现代社会的正常、有序、稳定运行离不开金融、能源、交通、通信、水利以及城市供水、供热、供气、城市轨道交通等行业中基础设施的支撑,这些基础设施已成为社会赖以生存发展的一般物质条件。随着信息技术的不断发展,自动化、信息化、智能化的基础设施成为关键信息基础设施,是网络空间的重要组成部分和战略要地。关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。可以说,保障关键信息基础设施安全,就是保卫国家网络空间安全。
关键信息基础设施安全事关国家网络空间安全
2021年7月30日,《关键信息基础设施安全保护条例》(以下简称《条例》)正式发布。按照《条例》的定义,关键信息基础设施是指:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。从定义上来看,关键信息基础设施一旦出现网络安全问题,将严重危害国家安全、国计民生、公共利益。具体体现在以下四个方面:
一是一旦发生网络安全事件,可能危害国家数据安全。关键信息基础设施作为各个重点行业重要支撑设施,不可避免地存储有各个行业的重要数据,以及大量的个人敏感信息。一旦出现网络安全事件,可能会导致重要数据及大量个人信息的泄露。
二是一旦发生网络安全事件,可能导致人民群众生产生活不可或缺的产品和服务提供中断。公共通信和信息服务、能源、交通、金融等行业的关键信息基础设施为人民群众提供电、油等基础性产品,以及通信、出行、电子交易等基础性服务。一旦出现网络安全问题,可能会导致这些产品和服务的提供中断或者短缺。
三是一旦发生网络安全事件,可能对物理世界造成破坏。能源、交通、水利等行业的关键信息基础设施发生网络安全问题后,有可能对物理世界造成破坏,如造成交通事故、油气泄漏、大面积内涝等破坏。
四是一旦发生网络安全事件,可能影响国家网络空间主权。金融、公共服务、电子政务等领域关键信息基础设施一旦发生网络安全问题,可能影响国家正常的金融秩序,影响国家为人民群众提供服务,影响国家的政令畅通等。
保障关键信息基础设施安全重点工作
《条例》中明确了监督管理体制、运营者责任义务、保障和促进措施、法律责任等,要求建立关键信息基础设施备案管理制度、信息报告制度、产品和服务采购管理制度、检查工作制度、监测预警制度、应急处置制度等。从保护关键信息基础设施的实际看,下一步应落实好《条例》规定的各项制度,重点从四个方面发力。
1.重点改善关键信息基础设施的供应链安全
关键信息基础设施的功能复杂、结构各异、组成多样,其中应用的网络产品和服务多样,供应链遍布全球,不仅要面对生产过程中引入的缺陷、漏洞等,还有因政治、经济、贸易导致断供风险。
面对这些风险,关键信息基础设施运营者应严把采购关,在采购时应对网络产品和服务进行安全风险评估,重点评估关键信息基础设施被非法控制、遭受干扰或破坏的风险;重要数据被窃取、泄露、毁损的风险;供应中断的风险;政治、外交、贸易等风险;提供者违法违纪风险等。一旦出现影响或者可能影响国家安全的风险时,及时按照国家有关规定申报网络安全审查。
2.全力做好关键信息基础设施的风险预警
多数关键信息基础设施在线运行,时刻面临来自不同方面的威胁。目前,国家层面上建立的监测预警机制更多地是从监管方面考虑,以通报为主,实时性不强,且针对性不足。
建议在行业层面上,建立以关键信息基础设施运营者为主体,服务于关键信息基础设施的风险预警机制,有助于迅速准确地通知关键信息基础设施运营者快速采取有针对性的措施规避风险。同时,还应该建立与传统安全领域一样的风险预警机制,一旦出现可能影响物理世界的安全风险时,及时通知相关应急主体开展工作。
3.着重提升关键信息基础设施的安全弹性
关键信息基础设施的一个主要特点是为社会经济稳定运行、人民群众的正常生活提供支撑,其连续稳定运行是安全保护工作的重中之重。如何做到关键信息基础设施在被威胁、攻击、破坏的环境下,保持持续运行是保证关键信息基础设施安全弹性的重要课题。
应要求关键信息基础设施运营者针对关键核心业务的稳定运行制定相应的应急处置预案,明确在不同等级的危机时刻,保障不同的服务范围。同时,还应该鼓励关键信息基础设施运营者以适当的形式做好备机备件,以应对极端情况的出现。
4.投入国家力量保护关键信息基础设施的安全
在实施关键信息基础设施安全保护工作时,应在国家层面建立“监管+服务”的工作模式。
一方面,国家有关网络安全监管部门联合保护工作部门,对关键信息基础设施运营者落实国家有关法律要求的责任和义务。
另一方面,还应统筹协调国家网络安全资源,保障关键信息基础设施安全。如鼓励专业网络安全技术队伍为关键信息基础设施运营者提供专业技术服务;利用有关科技项目支持关键信息基础设施急需的网络安全技术研发;建立专门的网络安全人才培养机制,在国家人才体系中设立网络安全职称体系;设立网络安全加固基金,支持关键信息基础设施运营者提高安全技术防护能力。
来源:《网络安全和信息化》杂志
