《关键信息基础设施安全保护条例》获得国务院第133次常务会议通过,于8月17日正式发布,自2021年9月1日起施行。
《关键信息基础设施安全保护条例》(以下简称“《条例》”)的发布,是国家维护网络安全特别是关键信息基础设施安全工作的又一里程碑。
《条例》不仅确立了关键信息基础设施的认定、明确各方责任,同时规定了运营者的法律责任等内容。
日前,司法部、网信办、工业和信息化部、公安部负责人就《条例》有关问题回答记者提问中表示,出台《条例》旨在落实《中华人民共和国网络安全法》有关要求,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。
关基安全保护已是大势所趋
关键信息基础设施(简称“关基”)安全对于社会经济乃至国家的重要性,怎么说都不为过。 目前关基所面临的安全问题非常严峻,从2010年震网病毒对伊朗核设施造成的破坏到不久前美国燃气管道运营商ColonialPipeline遭勒索病毒攻击被迫停工,针对关基发起的网络攻击所造成的危害自不待言。
目前世界各国都在积极探索制定关基安全保护的机制和政策。
赛迪智库网络安全研究所发布的《我国关键信息基础设施安全保护白皮书》(以下简称“《白皮书》”)指出,目前美、德、英、日等国家通过出台和发布政策、法律、标准等多种措施,构建了国家关键信息基础设施保护体系。
美国最早对关键基础设施领域的相关系统安全进行关注,现已形成较为完善的关键信息基础设施安全政策和战略,且这些政策和战略随着形势变化而逐步调整强化。
美国关键信息基础设施保护法律汇总(来源:赛迪智库)
美国关基安全保护计划将风险管理作为保护工作的基础和指针,将保护范畴、责任者与协作方、目标与措施有机连接在一起,构建了与行业实际相适应的保护体系。《白皮书》指出,该计划具有:根据行业发展和风险点确定保护重点,依据风险特性建立了多层次的保护工作组织体系,依托全风险评估方法,注重有效性衡量,建立了风险管理措施效果指标体系等特点。
欧盟制定了关基保护相关行动计划,并从准备和预防、检测和响应、缓解和恢复、国际合作、关键基础设施标准五个方面提出了保护措施。
此外,俄罗斯在2013年出台《俄联邦关键网络基础设施安全》,日本出台了诸如《关键信息基础设施保护基本政策》等一系列政策法律文件,都对关键信息基础设施安全保护进行了法律规定。
而对于我国关键信息基础设施安全保护而言,《条例》不仅是落实《网络安全法》有关要求,即“关键信息基础设施在网络安全等级保护制度的基础上,实行重点保护”,而且以坚持问题导向、压实责任、做好与相关法律、行政法规的衔接为总体思路,体现了权益和责任的一致。
360集团创始人、董事长周鸿祎表示,《条例》不仅为我国关键信息基础设施安全保护提供了先进的理念,可操作的解决方案,精细的工作指导,其也以《网络安全法》为法律基础,对“关键信息基础设施的运行安全”进行落实、细化和完善,体现了国家顶层设计的通盘考虑。
据360安全专家介绍,对照《网络安全法》的已有规定,《条例》的增改内容中有几大亮点值得关注:一方面,《条例》确立了关键信息基础设施的范畴、认定原则和组织流程,进一步明确了网络安全保护责任制和网络安全检测的常态化;
另一方面,《条例》还十分强调专业性的支撑和保障,在明确各方职责后,通过处罚规定等,重点压实了关键信息基础设施运营者的主体责任,增加了对网络安全从业人员和关键岗位人员的要求。
一场关基合规的“及时雨”
《条例》的正式发布不管是对于关基行业还是网络安全等行业,其带来的影响都是非常深远的。对于网络安全企业而言,《条例》的颁布是重大利好。
360安全专家分析,《条例》重视发挥网络安全服务机构在关基安全保护中的作用。比如关基的运营者“应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估”。其次,《条例》明确规定关键信息基础设施运营者“应当优先采购安全可信的网络产品和服务”,对信创产业也表达了明确支持。
这对于安全厂商,特别是安全技术创新厂商,以及网络安全检测和评估机构,都是利好政策,在这一轮更高规格和要求的合规升级中,享受到政策红利和获得更多机会,在推动我国网络安全产业的自主创新,以及网络安全产业发展方面又进一步提供了新的动力,瑞数信息认为。
而对于相关关基行业企业而言更是责任。
《条例》提出了“国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。”
瑞数信息指出,能源、电信作为关基的重中之重行业,一方面,在关基安全保护工作中无论从使命、社会责任,还是落实具体的关基要求方面都被赋予更高的要求,关基的落实将是一个基础,需要制定更加完备、具体的管理和技术要求,安全运行的保障支持体系,自查自检的风评体系。
另一方面,以其重要性和受到攻击后的影响程度,在面对网络空间的威胁与对抗中,必将面临更复杂和严峻的安全威胁局面,需要应对更新、更多样、更高级的攻击手段。
在关键信息基础设施信息安全防护方面,360已经积累了丰富的安全大数据和攻防实战经验,形成了一套以“作战、对抗、攻防思维”为指导,将安全体系与数字体系融合,攻防能力与管控能力融合的新战法,构建以360安全大脑为核心的新一代安全能力框架,为国家、政府、军队、企业、教育、金融等机构和组织提供网络安全技术、产品和运营服务。
瑞数信息倡导安全防御要从事后向事前转变,从被动防御向主动安全转变。瑞数信息通过自主创新的动态安全技术,和主动安全的防御理念,以及AI智能化技术的加持,在应对关键基础设施和信息系统面临的新兴威胁中,从静态特征分析向智能数据分析转变,实现关口的前移和提前预警,以高效率、底成本、轻维护的特点,提供企业关基重要应用和业务系统的安全防护,为关键基础设施提供更具创新性的网络安全解决方案,以应对日益复杂和严峻的安全威胁局面。
关基保护工作路还很长,未完待续
关键信息基础设施安全保护的春天以来,但针对关基保护的具体工作还有很长的路要走。
赛迪智库在《白皮书》中提出关于提升我国关键信息基础设施安全保护水平的对策建议:一是做好基础性研究,制定科学保护框架;二是增强自主创新能力,推动国产技术研发;三是完善检测预警机制,制定应急响应制度与事后恢复计划;四是完善安全风险评估认证机制,设立关键信息基础设施专项安全防治体系。