俞克群:落實關鍵信息基礎設施安全保護制度 筑牢國家網絡安全屏障
關鍵信息基礎設施是國家重要的戰略資源,關系國家安全、國計民生和公共利益,具有基礎性、支撐性、全局性作用,保護關鍵信息基礎設施安全是國家網絡安全工作的重中之重。出臺實施《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)是完善我國網絡空間治理,強化關鍵信息基礎設施安全保護,維護國家安全和發展利益的應時應勢之舉,意義重大,影響深遠。
一、關鍵信息基礎設施安全是網絡安全的重中之重
習近平總書記在網絡安全和信息化工作座談會上指出,“金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標......我們必須深入研究,采取有效措施,切實做好國家關鍵信息基礎設施安全防護。”習近平總書記的重要指示為我們開展關鍵信息基礎設施安全保護工作指明了方向。
世界各國高度重視關鍵信息基礎設施安全,美歐等通過立法或發布政策文件將關鍵基礎設施安全的網絡安全保護提升到國家安全戰略層面。圍繞關鍵信息基礎設施安全的網絡攻防已成為國家間戰略博弈的重要領域和網絡空間高強度對抗的主戰場。
我國2017年正式實施的網絡安全法明確就關鍵信息基礎設施運行安全提出要求。《條例》的出臺實施,是踐行習近平總書記關于網絡強國的重要思想,貫徹黨中央、國務院重大決策部署的重要舉措,是落實網絡安全法有關要求,完善我國關鍵信息基礎設施安全保護工作的法治保障,也是網絡空間領域貫徹總體國家安全觀,應對當前國際形勢新變局,維護網絡空間主權安全的應有之義。
二、《條例》的出臺實施,為開展關鍵信息基礎設施安全保護工作提供了基本遵循
《條例》作為依據網絡安全法制定的行政法規,是對網絡安全法關于關鍵信息基礎設施運行安全相關規定的落實和細化,促進了我國關鍵信息基礎設施安全保護的法律法規體系構建完善。
(一)明確關鍵信息基礎設施安全保護工作的對象和關鍵流程。《條例》對關鍵信息基礎設施的概念和范圍作出了明確界定。同時,還對關鍵信息基礎設施認定和變更、運營者設置專門安全管理機構、網絡安全事件和威脅報告等關鍵環節設置了流程化、規范化的要求指引。
(二)明確國家對關鍵信息基礎設施的重點保護、保障和促進措施。《條例》確立了“綜合協調、分工負責、依法保護”的工作原則,明確了國家網信部門、國務院公安部門、保護工作部門、地方政府的職責分工,形成監管保護合力;另一方面,《條例》提出了圍繞關鍵信息基礎設施的信息共享、監測預警、應急處置、檢查檢測、軍地協同等保護保障措施,以及專業人才培養、技術創新和產業發展、網絡安全服務機構建設管理等促進措施,體現了國家對關鍵信息基礎設施實行重點保護的意志和決心;此外,《條例》還作出特別規定,禁止非法侵入、干擾、破壞關鍵信息基礎設施,任何組織和個人一旦實施危害關鍵信息基礎設施安全的行為將面臨法律法規的嚴懲。
(三)明確關鍵信息基礎設施運營者的責任義務。《條例》重點壓實了關鍵信息基礎設施運營者(以下簡稱“運營者”)的主體責任,從安全保護措施、建立健全保護制度和責任制、設置專門安全管理機構、經費和人員投入、檢測評估、網絡安全事件及威脅報告、網絡產品和服務采購等多個層面提出了明確要求,構建了開展關鍵信息基礎設施安全保護工作的長效機制。
三、落實《條例》要求,提升關鍵信息基礎設施安全保護能力水平的幾點思考
一是強化意識,深刻認識關鍵信息基礎設施安全保護工作的重要性。從事關鍵信息基礎設施運營和保護工作的單位和個人應充分意識到,做好關鍵信息基礎設施安全保護工作不僅事關自身系統安全和業務穩定運行,更關乎國計民生,要深刻認識到確保關鍵信息基礎設施安全的極端重要性,站立高位、保持清醒、敢于擔當、勇于作為,以國家網絡安全為己任,嚴格落實相關法律、政策、制度的要求。
二是明晰底數,精準掌握關鍵信息基礎設施安全運行情況。掌握關鍵信息基礎設施安全運行的網絡和數據資產信息,是國家主管監管部門和保護工作部門開展指導監督工作的重要前提;對于運營者而言,更是落實主體責任,加強防護工作的必要手段。一方面,應全面梳理關鍵信息基礎設施網絡產品和服務情況,在掌握關鍵信息基礎設施網絡資產的基礎上,進一步梳理組件級的型號信息、配置設置信息等,支撐供應鏈網絡攻擊發生后的快速定位和準確研判。另一方面,應厘清關鍵信息基礎設施承載的數據資產,梳理數據采集、加工、傳輸情況,分析數據流動條件和路徑。此外,對于涉及控制類系統的關鍵信息基礎設施,應在上述措施基礎上,重點加強分析識別,最大限度地掌握觸發或可能觸發控制動作的協議、指令情況,以及可能觸及核心控制設備、系統的數據流及具有操作權限的人員情況。
三是提升能力,全面加強關鍵信息基礎設施安全防護。運營者應重點從脆弱性和風險隱患自查自糾、安全事件和威脅分析研判、極端極限情況下關鍵信息基礎設施的持續穩定運行等能力入手,加強相應的手段建設,逐步培養網絡安全專業人才隊伍,注重防護措施有效性的檢驗評價,強化網絡安全防護持續運營理念;對于網絡安全學術界、企業、研究機構而言,應針對關鍵信息基礎設施的特殊性、重要性,以風險識別、評估、防范、化解為關注重點,從理論、方法、技術多個層面加強研發攻關,為關鍵信息基礎設施安全防護提供技術支撐。
四是全面貫通,合力推動關鍵信息基礎設施安全保護工作。一方面,《條例》中的信息共享、監測預警、應急處置、檢查檢測等措施需要各有關部門進一步體系化、制度化、常態化推動完善;另一方面,《條例》中對運營者“采購網絡產品和服務可能影響國家安全的”情況的相關要求與國家網絡安全審查制度一脈相承,運營者應在落實網絡安全審查、保障關鍵信息基礎設施供應鏈安全的工作過程中進一步提升主動性。
落實關鍵信息基礎設施保護制度,需要政、產、學、研、用各個層面的通力合作,社會各界應強化認識、找準定位、貢獻力量,共同筑牢國家網絡安全屏障,進而為維護國家安全、經濟發展和社會穩定提供堅實支撐。
