开启关键信息基础设施安全保护新阶段

中国信息通信研究院 余晓晖

2021年7月30日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式公布,标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。作为网络安全法的重要配套立法,《条例》积极应对国内外网络安全保护的主要问题和发展趋势,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。

一、关键信息基础设施安全保护立法是各国网络安全战略重要一环

(一)全球网络安全局势复杂严峻对各国关键信息基础设施安全防护提出新挑战。近期,多国基础设施和重要信息系统遭受网络攻击,引发全球震荡,对国家安全稳定造成巨大风险。特别是2021年,美国最大的燃油管道运营商、全球最大的肉类加工企业均因黑客攻击而停摆,导致影响国家乃至全球经济运行的基础设施受损,对全产业链产生连锁影响,也引发了全球关于加强关键信息基础设施安全保护的思考。近期,世界主要国家和地区均强化关键基础设施安全防护。美国不仅大幅增加关键基础设施网络安全方面的资金投入,而且提出多部强化关键基础设施网络安全、预防勒索软件攻击等方面的法案和官方指南。欧盟也在《欧盟安全联盟战略》中将提升关键基础设施的保护和恢复能力作为未来五年网络安全工作的重中之重。

(二)世界主要国家和地区将关键基础设施立法作为网络安全立法中最为关键的环节。美欧在关键基础设施立法方面起步较早,美国早在2001年即颁布了《2001年关键基础设施保护法》,之后相继出台《改进关键基础设施网络安全行政令》《增强联邦政府网络与关键基础设施网络安全行政令》等相关立法。随着网络安全形势的日益严峻,美国积极调整网络安全保护战略,近期发布了《2021年临时国家安全战略方针》《2021年关于加强国家网络安全的行政命令》等相关政策。欧盟出台了《2008年欧盟关键基础设施认定和安全评估指令》《2016年网络与信息安全指令》等多部关键基础设施保护相关立法。俄罗斯2017年颁布了《联邦关键信息基础设施安全法》,澳大利亚2018年颁布了《关键基础设施安全法》。此外,英国、德国、日本等国也出台了关键基础设施保护的相关立法和政策。

(三)我国网络安全法强调对关键信息基础设施适用更高水平保护。我国2016年出台的网络安全法在明确国家网络安全基本制度体系的基础上,对于关键信息基础设施规定了更高水平的安全防护要求。网络安全法规定对关键信息基础设施实行重点保护,并在第三章“网络运行安全”中单设一节对关键信息基础设施安全保护进行专门规定。针对关键信息基础设施安全保护工作中涉及的技术措施、人员机制、数据安全、风险评估等安全管理举措提出更高要求,并强调通过配套立法进一步完善关键信息基础设施安全保护制度,突出了关键信息基础设施在国家整体网络安全制度体系中的重要地位。

二、《条例》确立了我国关键信息基础设施安全保护的具体制度要求

网络安全法对关键信息基础设施安全保护制度相关实施对象、责任主体、工作内容等进行了总体性规定,《条例》作为网络安全法重要配套法规,立足工作落实,界定了适用范围、监管主体、评估对象等关键信息基础设施安全保护相关系列基本要素,提出了安全保护要求和安全保障措施,确保对象具体、权责清晰、任务明确,为安全保护工作开展提供系统指引和工作遵循。

(一)确定保护对象范围。《条例》第二条给出了关键信息基础设施明确定义,第九条提出了保护工作部门制定识别认定规则的重点考虑因素,确定了由保护工作部门负责制定本行业、本领域关键信息基础设施认定规则及清单。认定规则及清单的形成过程一方面须立足实际,充分结合本行业、本领域业务特性和重要性,在量化指标参数的基础上实现清单范围的准确界定;另一方面,清单应当伴随国家网络安全和信息化发展,实现动态调整更新。

