當前��,關鍵基礎設施正在成為網(wǎng)絡攻擊的主要目標���。一樁樁大規(guī)模網(wǎng)絡攻擊事件觸目驚心,中國�、德國、俄羅斯�、以色列���、智利、伊朗等多個國家的關鍵基礎設施均遭受過不同類型�����、不同程度的網(wǎng)絡攻擊�����,在全球范圍內(nèi)拉響了“紅色警報”���。
近來���,國內(nèi)相關政策法規(guī)密集出臺。其中�,作為我國首部專門針對關鍵信息技術設施安全保護工作的行政法規(guī),《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)即將于9月1日正式施行��,為網(wǎng)絡安全行業(yè)的健康��、有序發(fā)展點亮了一盞“航標燈”��。
關鍵詞:范圍、授權�、責任
實際上���,通過《網(wǎng)絡安全法》�,關鍵信息基礎設施的概念首次在我國法律層面得以明確�。《條例》則是針對關鍵信息基礎設施的范圍界定���、授權認定�、責任機制等關鍵性問題進行了更為詳細的規(guī)定�����。
賽迪智庫網(wǎng)絡安全研究所所長劉權在接受《中國電子報》記者采訪時說:“《條例》采用了‘范圍列舉+授權認定’的方法�,對關鍵信息基礎設施的內(nèi)涵和外延做出規(guī)定?!?/p>
在范圍列舉方面,《條例》第二條將關鍵信息基礎設施定位于“重要網(wǎng)絡設施和信息系統(tǒng)”��,并以列舉方式明確了其行業(yè)屬性和影響屬性兩大界定標準:一是“公共通信和信息服務���、能源�、交通、水利���、金融��、公共服務���、電子政務、國防科技工業(yè)等”八個重要行業(yè)和領域�����;二是“一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露�,可能嚴重危害國家安全、國計民生�����、公共利益”�����。
尤其值得關注的是,鑒于新興互聯(lián)網(wǎng)平臺用戶規(guī)模普遍在億級以上�,掌握著海量的高價值數(shù)據(jù),如遇網(wǎng)絡攻擊�,其危害程度不亞于傳統(tǒng)行業(yè),因此多位專家認為這些平臺也可能被納入關鍵信息基礎設施的范圍�。
在授權認定方面,《條例》第二章對授權認定做出了規(guī)定�,主要明確了兩個要點:一是認定主體��,即“關鍵信息基礎設施安全保護工作的部門�����,主要包括了《條例》第二條所述八個重要行業(yè)和領域的主管或監(jiān)管部門��;二是認定依據(jù)��,《條例》第九條還明確了制定“認定規(guī)則”時應依據(jù)的“重要程度”“危害程度”和“關聯(lián)影響”三個主要考量因素�。
安全責任機制的明確也是《條例》的亮點之一?��!啊稐l例》的頒布傳遞出關鍵基礎設施領域中安全的重要戰(zhàn)略地位�,關鍵基礎設施的安全防護不僅僅是相關運營者的責任��,更關乎國計民生和社會利益?����!彬v訊安全戰(zhàn)略發(fā)展中心行業(yè)安全專家組負責人陳顥明在接受《中國電子報》記者采訪時表示�����,“主要是‘責任’�,包括關鍵基礎設施運營者要落實的主體責任,以及未做好安全防護要負的法律責任�。”
劉權補充說�����,《條例》對于責任機制的規(guī)定主要有三點:一是突出主體責任��,運營者在整個保護工作中�����,因其肩負重要職責而具有的不可替代作用�����。 二是健全責任范圍,形成對關鍵信息基礎設施保護工作的全方位責任保障�����;三是明確責任方式���,主要涵蓋行政責任��、民事責任和刑事責任三大類別�。
《條例》旨在解決哪些問題��?
