俞克群:落实关键信息基础设施安全保护制度 筑牢国家网络安全屏障
关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,保护关键信息基础设施安全是国家网络安全工作的重中之重。出台实施《关键信息基础设施安全保护条例》(以下简称《条例》)是完善我国网络空间治理,强化关键信息基础设施安全保护,维护国家安全和发展利益的应时应势之举,意义重大,影响深远。
一、关键信息基础设施安全是网络安全的重中之重
习近平总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标......我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”习近平总书记的重要指示为我们开展关键信息基础设施安全保护工作指明了方向。
世界各国高度重视关键信息基础设施安全,美欧等通过立法或发布政策文件将关键基础设施安全的网络安全保护提升到国家安全战略层面。围绕关键信息基础设施安全的网络攻防已成为国家间战略博弈的重要领域和网络空间高强度对抗的主战场。
我国2017年正式实施的网络安全法明确就关键信息基础设施运行安全提出要求。《条例》的出台实施,是践行习近平总书记关于网络强国的重要思想,贯彻党中央、国务院重大决策部署的重要举措,是落实网络安全法有关要求,完善我国关键信息基础设施安全保护工作的法治保障,也是网络空间领域贯彻总体国家安全观,应对当前国际形势新变局,维护网络空间主权安全的应有之义。
二、《条例》的出台实施,为开展关键信息基础设施安全保护工作提供了基本遵循
《条例》作为依据网络安全法制定的行政法规,是对网络安全法关于关键信息基础设施运行安全相关规定的落实和细化,促进了我国关键信息基础设施安全保护的法律法规体系构建完善。
(一)明确关键信息基础设施安全保护工作的对象和关键流程。《条例》对关键信息基础设施的概念和范围作出了明确界定。同时,还对关键信息基础设施认定和变更、运营者设置专门安全管理机构、网络安全事件和威胁报告等关键环节设置了流程化、规范化的要求指引。
(二)明确国家对关键信息基础设施的重点保护、保障和促进措施。《条例》确立了“综合协调、分工负责、依法保护”的工作原则,明确了国家网信部门、国务院公安部门、保护工作部门、地方政府的职责分工,形成监管保护合力;另一方面,《条例》提出了围绕关键信息基础设施的信息共享、监测预警、应急处置、检查检测、军地协同等保护保障措施,以及专业人才培养、技术创新和产业发展、网络安全服务机构建设管理等促进措施,体现了国家对关键信息基础设施实行重点保护的意志和决心;此外,《条例》还作出特别规定,禁止非法侵入、干扰、破坏关键信息基础设施,任何组织和个人一旦实施危害关键信息基础设施安全的行为将面临法律法规的严惩。
(三)明确关键信息基础设施运营者的责任义务。《条例》重点压实了关键信息基础设施运营者(以下简称“运营者”)的主体责任,从安全保护措施、建立健全保护制度和责任制、设置专门安全管理机构、经费和人员投入、检测评估、网络安全事件及威胁报告、网络产品和服务采购等多个层面提出了明确要求,构建了开展关键信息基础设施安全保护工作的长效机制。
三、落实《条例》要求,提升关键信息基础设施安全保护能力水平的几点思考
一是强化意识,深刻认识关键信息基础设施安全保护工作的重要性。从事关键信息基础设施运营和保护工作的单位和个人应充分意识到,做好关键信息基础设施安全保护工作不仅事关自身系统安全和业务稳定运行,更关乎国计民生,要深刻认识到确保关键信息基础设施安全的极端重要性,站立高位、保持清醒、敢于担当、勇于作为,以国家网络安全为己任,严格落实相关法律、政策、制度的要求。
二是明晰底数,精准掌握关键信息基础设施安全运行情况。掌握关键信息基础设施安全运行的网络和数据资产信息,是国家主管监管部门和保护工作部门开展指导监督工作的重要前提;对于运营者而言,更是落实主体责任,加强防护工作的必要手段。一方面,应全面梳理关键信息基础设施网络产品和服务情况,在掌握关键信息基础设施网络资产的基础上,进一步梳理组件级的型号信息、配置设置信息等,支撑供应链网络攻击发生后的快速定位和准确研判。另一方面,应厘清关键信息基础设施承载的数据资产,梳理数据采集、加工、传输情况,分析数据流动条件和路径。此外,对于涉及控制类系统的关键信息基础设施,应在上述措施基础上,重点加强分析识别,最大限度地掌握触发或可能触发控制动作的协议、指令情况,以及可能触及核心控制设备、系统的数据流及具有操作权限的人员情况。
三是提升能力,全面加强关键信息基础设施安全防护。运营者应重点从脆弱性和风险隐患自查自纠、安全事件和威胁分析研判、极端极限情况下关键信息基础设施的持续稳定运行等能力入手,加强相应的手段建设,逐步培养网络安全专业人才队伍,注重防护措施有效性的检验评价,强化网络安全防护持续运营理念;对于网络安全学术界、企业、研究机构而言,应针对关键信息基础设施的特殊性、重要性,以风险识别、评估、防范、化解为关注重点,从理论、方法、技术多个层面加强研发攻关,为关键信息基础设施安全防护提供技术支撑。
四是全面贯通,合力推动关键信息基础设施安全保护工作。一方面,《条例》中的信息共享、监测预警、应急处置、检查检测等措施需要各有关部门进一步体系化、制度化、常态化推动完善;另一方面,《条例》中对运营者“采购网络产品和服务可能影响国家安全的”情况的相关要求与国家网络安全审查制度一脉相承,运营者应在落实网络安全审查、保障关键信息基础设施供应链安全的工作过程中进一步提升主动性。
落实关键信息基础设施保护制度,需要政、产、学、研、用各个层面的通力合作,社会各界应强化认识、找准定位、贡献力量,共同筑牢国家网络安全屏障,进而为维护国家安全、经济发展和社会稳定提供坚实支撑。
