍵信息基礎(chǔ)設(shè)施安全集中化運(yùn)營(yíng)。三是推動(dòng)研運(yùn)一體�。通過建設(shè)集中化安全運(yùn)營(yíng)平臺(tái)��,建立健全網(wǎng)絡(luò)空間測(cè)繪���、威脅情報(bào)�、靶場(chǎng)等多種安全能力體系,打造網(wǎng)絡(luò)安全運(yùn)營(yíng)“常備軍”���,為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)提供有力技術(shù)支撐��。
毋庸置疑����,《條例》的出臺(tái)���,為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作勾勒出嶄新的藍(lán)圖�����,為推動(dòng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障向法治化���、體系化、科學(xué)化發(fā)展指明了方向��,必將在維護(hù)國(guó)家安全����、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定方面持續(xù)發(fā)揮重大作用��。(作者:張濱��,中國(guó)移動(dòng)集團(tuán)有限公司信息安全管理與運(yùn)行中心)