隨著我國國民經(jīng)濟和社會信息化的全面推進�����,傳統(tǒng)的社會活動不斷向網(wǎng)絡空間延伸擴展��,經(jīng)濟與國家安全高度依賴于關鍵信息基礎設施�����?��!巴晟脐P鍵信息基礎設施保護法律體系���,全面提升關鍵信息基礎設施安全保護意識、保障能力和水平�����,已經(jīng)成為網(wǎng)絡安全博弈的制勝關鍵��?����!标愵椕鞅硎?。
然而現(xiàn)階段,我國關鍵信息基礎設施的安全防護仍存在不少問題���。華云數(shù)據(jù)控股集團高級副總裁郭曉在接受《中國電子報》記者采訪時坦言:“我國整體安全投入與全球市場還存在差距��?����!眹医y(tǒng)計局和IDC數(shù)據(jù)顯示�,我國網(wǎng)絡安全產(chǎn)業(yè)占GDP僅0.41%���,和美國相差3.6倍�,網(wǎng)絡安全產(chǎn)業(yè)規(guī)模和美國相差5.5倍。
不過�����,業(yè)界人士普遍認為�,《條例》的出臺將給國內(nèi)網(wǎng)絡安全產(chǎn)業(yè)帶來較大增量空間。中信證券稱���,《條例》正式施行后有望帶動省級���、國家級關鍵信息基礎設施安全投入增加。假設國家級��、省級關鍵信息基礎設施有望達到2萬個��,平均每個關鍵信息基礎設施每年的安全投入為100萬元��,則《條例》帶來的增量市場每年預計有200億元���。
陳顥明指出:“結合近期的政策,政企安全投入比重的提升將推動網(wǎng)安行業(yè)開啟高速增長期���,預計未來安全投入與全球市場的差距將持續(xù)縮小�。尤其是公共通信和信息服務、能源���、交通���、水利、金融�、公共服務、電子政務等這些《條例》要求保護的重點行業(yè)�,未來將是網(wǎng)絡安全能力建設和投入的重點?�!?/p>
“除了安全投入不足�����,我國關鍵信息基礎設施安全保護還面臨自主可控能力不足���、缺乏完善有效的脆弱性評估機制和安全恢復計劃�����、安全風險監(jiān)測和預警機制較弱等挑戰(zhàn)���?����!眲嗾劦?�。
今年5月國家互聯(lián)網(wǎng)應急中心(CNCERT)發(fā)布的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡安全態(tài)勢綜述》數(shù)據(jù)顯示�,勒索病毒�、APT攻擊、系統(tǒng)漏洞���、數(shù)據(jù)安全等安全問題已逐漸成為企業(yè)���、政府機構、金融機構等對網(wǎng)絡安全性要求較高用戶群體最為關心的核心問題之一�。而關鍵信息基礎設施網(wǎng)絡安全事故多發(fā),也從側面凸顯出產(chǎn)業(yè)生態(tài)的不完善��。
《條例》的正式施行有望補足網(wǎng)絡安全產(chǎn)業(yè)鏈的薄弱環(huán)節(jié)��。劉權分析稱�����,《條例》明確規(guī)定關鍵信息基礎設施運營者應當落實網(wǎng)絡安全責任��,開展安全監(jiān)測和風險評估���,規(guī)范網(wǎng)絡產(chǎn)品和服務采購活動�����。從這些要求看���,網(wǎng)絡安全行業(yè)中提供風險評估、等保測評以及合規(guī)性咨詢等第三方服務企業(yè)將明顯受益�。“尤其是是近年來興起的網(wǎng)絡安全托管服務���,會獲得更大的市場增長空間�?����!标愵椕鲝娬{(diào)�。
“《條例》對信創(chuàng)產(chǎn)業(yè)和網(wǎng)安行業(yè)也表達了明確支持,指出應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務。因此���,跨越多行業(yè)�����,多領域的云服務提供商作為主要對象���,其中具有信創(chuàng)和自主知識產(chǎn)權特色的企業(yè),和具有跨界整合優(yōu)質(zhì)網(wǎng)絡安全方案能力的企業(yè)會更加受益��?!惫鶗员硎尽?/p>
另外��,網(wǎng)絡安全人才問題也將獲得更多的關注�。陳顥明認為,關鍵信息基礎設施運營單位普遍存在網(wǎng)絡安全人員編制少、人才流失嚴重、現(xiàn)有人員經(jīng)驗不足等諸多問題��,《條例》的實施會帶來更大的人才需求壓力。“一方面,在現(xiàn)有人才無法滿足要求的情況下�����,關鍵信息基礎設施運營單位亟須引入外部網(wǎng)絡安全人才和服務�,補齊和加強網(wǎng)絡安全力量���;另一方面�����,也要加強內(nèi)部網(wǎng)絡安全人才培訓��?��!?/p>
究竟應該怎么做?
