專家解讀 | 余曉暉:開啟關鍵信息基礎設施安全保護新階段
中國信息通信研究院 余曉暉
2021年7月30日,《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)正式公布,標志著我國網絡安全保護進入了以關鍵信息基礎設施安全保護為重點的新階段。作為網絡安全法的重要配套立法,《條例》積極應對國內外網絡安全保護的主要問題和發展趨勢,為下一步加強關鍵信息基礎設施安全保護工作提供了重要法治保障。
一、關鍵信息基礎設施安全保護立法是各國網絡安全戰略重要一環
(一)全球網絡安全局勢復雜嚴峻對各國關鍵信息基礎設施安全防護提出新挑戰。近期,多國基礎設施和重要信息系統遭受網絡攻擊,引發全球震蕩,對國家安全穩定造成巨大風險。特別是2021年,美國最大的燃油管道運營商、全球最大的肉類加工企業均因黑客攻擊而停擺,導致影響國家乃至全球經濟運行的基礎設施受損,對全產業鏈產生連鎖影響,也引發了全球關于加強關鍵信息基礎設施安全保護的思考。近期,世界主要國家和地區均強化關鍵基礎設施安全防護。美國不僅大幅增加關鍵基礎設施網絡安全方面的資金投入,而且提出多部強化關鍵基礎設施網絡安全、預防勒索軟件攻擊等方面的法案和官方指南。歐盟也在《歐盟安全聯盟戰略》中將提升關鍵基礎設施的保護和恢復能力作為未來五年網絡安全工作的重中之重。
(二)世界主要國家和地區將關鍵基礎設施立法作為網絡安全立法中最為關鍵的環節。美歐在關鍵基礎設施立法方面起步較早,美國早在2001年即頒布了《2001年關鍵基礎設施保護法》,之后相繼出臺《改進關鍵基礎設施網絡安全行政令》《增強聯邦政府網絡與關鍵基礎設施網絡安全行政令》等相關立法。隨著網絡安全形勢的日益嚴峻,美國積極調整網絡安全保護戰略,近期發布了《2021年臨時國家安全戰略方針》《2021年關于加強國家網絡安全的行政命令》等相關政策。歐盟出臺了《2008年歐盟關鍵基礎設施認定和安全評估指令》《2016年網絡與信息安全指令》等多部關鍵基礎設施保護相關立法。俄羅斯2017年頒布了《聯邦關鍵信息基礎設施安全法》,澳大利亞2018年頒布了《關鍵基礎設施安全法》。此外,英國、德國、日本等國也出臺了關鍵基礎設施保護的相關立法和政策。
(三)我國網絡安全法強調對關鍵信息基礎設施適用更高水平保護。我國2016年出臺的網絡安全法在明確國家網絡安全基本制度體系的基礎上,對于關鍵信息基礎設施規定了更高水平的安全防護要求。網絡安全法規定對關鍵信息基礎設施實行重點保護,并在第三章“網絡運行安全”中單設一節對關鍵信息基礎設施安全保護進行專門規定。針對關鍵信息基礎設施安全保護工作中涉及的技術措施、人員機制、數據安全、風險評估等安全管理舉措提出更高要求,并強調通過配套立法進一步完善關鍵信息基礎設施安全保護制度,突出了關鍵信息基礎設施在國家整體網絡安全制度體系中的重要地位。
二、《條例》確立了我國關鍵信息基礎設施安全保護的具體制度要求
網絡安全法對關鍵信息基礎設施安全保護制度相關實施對象、責任主體、工作內容等進行了總體性規定,《條例》作為網絡安全法重要配套法規,立足工作落實,界定了適用范圍、監管主體、評估對象等關鍵信息基礎設施安全保護相關系列基本要素,提出了安全保護要求和安全保障措施,確保對象具體、權責清晰、任務明確,為安全保護工作開展提供系統指引和工作遵循。
(一)確定保護對象范圍。《條例》第二條給出了關鍵信息基礎設施明確定義,第九條提出了保護工作部門制定識別認定規則的重點考慮因素,確定了由保護工作部門負責制定本行業、本領域關鍵信息基礎設施認定規則及清單。認定規則及清單的形成過程一方面須立足實際,充分結合本行業、本領域業務特性和重要性,在量化指標參數的基礎上實現清單范圍的準確界定;另一方面,清單應當伴隨國家網絡安全和信息化發展,實現動態調整更新。
(二)明確監管職責分工。為保障關鍵信息基礎設施安全保護工作順利開展,《條例》設置了科學嚴謹的監督管理工作機制。在國家層面,國家網信部門負責統籌協調,國務院公安部門負責指導監督,國務院電信主管部門和其他有關部門負責行業關鍵信息基礎設施安全保護和監督管理工作;在地方層面,由省級人民政府有關部門負責關鍵信息基礎設施安全保護和監督管理工作。既有效保障了關鍵信息基礎設施安全保護工作統一有序、協同推進,又能充分發揮具體行業部門的專業優勢,提升關鍵信息基礎設施安全保護力度。
