專家解讀 | 楊建軍:標準助力關鍵信息基礎設施安全保障體系建設
中國電子技術標準化研究院 楊建軍
關鍵信息基礎設施安全直接關系到國家安全、國計民生和公共利益,關鍵信息基礎設施的安全保護成為維護國家網絡安全的重中之重。黨的十八大以來,以習近平同志為核心的黨中央高度重視網絡安全工作,習近平總書記在“4·19”講話中強調要加快構建關鍵信息基礎設施安全保障體系。關鍵信息基礎設施安全也是網絡安全法的重要內容,網絡安全法專門有一章節描述“關鍵信息基礎設施的運行安全”總體要求,其中明確了關鍵信息基礎設施的范圍以及保障關鍵信息基礎設施安全的技術和管理要求,是關鍵信息基礎設施安全保障體系的法律基礎。為進一步推動關鍵信息基礎設施安全保障體系建設,2021年7月30日,《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)正式出臺。
網絡安全標準化工作是國家網絡安全保障體系建設的重要內容,也是支撐網絡安全法、《條例》等法律法規落地實施的重要抓手。網絡安全法對關鍵信息基礎設施的建設、運行或者服務以及關鍵信息基礎設施運營者采購網絡產品和服務等活動的標準化提出了明確要求。《條例》也明確要求,國家制定和完善關鍵信息基礎設施安全標準,指導、規范關鍵信息基礎設施安全保護工作。
網絡安全標準是保障國家關鍵信息基礎設施的重要技術要素。從關鍵信息基礎設施的識別認定、安全防護、檢查評估、監測預警、應急處置等各個方面,都離不開標準的規范和引領。關鍵信息基礎設施相關標準為各行業各領域關鍵信息基礎設施識別提供指導,為提高運營者自身安全防護能力和水平提供技術支撐,為規范開展安全檢查與評估提供標準依據,為統籌協調相關領域信息共享、監測預警、應急處置、考核評價等提供方法指引,為保障關鍵信息基礎設施全生命周期安全提供標準化支撐。網絡安全標準化工作為筑牢關鍵信息基礎設施安全屏障,維護國家網絡安全發揮越來越重要的作用。
一、美歐等率先啟動關鍵信息基礎設施安全標準研制
隨著網絡和信息化的快速發展,關鍵信息基礎設施已成為各國的重要戰略資源,對關鍵信息基礎設施發動網絡攻擊成為敵對勢力蓄意破壞國家安全和社會穩定的重要途徑。為保障國家安全和社會穩定,美國、歐盟等積極制定出臺關鍵信息基礎設施安全法律法規,早在2014年就啟動了包含關鍵信息基礎設施的識別、安全保護框架、要求和評估規范等內容的標準化文件。
2014年美國發布了《改善關鍵基礎設施網絡安全的框架》。該框架定義了一套應用于關鍵基礎設施安全的風險管控流程。為支撐該框架的落地執行,美國能源部和國土安全部針對關鍵信息基礎設施開發了網絡安全能力成熟度模型(簡稱“C2M2模型”),用于指導運營者對其信息系統、工控系統等信息資產進行安全評估,并通過劃分安全域的方式,分別從內部網絡安全實踐的實現情況(方法層面)和安全實踐的制度化程度(管理層面)對組織安全能力進行評估。
歐洲網絡與信息安全局(ENISA)于2014年發布《識別關鍵信息基礎設施服務和資產的方法論》,給出了識別關鍵信息基礎設施中服務和資產的方法。隨后,又先后發布了《保護關鍵信息基礎設施的考量、分析和建議》《數字服務提供商實施最低安全控制措施技術指南》等技術指導文件,就關鍵信息基礎設施領域開展公私合作、安全事件演練、風險評估、信息共享和建立控制措施等提出標準化建議。此外,ENISA還在互聯網基礎設施、工控系統、智能電網、金融、健康醫療、船舶等領域發布了相關安全規定。
二、我國加快布局關鍵信息基礎設施安全標準體系
全國信息安全標準化技術委員會(以下簡稱“全國信安標委”)作為網絡安全國家標準的統一技術歸口組織,積極落實網絡安全法、《條例》等法律法規要求,緊密圍繞關鍵信息基礎設施安全保障體系建設,推動了9項相關標準的研制工作,實現了標準“從無到有”的突破。
