肖新光委员:开创关键信息基础设施网络安全保护新局面

时间 :  2021年08月30日  来源:  小神童论坛网


        8月17日,根据中华人民共和国第745号国务院令,《关键信息基础设施安全保护条例》(以下简称《条例》)已获得通过,并自2021年9月1日起施行,这也预示了我国关键信息基础设施网络安全保护将进入新的阶段。

        关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施与信息系统等。随着我国网络强国战略的不断推进,以能源互联网、工业互联网、城市大脑等为代表的关键信息基础设施,已成为数字化时代国家经济发展的新底座。由于其蕴含的巨大价值,带有各种背景的高级网空威胁行为体已将我国关键信息基础设施作为首选攻击目标,并长期持续隐蔽地对关键信息基础设施进行网络入侵、渗透等,形成深度威胁。

        必须认识到,以关键信息基础设施为底座的数字经济具有对信息化技术的全链依赖,具有牵一发而动全身的连锁风险效应。而针对关键信息基础设施的网络安全威胁特别是高级威胁,又往往具有一定的隐蔽属性。在平时,更多风险是被攻击者入侵渗透、埋设恶意代码、实现持久化信息获取和远程控制能力,而一旦进入到高烈度对抗的风险条件下,则迅速将隐蔽控制转化为物理空间影响。这种持续对抗特性,使得关键信息基础设备网络安全平时深藏于水面之下,难以形成对攻击存在性和危害性的显性认知,进而导致网络安全不被重视的状态,但一旦产生危害,则发于瞬间而波及全局,无法作出及时有效的应对,进而连锁引发重大的灾难性影响。

        关键信息基础设施是国家战略性基础设施,是国家经济发展、社会繁荣和国家安全的重要基础,筑牢关键信息基础设施的网络安全防线至关重要。在这样的背景下,《条例》应运而生非常及时和必要。《条例》不仅确定了关键信息基础设施的定义,明确了保护范围,明确了相关责任和监管机制,也提出了安全保障措施等。可以说,《条例》是我国推进网络安全法治工作的重要成果,将为我国加强关键信息基础设施的网络安全保护工作提供有力抓手和法治保障,是新形势下国家面向重大战略风险挑战的强基固本之举。

        可以看到,《条例》将关键信息基础设施界定为“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。此前讨论版本中,对关键信息基础设施的定义是清单化的,而发布版则从风险后果的视角,清晰界定了关键信息基础设施的范畴,这体现了关键信息基础设施安全的重大价值与战略地位。

        这一修订,确保了关键信息基础设施安全随风险动态变化的战略弹性与调整空间,打破了惯性沿袭,及时按照新的发展目标和新的风险挑战,因时而变、因需而变。与此同时,由风险的重大性和后果的严重性出发,明确提出与防范重大风险与严重后果强关联的防护水平要求,进而规定了为构建所要求的防护水平,具体对应的各种安全投入。

        由于关键信息基础设施的战略性和全局性,全方位实施保护,还需要统筹资源和力量。《条例》的颁布,使得关键信息基础设施安全问题不再只是单纯的建设运营机构自身安全防护问题,其建构在关键信息基础设施安全与国家安全、社会安全、政企机构安全以及个人安全等4个层面相关的维度形成了需求导向和指引。

        《条例》不仅规范了关键信息基础设施安全防护工作中涉及的国家主管部门、保护工作部门、运营者、网络安全服务机构等相关方的责任义务规定、保障促进要求以及法律责任约束等,同时全面覆盖了相关工作主体和工作环节。其中《条例》特别突出了运营者的主体职责,明确了网络安全防护工作的管理、编制和经费保障;同时对运营者安全防护能力的规划设计、建设实施及持续运行,对行业、领域保护工作部门制定安全规划、实施指南,以及对安全服务机构供给动态综合安全防御框架及配套方法工具,也均提出更高要求。

        此外《条例》还明确了“三同步”建设原则的落地执行,深化了对体系化安全防护能力建设、常态化安全监测与检测以及风险后果视角分析评估等方面的技术需求;进一步驱动提升业内整体威胁分析以及威胁情报运营能力,释放行业、领域安全态势与通报预警类平台建设需求,拉动端点统一安全管理和响应、欺骗式防御、流量监测与响应等安全服务的采购需求。

        总之,《条例》的颁布,必将对我国网络安全综合能力的持续提升起到全面促进作用。

(作者系全国政协委员、中国网络安全产业联盟理事长、小神童论坛网科技集团董事长)