(二)明确监管职责分工。为保障关键信息基础设施安全保护工作顺利开展,《条例》设置了科学严谨的监督管理工作机制。在国家层面,国家网信部门负责统筹协调,国务院公安部门负责指导监督,国务院电信主管部门和其他有关部门负责行业关键信息基础设施安全保护和监督管理工作;在地方层面,由省级人民政府有关部门负责关键信息基础设施安全保护和监督管理工作。既有效保障了关键信息基础设施安全保护工作统一有序、协同推进,又能充分发挥具体行业部门的专业优势,提升关键信息基础设施安全保护力度。

(三)强化安全主体责任。《条例》强调关键信息基础设施运营者(以下简称运营者)在关键信息基础设施安全保护中承担主体责任,并对于运营者自身安全管理机制的设置进行了严格要求。一是强调主要负责人责任,明确运营者的主要负责人对关键信息基础设施的安全保护负责。二是要求设立专门的安全管理机构,具体负责本单位关键信息基础设施的安全保护工作。三是对关键岗位人员实施安全背景审查,其中包括运营者专门安全管理机构的负责人及其认定的关键岗位人员。四是保障专门安全管理机构运行,为本单位专门安全管理机构提供经费和专业人员保障。

(四)细化安全保护要求。《条例》强化关键信息基础设施的安全保护,在网络安全法的基础上对运营者提出了更高的安全防护要求。一是落实“三同步”要求,要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用,关键信息基础设施自列入关基清单之日起,在设计建设(改扩建)、运行维护、应急恢复、停用废弃各阶段,应确保落实覆盖全生命周期的安全保护。二是开展定期安全检测和风险评估,运营者须每年至少进行一次网络安全检测和风险评估,可以自行或委托网络安全服务机构进行。三是履行安全事件和威胁报告义务,在发生重大网络安全事件或发现重大网络安全威胁时,运营者应当向相关部门报告。四是落实网络安全审查要求,运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定进行安全审查。五是强化监测预警和信息共享,《条例》提出建立健全关键信息基础设施网络安全监测预警制度,准确把握关键信息基础设施运行状况,促进网络安全信息共享。

(五)强化重点安全保障。一是针对关键信息基础设施实施的漏洞探测、渗透测试等活动,应得到国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权。对基础电信网络实施漏洞探测、渗透测试等活动,应当事先向国务院电信主管部门报告。二是能源、电信行业为金融、水利和交通等行业关键信息基础设施稳定运行提供重要支撑及资源保障,基础电信网络还具有基础性、全局性,承载着其他关键信息基础设施。国家将采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业将为其他行业和领域的关键信息基础设施安全运行提供重点保障。

三、关键信息基础设施安全保护工作新阶段的思考

(一)完善配套标准规范体系。一是围绕关键信息基础设施共性安全需求和基线安全要求,加快制定出台国家标准。二是保护工作部门聚焦行业实际和特点,深入推进行业关键信息基础设施标准建设,并组织实施。三是围绕运营者责任义务、信息共享模式、协同处置机制、安全防护能力认定等关键方面开展管理机制深入研究。

(二)深化行业监管职责落实。一是指导监督行业运营者落实安全主体责任,扎实做好网络安全威胁监测与处置、网络安全审查等关键信息基础设施安全保护相关工作。二是完善监督检查机制,加强行业关键信息基础设施安全防护检查与风险评估。三是构建完善应急保障体系,建立态势感知、应急指挥等技术支撑手段,组织开展场景式、专题化、联合型应急演练,打造专家队伍。

(三)加强新技术新模式应用示范。一是强化创新发展研究,积极利用云计算、大数据、人工智能等新技术提升关键信息基础设施网络安全能力。二是建立创新激励机制,深化网络安全先进技术创新应用和试点示范,汇聚网络安全产业力量,强化面向关键信息基础设施的网络安全能力供给。三是开展关键信息基础设施网络安全能力评估与持续优化,客观评定网络安全能力水平。科学选择安全能力提升方向。