《條例》從深入推進關鍵信息基礎設施安全保護統籌協調機制、識別認定范圍、加強安全防護指導與監督、保障安全防護重要環節、提升運營者安全能力等方面描述了關鍵信息基礎設施安全保障體系的藍圖。全國信安標委在充分考慮我國關鍵信息基礎設施安全特性的基礎上,圍繞安全保障體系建設各維度,從邊界識別、保護要求、控制措施、保障指標、應急體系、檢查評估以及供應鏈安全、數據安全、信息共享、監測預警等方面系統開展標準研制與標準試點工作,用標準筑牢關鍵信息基礎設施安全保障體系建設的基礎。
其中,《信息安全技術 關鍵信息基礎設施安全保護要求》站在運營者的角度,對開展安全保護工作提出了安全基本要求,為運營者落實安全主體責任提供依據;《信息安全技術 關鍵信息基礎設施安全檢查評估指南》提出了對關鍵信息基礎設施安全檢查評估的流程和指標;《信息安全技術 關鍵信息基礎設施安全控制措施》《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》《信息安全技術 關鍵信息基礎設施信息技術產品供應鏈安全要求》等標準提出了運營者加強安全保護的措施手段,為有效開展自身安全能力建設、提高安全防護水平提供了全方位、系統化、層次化的標準化指導。此外,《信息安全技術 網絡安全事件應急演練指南》《信息安全技術 網絡安全信息共享指南》《信息安全技術 網絡安全態勢感知通用技術要求》等關鍵信息基礎設施支撐標準為建立各行業間信息共享和應急演練協同機制提供了重要技術基礎。
同時,全國信安標委積極發揮標準化價值,積極探索關鍵信息基礎設施安全保護工作實踐新模式,選取金融、能源、交通、電信、衛生健康等行業20余家關鍵信息基礎設施運營者聯合開展標準試點,對標準技術條款的可行性、合理性、完備性和科學性進行綜合驗證,有效提高了標準質量,初步摸清了相關行業的安全防護底數。
三、開創新形勢下關鍵信息基礎設施安全標準化新成果
當今世界正經歷百年未有之大變局,不穩定不確定因素日益增多、國際格局復雜多變,網絡安全標準化工作應堅持以總體國家安全觀為指引,立足新發展階段,不斷適應新興技術發展趨勢,以支撐國家關鍵信息基礎設施安全保護等網絡安全工作為重點,持續創新一批標準化工作新成果,為全面構建關鍵信息基礎設施安全保障體系提供標準化支撐。
一是持續增強標準化頂層設計。關鍵信息基礎設施安全標準化工作應充分結合行業和領域需求,重點圍繞網絡安全法、數據安全法、關鍵信息基礎設施安全保護條例等法律法規要求的落地實施,以整體提高關鍵信息基礎設施運營者安全保護能力為主要目標,充分借鑒國際先進標準研制成果,加快推動監測預警、態勢感知、信息共享等重點領域標準研制。
二是筑牢新型基礎設施標準根基。“新基建”是數字產業化、產業數字化深度融合的產物,相關重要行業的“新基建”作為關鍵信息基礎設施重要組成,應嚴格落實網絡安全“三同步”原則。網絡安全標準化工作既要充分考慮“新基建”新型安全風險,又要與已有網絡安全標準做好配套銜接。以事件管理、信息共享、應急響應、供應鏈安全標準等為支撐,以安全管理、安全技術、安全測評標準等為補充,重點針對“新基建”中新技術新應用提出標準化要求,奠定新型基礎設施建設標準基石,共同支撐各行業各領域關鍵信息基礎設施安全保障工作。
三是營造標準化工作良性生態。關鍵信息基礎設施安全保障體系的構建需要壓實運營者的主體責任,還需要與產、學、研單位的通力協作。新形勢下網絡安全標準化工作要鼓勵更多的網絡安全企業、高校、科研院所等參與到關鍵信息基礎設施安全標準化工作中,打通技術、產業、學術等環節形成標準化合力,深入推動金融、能源、電信、交通、水利、衛生健康、國防科技工業等重要行業和領域關鍵信息基礎設施的標準試點工作,促進標準研制與行業實施緊密互動,全鏈條提升標準應用價值與實施效果,營造共筑網絡安全防線的良性生態。
新聞鏈接:
司法部 網信辦 工業和信息化部 公安部負責人就《關鍵信息基礎設施安全保護條例》答記者問
專家解讀 | 李欲曉:加強關鍵信息基礎設施安全保護的法治基石