关键信息基础设施的安全,已是国家网络安全的重要方面,《网络安全法》《数据安全法》均对关键信息基础设施安全作出专门规定。2021年9月1日施行的《关键信息基础设施安全保护条例》(以下简称《条例》),作为专门指导做好我国关键信息基础设施网络安全工作的重要行政法规,既体现出与《网络安全法》《数据安全法》的一脉相承,又进一步专门针对关键信息基础设施安全作出具体指导,明确提出重点保护的具体要求。

作为关键信息基础设施网络安全保护的基础工作,《条例》围绕关键信息基础设施信息共享、监测预警、应急处置工作提出了具体要求,体现出对关键信息基础设施“事前、事中、事后”的全生命周期保护思路。本文主要从关键信息基础设施网络安全监测预警、应急处置工作出发,谈谈对《条例》的认识。

一、《条例》明确了关键信息基础设施网络安全监测预警、应急响应体系

目前,我国关键信息基础设施依然面临较为严重的网络安全风险和隐患。据国家计算机网络应急技术处理协调中心(CNCERT)监测发现,2020年全年,APT组织利用社会热点、供应链攻击等方式持续对我国重要行业实施攻击,部分APT组织网络攻击工具长期潜伏在我国重要机构设备中。新冠肺炎疫情发生以来,涉及医疗卫生的关键信息基础设施也成为攻击者的重要攻击对象。此外,2020年,国家信息安全漏洞共享平台(CNVD)收录安全漏洞数量同比增长27.9%,开展重大突发漏洞事件应急响应工作36次,验证和通报我国重要行业单位信息系统相关漏洞事件3.1万起。

习近平总书记指出:“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险,正所谓‘聪者听于无声,明者见于未形’。感知网络安全态势是最基本最基础的工作。”作为网络安全工作的重要组成部分,监测预警工作是及时感知发现网络安全风险隐患、开展处置应对的重要环节。《网络安全法》《数据安全法》均通过相应条款,对监测预警与信息通报作出规定。《网络安全法》第五十二条规定,“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。”《数据安全法》第二十二条也强调国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。

《条例》在关键信息基础设施网络安全监测预警方面,也体现了与《网络安全法》《数据安全法》相统一的体系化监测预警防护思路。《条例》第三条明确了国家各部门职责,第五条指出“国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁”。第十五条规定运营者负责网络安全防护能力建设,开展网络安全监测。第二十四条明确了行业、领域的保护工作部门要建立本行业、本领域的监测预警制度。《条例》从国家、行业主管监管部门、运营者三个层面,对国家有关部门、国家行业主管监管部门,以及关键信息基础设施运营者在网络安全防护工作中的职责进行了明确规定。明确了由国家网信部门统筹协调,国务院公安部门指导监督,行业主管监管部门负责关键信息基础设施安全保护和监督管理工作,制定本行业、本领域关键信息基础设施安全规划,明确保护目标、要求、任务和具体措施;关键信息基础设施运营者落实安全责任,建立健全关键信息基础设施网络安全监测预警与信息通报制度和措施。

二、《条例》规定建立关键信息基础设施网络安全信息共享机制

《网络安全法》第五十一条规定,“国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息”。《条例》第二十三条规定,“国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。”

当前,国家网信部门已建立同中央和国家机关各部委、各人民团体、各省(自治区、直辖市)和新疆生产建设兵团、部分中央企业的网络安全信息通报、报告机制。通过该机制,国家网信部门组织网络安全机构、安全企业共享网络安全威胁、漏洞、事件等信息;组织相关单位、技术机构、网络安全企业等进行研判;向各有关单位通报网络安全事件、风险;有关单位报送网络安全风险和事件信息,反馈对国家网信部门通报的网络安全风险和事件的防范应对情况。网络安全信息通报、报告和信息共享机制作为国家网络安全保障体系的重要组成部分,在协调、整合各方资源力量,实现网络安全主动防范、应急处置等方面发挥了重要作用。

在国家关键信息基础设施网络安全信息共享工作中,《条例》要求建立关键信息基础设施网络安全信息共享机制,明确国家网信部门发挥统筹协调作用,统筹协调有关部门开展关键信息基础设施领域网络安全信息收集、分析、通报,发布关键信息基础设施网络安全预警信息。同时,《条例》还体现了网络安全服务机构等社会各方积极参与网络安全工作的思想,明确了政府、行业、网络安全服务机构网络安全威胁信息、漏洞的共享要求,共同保护关键信息基础设施安全。

三、《条例》明确关键信息基础设施网络安全应急处置机制

在关键信息基础设施网络安全应急处置工作方面,《条例》第二十五条要求,“保护工作部门应当按照国家网络安全事件应急预案的要求,建立健全本行业、本领域的网络安全事件应急预案,定期组织应急演练;指导运营者做好网络安全事件应对处置,并根据需要组织提供技术支持与协助”。其中,《条例》明确指出的“国家网络安全事件应急预案”,是指2017年1月印发的《国家网络安全事件应急预案》。该预案明确了中央和国家各部门、各地区在网络安全事件预防、监测、预警、应急处置中的职责,是国家网络安全事件应急预案体系的总纲,为各级部门制定相关网络安全应急预案提供了指导和参照。国家关键信息基础设施网络安全应急处置也将作为整体网络安全应急工作的一部分,纳入到国家网络安全应急协作机制开展工作。

一是建立健全关键信息基础设施网络安全应急预案体系。作为监测预警后的重要环节,应急处置工作将对关键信息基础设施网络安全产生直接影响。国家网信部门统筹协调保护工作部门,根据《条例》要求,建立健全本行业、本领域的网络安全事件应急预案。运营者应按照国家和行业网络安全应急预案,制定本单位应急预案。作为国家网络安全事件应急预案体系的一部分,行业、领域及运营者的网络安全事件应急预案既是对整体国家预案体系的细化与落实,同时也将在事件分级上与《国家网络安全事件应急预案》保持一致,在事件报告、指挥机构、处置流程上与《国家网络安全事件应急预案》有效衔接,从而形成国家关键信息基础设施网络安全事件应急预案体系。

二是明确关键信息基础设施网络安全应急职责。《国家网络安全事件应急预案》规定,国家网信部门负责统筹协调国家网络安全事件应对工作,指导协调跨部门、跨地区应急工作。国务院电信主管部门、公安部门、保密部门按职责分工负责相关网络安全事件应对工作。《条例》对保护工作部门、运营者分别承担网络安全应急职责进行了明确规定。其中,保护工作部门负责指导本行业、本领域运营者做好网络安全事件应对处置,并组织提供技术支持协助,运营者负责应急处置网络安全事件。发生网络安全事件后,将根据关键信息基础设施网络安全事件的级别启动不同级别的应急响应流程进行组织应对,尽可能快速、高效跟踪、处置与防范,确保网络信息安全。

《条例》为我国关键信息基础设施安全保护工作提供了科学指引,随着《条例》的正式实施,我国关键信息基础设施安全保护工作将进入新的发展阶段。作为关键信息基础设施保护的重要工作内容,监测预警、应急响应在整体安全保护工作中的作用也将进一步显现。落实关键信息基础设施保护制度,做好关键信息基础设施监测预警、应急响应工作应成为关键信息基础设施有关部门、保护工作部门、运营者与全社会的共识。相信在各方共同协作努力下,我国关键信息基础设施网络安全屏障将日益坚固,持续为经济社会发展提供更加坚实有力的支撑。(作者:丁丽,国家计算机网络应急技术处理协调中心)