傳統(tǒng)的安全建設往往注重先進和高效的技術防御平臺建設�����,卻忽視了平臺的持續(xù)運營能力和對事件的應急處置能力���。大多數(shù)單位真正缺乏的是“用好安全產(chǎn)品”和“應對突發(fā)事件”的能力�,這無論是對關鍵信息基礎設施運營單位的安全團隊還是對提供產(chǎn)品和服務的安全企業(yè)��,都是一個需要投入精力去解決的問題���。在陳顥明看來�,關鍵信息基礎設施安全保護體系的建設,將更加強調(diào)安全運營�、應急處置等“軟”實力的構建,要求業(yè)內(nèi)企業(yè)和單位更加注重安全能力的持續(xù)���、有效運作�。
一方面��,關鍵基礎設施運營者在其中扮演著不可替代的重要角色��。劉權建議:“運營者需重點做好以下三個方面工作�。一是落實主體責任,通過建立安全保護制度���、設立專門管理機構�����、加強網(wǎng)絡安全意識教育等多種形式��,切實保障相關資金落實�����,建立網(wǎng)絡安全保障體系�;二是高度重視安全保護工作,合規(guī)做好系統(tǒng)建設相關工作�����;三是定期開展網(wǎng)絡安全檢測和風險評估�,發(fā)生重大安全事件應及時向相關部門報告�。”
另一方面���,企業(yè)與安全從業(yè)者也是重要參與者���,需提供更符合實際場景需求的安全解決方案。陳顥明談到:“關鍵信息基礎設施的保護體系不應再是類似等保的‘基線’式防護���,而必須是有重點�����、有目標的針對性管控體系�。安全行業(yè)從業(yè)者必須深入到不同關鍵信息基礎設施行業(yè)的業(yè)務場景中���,基于不同的行業(yè)風險考慮系統(tǒng)的應對措施�����?!?/p>
郭曉指出,從網(wǎng)絡安全角度出發(fā)��,包括內(nèi)外網(wǎng)安全�、虛擬化安全、云原生安全都是關鍵信息基礎設施安全保護的范圍�����;業(yè)務數(shù)據(jù)多副本機制��、本地保護策略��、異地備份和恢復機制都應成為企業(yè)上云的必備前提�����。同時���,服務商也應積極對照《條例》及《網(wǎng)絡安全法》等法律法規(guī)��,擔起安全合規(guī)義務和責任��,主動擁抱網(wǎng)絡安全監(jiān)管���,規(guī)避合規(guī)風險���,并依托創(chuàng)新技術�����,不斷完善網(wǎng)絡安全防御體系�,為政府和企業(yè)用戶構筑起一道云上的安全屏障。
總體來看���,關鍵信息基礎設施安全保護體系的建設更強調(diào)總體規(guī)劃���、技術可信、持續(xù)運營和有效性監(jiān)管���,要求整個行業(yè)的從業(yè)者共同協(xié)作��,建立更完善的產(chǎn)業(yè)生態(tài)體系�����。陳顥明認為:“這包括但不限于——規(guī)劃層面�,完善基于行業(yè)屬性的安全標準與最佳實踐;建設層面�,促進安全可信技術的發(fā)展、安全產(chǎn)品和運營能力的規(guī)范化評價體系�;運營層面,建立更順暢的信息共享和技術協(xié)同機制��,充分發(fā)揮運營者內(nèi)部自查���、行業(yè)監(jiān)管和國家監(jiān)管的多層保障和促進作用�?!保ㄓ浾?宋婧)
轉自:中國電子報
【版權及免責聲明】凡本網(wǎng)所屬版權作品,轉載時須獲得授權并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”��,違者本網(wǎng)將保留追究其相關法律責任的權力�。凡轉載文章及企業(yè)宣傳資訊,僅代表作者個人觀點�,不代表本網(wǎng)觀點和立場。版權事宜請聯(lián)系:010-65363056��。
延伸閱讀