(三)強化安全主體責任。《條例》強調關鍵信息基礎設施運營者(以下簡稱運營者)在關鍵信息基礎設施安全保護中承擔主體責任,并對于運營者自身安全管理機制的設置進行了嚴格要求。一是強調主要負責人責任,明確運營者的主要負責人對關鍵信息基礎設施的安全保護負責。二是要求設立專門的安全管理機構,具體負責本單位關鍵信息基礎設施的安全保護工作。三是對關鍵崗位人員實施安全背景審查,其中包括運營者專門安全管理機構的負責人及其認定的關鍵崗位人員。四是保障專門安全管理機構運行,為本單位專門安全管理機構提供經費和專業人員保障。
(四)細化安全保護要求。《條例》強化關鍵信息基礎設施的安全保護,在網絡安全法的基礎上對運營者提出了更高的安全防護要求。一是落實“三同步”要求,要求安全保護措施與關鍵信息基礎設施同步規劃、同步建設、同步使用,關鍵信息基礎設施自列入關基清單之日起,在設計建設(改擴建)、運行維護、應急恢復、停用廢棄各階段,應確保落實覆蓋全生命周期的安全保護。二是開展定期安全檢測和風險評估,運營者須每年至少進行一次網絡安全檢測和風險評估,可以自行或委托網絡安全服務機構進行。三是履行安全事件和威脅報告義務,在發生重大網絡安全事件或發現重大網絡安全威脅時,運營者應當向相關部門報告。四是落實網絡安全審查要求,運營者采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定進行安全審查。五是強化監測預警和信息共享,《條例》提出建立健全關鍵信息基礎設施網絡安全監測預警制度,準確把握關鍵信息基礎設施運行狀況,促進網絡安全信息共享。
(五)強化重點安全保障。一是針對關鍵信息基礎設施實施的漏洞探測、滲透測試等活動,應得到國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權。對基礎電信網絡實施漏洞探測、滲透測試等活動,應當事先向國務院電信主管部門報告。二是能源、電信行業為金融、水利和交通等行業關鍵信息基礎設施穩定運行提供重要支撐及資源保障,基礎電信網絡還具有基礎性、全局性,承載著其他關鍵信息基礎設施。國家將采取措施,優先保障能源、電信等關鍵信息基礎設施安全運行。能源、電信行業將為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。
三、關鍵信息基礎設施安全保護工作新階段的思考
(一)完善配套標準規范體系。一是圍繞關鍵信息基礎設施共性安全需求和基線安全要求,加快制定出臺國家標準。二是保護工作部門聚焦行業實際和特點,深入推進行業關鍵信息基礎設施標準建設,并組織實施。三是圍繞運營者責任義務、信息共享模式、協同處置機制、安全防護能力認定等關鍵方面開展管理機制深入研究。
(二)深化行業監管職責落實。一是指導監督行業運營者落實安全主體責任,扎實做好網絡安全威脅監測與處置、網絡安全審查等關鍵信息基礎設施安全保護相關工作。二是完善監督檢查機制,加強行業關鍵信息基礎設施安全防護檢查與風險評估。三是構建完善應急保障體系,建立態勢感知、應急指揮等技術支撐手段,組織開展場景式、專題化、聯合型應急演練,打造專家隊伍。
(三)加強新技術新模式應用示范。一是強化創新發展研究,積極利用云計算、大數據、人工智能等新技術提升關鍵信息基礎設施網絡安全能力。二是建立創新激勵機制,深化網絡安全先進技術創新應用和試點示范,匯聚網絡安全產業力量,強化面向關鍵信息基礎設施的網絡安全能力供給。三是開展關鍵信息基礎設施網絡安全能力評估與持續優化,客觀評定網絡安全能力水平。科學選擇安全能力提升方向。
新聞鏈接:
司法部 網信辦 工業和信息化部 公安部負責人就《關鍵信息基礎設施安全保護條例》答記者問
專家解讀 | 李欲曉:加強關鍵信息基礎設施安全保護的法治基石
專家解讀 | 俞克群:落實關鍵信息基礎設施安全保護制度 筑牢國家網絡安全屏障