日前,《关键信息基础设施安全保护条例》(下称《条例》)正式发布,将于9月1日起正式施行。《条例》建立专门保护制度,明确各方责任,提出保障促进措施,标志着我国网络安全保护进入了以关键信息基础设施安全保护为重点的新阶段。
近期多个部门围绕强化关键信息基础设施安全保护明确下一步重点举措。在业内专家看来,关键信息基础设施安全保护是复杂的社会系统工程,既要强化和落实关键信息基础设施运营者主体责任,同时也要充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
提供强有力法治保障
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,但也面临着严峻复杂的网络安全形势。
“特别是新冠肺炎疫情暴发以来,高级持续性威胁、网络勒索、数据窃取等事件频发,危害经济社会稳定运行。同时网络安全保护工作也存在短板问题,例如,工作基础还不够扎实、资源力量分散、技术产业支撑不够等。”在8月24日举办的国务院政策例行吹风会上,国家网信办副主任盛荣华如是说。
《条例》共六章51条,明确了关键信息基础设施范围和保护工作的原则目标、监督管理体制;完善了关键信息基础设施认定机制;同时明确了运营者的责任义务、保障和促进措施,以及各方面的法律责任。
盛荣华表示,《条例》是近年来国家网络安全和信息化工作成功经验的制度化提升,特别是回应了社会各界对加强关键信息基础设施安全保护的关注和呼吁,将为我国深入开展关键信息基础设施安全保护工作提供有力法治保障。
“网络空间已经成为第五大国家主权空间,没有网络安全,就没有国家安全。”中国工程院院士沈昌祥认为,《条例》明确了等级保护前提下的关键信息基础设施安全保护定位、如何认定、管理保障等落实关键信息基础设施安全保护制度的具体要求。通过法令、条例、制度一定能将关键信息基础设施保护打好扎实的根基,确保我们国家网络安全、主权安全。
沈昌祥进一步指出,要建立科学的网络安全观。正确理解“发展与安全”的关系,既要科学的发展,也要科学的安全防护,要以密码为基因,采取保密存储等安全防御措施,培育系统免疫能力。要构建安全可信的体系框架,基于等级保护2.0的安全保障体系要求,加强关键信息基础设施安全保护要求,构建安全可信的保障体系架构。同时,解决保卫、保护、保障问题,通过层层管控,保证系统“不能被攻击进去,进去以后拿不到数据,拿到以后看不懂信息”,这样的系统才是国家建立的主动免疫的防护体系,确保国家网络空间的安全。
多部门部署下一步实施举措
《条例》将于9月1日起正式实施。日前,多部门相关负责人围绕强化关键信息基础设施安全保护集中发声,围绕制定和完善法规制度和标准规范、增强安全技术创新、做强网络安全产业等方面明确下一步重点举措。
国家网信办表示,将牵头会同有关部门,抓紧制定和完善关键信息基础设施安全法规制度和标准规范。同时,建立健全网络安全信息共享机制,加强网络安全服务机构建设和管理,推动形成人才培养、技术创新、产业发展的良性生态。
工信部表示,将强化网络安全产业支撑,开展网络安全技术应用试点示范,支持面向关键信息基础设施的安全技术创新应用,提升网络安全产品和服务供给水平,举办多层次网络安全技能竞赛,强化人才队伍支撑保障。
在业内看来,做好网络安全和业务发展的统筹协调至关重要。中国科学院院士冯登国认为,关键信息基础设施是支撑国民经济运行和社会发展的重要设施,承载着信息化业务,敏感性强、社会关注度高,需要创造有利于业务发展的网络安全环境,确保安全措施与基础设施同步规划,同步实施,同步运行,保证关键信息基础设施全生命周期安全。
凝聚各方力量做好落地实施
在专家看来,关键信息基础设施安全保护是复杂的社会系统工程,需要凝聚政产研用各方力量,不断探索。
日前,关键信息基础设施安全保护联盟(筹)(下称“联盟”)在京成立,该联盟由公安部第一研究所、公安部第三研究所、国家工业信息安全发展研究中心、路云天网络安全研究院等多个单位共同发起成立,旨在联合主管部门、运营者、教育、科研机构各方力量,更好地支撑关键信息基础设施安全保护要求落地实施。
公安部网络安全保卫局副局长、一级巡视员郭启全表示,要将与关键信息基础设施相关的重要社会力量,包括国家网信部门、公安部门、重要行业部门,专家学者,特别是院士,企业、研究机构和高校等充分调动和凝聚起来,形成保护关键信息基础设施的网络安全的合力。同时,在主管部门的统筹协调下,做好关键信息基础设施安全保护制度与等级保护、数据安全保护等重要制度的配合衔接。
“我国的关键信息基础设施安全保护工作任重而道远,联盟需要充分发挥专业社团的优势,为推进我国网络安全产业良性发展,提升关键信息基础设施安全能力和水平,保护国家安全与经济社会发展发挥重要作用。”联盟理事长单位代表、公安部第三研究所所长黄胜华表示,下一步将构建协作机制,充分发挥各成员单位在网络安全威胁、漏洞、事件等信息汇总、研判、共享、发布等方面的优势,建立网络安全信息共享机制。
联盟秘书长、路云天网络安全研究院院长黄一玲表示,将进一步开展交流协作,为产学研用单位提供交流协作平台;聚焦关键信息基础设施安全保护重点难点热点问题研究;交流分享保护单位的实战化经验和最佳实践;建立关键信息基础设施安全保护多维高效合作机制。同时,将进一步促进产业发展,在主管部门的指导下,开展法规、政策、标准等方面的研究;形成联盟标准建议;推动最佳实践的试点和应用;推进人才合作培养。
值得一提的是,提升技术创新能力对于强化关键信息基础设施安全保护至关重要。冯登国认为,下一步应当提升关键信息基础设施安全防护能力,加强可信计算、数据保护、态势感知、威胁情报等技术防护措施,通过重点防护及时发现安全预警,开展应急响应工作,实现网络安全动态防御和纵深防御。同时,加强新技术、新应用的网络安全保障。针对大数据、云计算、物联网、车联网、移动互联网、区块链等新兴信息化业态和应用模式开展网络安全关键技术研发和应用,打造自主创新的关键信息基础设施安全防护体系。
联盟也将进一步强化成员单位的合作创新。黄一玲表示,将积极促进新技术、新方法、新模式的验证和应用,推动技术联合攻关,引导技术创新。
黄胜华说,下一步联盟将强化协同创新,剖析关键信息基础设施面临的网络安全问题和挑战,共同研究和推广安全可信的网络产品和服务。
(责任编辑:佟明彪)