《關鍵信息基礎設施安全保護條例》實施一周年專題分享
隨著信息技術的快速發展,以及萬物互聯時代的到來,關系著國家安全、社會穩定和經濟發展的關鍵信息基礎設施已成為網絡空間安全的“必爭之地”。當前,關鍵信息基礎設施面臨的安全形勢嚴峻,網絡攻擊威脅事件頻發。持續做好關鍵信息基礎設施安全保護、不斷推動《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)落地實施意義重大。
在《條例》頒布實施一周年之際,由光明網網絡安全頻道、中國信息協會信息安全專業委員會主辦,北京六方云信息技術有限公司承辦的“推進落實《關鍵信息基礎設施安全保護條例》”專題分享會在京舉行。來自各界的專家學者共聚一堂,為推進我國關鍵信息基礎設施安全保護建言獻策。
夯實法治基底,持續推動《條例》落地實施
如果說入侵個人計算機中的病毒是一場普通感冒,那么關鍵信息基礎設施一旦“被感染”,便是一場重度流感。如何有效應對日益復雜的網絡安全環境,保護國家關鍵信息基礎設施安全,已經成為各界面臨的重要課題。分享會上,中國信息協會信息安全專業委員會主任葉紅表示,隨著《條例》和網絡安全法、數據安全法、個人信息保護法等“三法一條例”陸續出臺實施,我國網絡安全領域法律法規體系得到了逐步完善。
“《條例》的性質不僅是法律規則匯集,也是一個‘工具箱’,是戰略引領和業務操作的規則。”北京師范大學互聯網發展研究院院長助理、中國互聯網協會研究中心副主任吳沈括認為,《條例》與新技術、新應用產生的風險相伴而生,并要求防范網絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性,建構以網絡安全信息共享機制為核心,不同主體共同參與保護工作的全方位系統。“《條例》對于國家基礎信息、重要數據、個人信息以及違法信息治理有極高的關注,形成了關鍵信息基礎設施安全保護制度的亮點。”吳沈括說。
《條例》頒布實施一年來,我國關鍵信息基礎設施領域的網絡安全保護取得了諸多成果。葉紅介紹,國家層面出臺了相關標準、辦法及配套法規,部分領域、行業的網絡安全防護意識進一步提升,網絡安全人才結構進一步優化。中國科學技術大學教授左曉棟也表示,近年來,按照相關政策要求及《網絡安全法》等法律法規規定,各地各領域正在全面加強網絡安全工作,有力保障國家關鍵信息基礎設施以及重要數據的安全,構建以關鍵基礎設施保護為基礎的安全保障體系勢在必行。
強化保護體系,構建多方協同機制
“我國關鍵信息基礎設施安全保護尚處于起步階段,其安全保護理念、體系框架、最佳實踐等尚需探索和研究。”路云天網絡安全研究院副院長王少杰坦言,關鍵信息基礎設施保護以防范安全威脅隱患、有效化解安全風險、保障業務應用的安全持續、穩定運行為目標,具備閉環管理動態化、能力迭代自動化、安全能力流程化、安全運營一體化等特征。
北京六方云信息技術有限公司總裁李江力認為,當前,我國關鍵信息基礎設施安全保護的基本措施可以總結為“三化六防”。其中,實戰化、體系化、常態化是基本要求,六防指動態防御、主動防御、縱深防御、精準防護、整體防護、聯防聯控,具體工作包含分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置等六個環節。“在實際工作中,需要多種技術來支撐六個環節。”
如何進一步夯實關鍵信息基礎設施安全保護、保障國家網絡安全?葉紅談到五個方面:一是不斷健全關鍵信息基礎設施保護體系,完善配套的標準、制度;二是關鍵信息基礎設施安全保護主管單位要強化對相關工作的監督檢查,對既有網絡系統的漏洞和弱點,以及相關行業和單位的安全環節作多角度監測;三是加強技術的攻關和創新,支持網絡安全產業發展,發現并解決新技術、新應用帶來的新漏洞、新問題;四是促進網絡安全人才培養,持續推動相關專業人才的職業教育,打通人才進步通道,鼓勵人才加入網絡安全保障隊伍;五是加強對關鍵信息基礎設施安全風險的預測及研判,可在網絡安全研究中注重苗頭性、傾向性、潛在性風險,做好預判提前布局防御措施。
“關鍵信息基礎設施保護是一個系統工程,其安全理念、本質內涵、建設實施等,需要不斷深入研究與設計實踐。加強探索構建各行業的框架體系,將成為各行業的重點工作。”針對保護體系框架設計,王少杰認為,相關工作部門及運營者在開展本行業或單位的關鍵信息基礎設施安全保護整體規劃和體系設計時,需要綜合考慮專門安全管理機構、管理制度、業務流程、技術框架等核心要素,探索、設計、構建本行業或單位關鍵信息基礎設施安全保護綜合管理中心,通過分析該中心的建設需求、原則目標和主要效能,逐次推進完善該中心的運營、管理、技術、隊伍、保障等能力建設,構建關鍵信息基礎設施安全保護體系,構建“網絡安全數據中臺”系統。
在李江力看來,進一步做好我國的關鍵信息基礎設施安全保護,要在落實《條例》基礎上,同步推動安全設備生產商自我革新,充分調動全社會的積極力量,在建立起一套完整、科學、嚴密的制度框架基礎上,落實責任、共商共建,將安全化為實體,將安心落到實處。
左曉棟還建議,推進制定關鍵信息基礎設施安全保護計劃;同時,各部門之間進一步加強協調,認真研究這項制度,明確其本質,并對其有更加清晰的定位,推動相關法律法規落地,讓它成為維護國家安全的一個重要屏障。
