强化我国关键信息基础设施保护走实向深
近年来,信息与通信技术快速发展,网络空间与经济社会发展,人民生活以及社会治理等各方面深度融合,对社会生产活动方式产生巨大冲击与变革,推动经济发展,技术创新,文化繁荣与社会进步,但网络安全特别是关键信息基础设施网络安全也日趋严重。关键信息基础设施(关键基础设施)作为经济和社会运行的神经中枢在网络安全中处于首要地位。确保关键信息基础设施安全对捍卫国家网络空间主权与国家安全,确保经济社会健康发展,维护公共利益与公民合法权益等方面均有重要意义。
美国,欧盟,俄罗斯等发达国家都在不断地对关键信息基础设施保护相关规定进行调整与完善,以此来应对日益严峻的网络安全威胁问题。俄罗斯于2017年出台《联邦关键信息基础设施安全法》,旨在确保关键信息基础设施受到网络攻击后能够平稳运行。
2021年拜登发布国家安全备忘录,加快美国关键基础设施网络安全升级步伐,当年欧盟委员会力推《欧盟量子通信基础设施计划》,在欧洲范围内提供了可靠,安全,经济的连接服务。我国早已经将网络安全提升到了国家战略层面。《关键信息基础设施安全保护条例》由国务院于2021年8月7日发布,9月1日起实施。
《条例》针对关键信息基础设施运营者的一系列安全要求是法定义务,引起业界各方高度关注。《条例》施行1年来,网络安全保护意识、能力水平都有切实提高。
近年来,全球范围内针对关键信息基础设施的攻击呈快速增长趋势。
2019年,委内瑞拉国家电网干线遭到攻击,造成全国大面积停电;2021年科洛尼尔管道运输公司遭遇网络攻击,致使美国多州进入紧急状态,美国国家运输安全管理局因此颁布了首部针对管道行业的强制性网络安全指令,以替代先前的自愿性指导文件;2022年俄乌战争期间,乌克兰的黑客支持者对白俄罗斯铁路网络进行攻击,导致正常的铁路调度无法完成。针对关键信息基础设施的网络攻防对抗已成为常态。
《条例》是贯彻落实习近平总书记关于网络强国重要思想的具体措施,也是近年来国家网络安全和信息化工作成功经验的制度化提升,为我国深入开展关键信息基础设施安全保护工作提供了有力法治保障,为应对网络安全严峻形势提出了解决方案。
在运营者,保护工作部门,各主管监管部门和国家4个层次上,对各角色在关键信息基础设施保护中的责任义务进行界定。首先,明确运营者主体责任。明确运营者安全防护“三同步”,网络安全防护制度与责任制,安全检测评估需求,网络安全审查需求与重大威胁应对;;其次,强调产业与国家层面保障推进。
提出保护工作部门和主管监管部门的具体保护要求,确定网络安全信息共享,监测预警制度,应急处置,定期检查整改和能源电信优先保障,强调关键信息基础设施的安全防护措施“重点“;明确构建“上下结合,左右逢源”管理体系。着重指出安全保护遵循“综合协调,分工负责,依法保护”的原则,涵盖“引导,合作,支持,帮助,通报”等需各层次协同完成的任务,涵盖认定规则与结果确定,人员安全背景审查,网络安全信息共享,检查检测等内容,部门职责更明晰,工作流程更明晰,保护措施可操作性更强,并对引导部门做好相关工作给出了更清晰的规划。
关键信息基础设施安全保障能力有待提升
针对我国关键信息基础设施的网络攻击呈现脆弱资产靶向定位、网络边界高效突破、社工利用广范围覆盖、高持续性威胁潜伏漫游、特定靶标精准打击等特征,传统基于边界防护的分散化、独立化的防护体系,已难以应对日益增长的针对我国关键信息基础设施的大规模网络攻击。需要“动态-持续-全局-协同”的智能化关键信息基础设施保护体系,实现安全感知、认知、控制和协同能力的跃升,提升极限情况下关键信息基础设施网络攻击应对能力。
行业保护措施体系性仍显不足,缺乏最佳实践指导关键信息基础设施安全保护典型行业最佳实践有待优化
关键信息基础设施保护工作目前仍处于起步和探索阶段,各行业在实施网络安全保护方面缺乏相关具体实践。在关键信息基础设施认定方面,《条例》界定的关键信息基础设施涉及行业领域众多,运行状态、防护需求各异,相关行业认定规则和操作标准有待出台,企业对关键信息基础设施边界识别能力有待提升。由于缺乏有效的行业配套政策指导文件,实施过程中容易出现运营者对要求认知不够、理解不一,工作落实不到位等问题。
关键信息基础设施运营者政策落实仍不到位
《条例》中明确关键信息基础设施运营者在关键信息基础设施安全保护中承担主体责任,但运营者在积极响应新出台的政策法规时,其安全团队和管理机构能力尚不满足关键信息基础设施保护工作需要。一方面,当前运营者主要依赖于等保、密评等现有网络安全管理体系的相关实践安全机制,缺乏对关键信息基础设施协同规划、建设、使用的全生命周期联动研究。
另一方面,多数运营者尚不具备对关键信息基础设施核心技术元件的充分自主可控能力,供应链、产业链安全仍是制约多数关键信息基础设施安全发展的重要因素,客观上增大了安全防护的难度,运营者所处信息化发展阶段尚不足以满足关键信息基础设施“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的安全需求。
图文来源:转载网络
转载目的在于传递更多信息,如有侵权,请联系删除。
