強化監測預警和應急響應能力 健全關鍵信息基礎設施安全保護體系
關鍵信息基礎設施的安全,已是國家網絡安全的重要方面,《網絡安全法》、《數據安全法》均對關鍵信息基礎設施安全作出專門規定。
2021年9月1日施行的《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》),作為專門指導做好我國關鍵信息基礎設施網絡安全工作的重要行政法規,既體現出與《網絡安全法》、《數據安全法》的一脈相承,又進一步專門針對關鍵信息基礎設施安全作出具體指導,明確提出重點保護的具體要求。
作為關鍵信息基礎設施網絡安全保護的基礎工作,《條例》圍繞關鍵信息基礎設施信息共享、監測預警、應急處置工作提出了具體要求,體現出對關鍵信息基礎設施“事前、事中、事后”的全生命周期保護思路。
本文主要從關鍵信息基礎設施網絡安全監測預警、應急處置工作出發,談談對《條例》的認識。
01 《條例》明確了關鍵信息基礎設施網絡安全監測預警、應急響應體系
目前,我國關鍵信息基礎設施依然面臨較為嚴重的網絡安全風險和隱患。據國家計算機網絡應急技術處理協調中心(CNCERT)監測發現,2020年全年,APT組織利用社會熱點、供應鏈攻擊等方式持續對我國重要行業實施攻擊,部分APT組織網絡攻擊工具長期潛伏在我國重要機構設備中。新冠肺炎疫情發生以來,涉及醫療衛生的關鍵信息基礎設施也成為攻擊者的重要攻擊對象。
此外,2020年,國家信息安全漏洞共享平臺(CNVD)收錄安全漏洞數量同比增長27.9%,開展重大突發漏洞事件應急響應工作36次,驗證和通報我國重要行業單位信息系統相關漏洞事件3.1萬起。
習近平總書記指出:“維護網絡安全,首先要知道風險在哪里,是什么樣的風險,什么時候發生風險,正所謂‘聰者聽于無聲,明者見于未形’。感知網絡安全態勢是最基本最基礎的工作。”作為網絡安全工作的重要組成部分,監測預警工作是及時感知發現網絡安全風險隱患、開展處置應對的重要環節。
《網絡安全法》、《數據安全法》均通過相應條款,對監測預警與信息通報作出規定。《網絡安全法》第五十二條規定,“負責關鍵信息基礎設施安全保護工作的部門,應當建立健全本行業、本領域的網絡安全監測預警和信息通報制度,并按照規定報送網絡安全監測預警信息。”《數據安全法》第二十二條也強調國家建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警機制。
《條例》在關鍵信息基礎設施網絡安全監測預警方面,也體現了與《網絡安全法》、《數據安全法》相統一的體系化監測預警防護思路。《條例》第三條明確了國家各部門職責,第五條指出“國家對關鍵信息基礎設施實行重點保護,采取措施,監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅”。第十五條規定運營者負責網絡安全防護能力建設,開展網絡安全監測。第二十四條明確了行業、領域的保護工作部門要建立本行業、本領域的監測預警制度。
《條例》從國家、行業主管監管部門、運營者三個層面,對國家有關部門、國家行業主管監管部門,以及關鍵信息基礎設施運營者在網絡安全防護工作中的職責進行了明確規定。明確了由國家網信部門統籌協調,國務院公安部門指導監督,行業主管監管部門負責關鍵信息基礎設施安全保護和監督管理工作,制定本行業、本領域關鍵信息基礎設施安全規劃,明確保護目標、要求、任務和具體措施;關鍵信息基礎設施運營者落實安全責任,建立健全關鍵信息基礎設施網絡安全監測預警與信息通報制度和措施。
02 《條例》規定建立關鍵信息基礎設施網絡安全信息共享機制
《網絡安全法》第五十一條規定,“國家建立網絡安全監測預警和信息通報制度。國家網信部門應當統籌協調有關部門加強網絡安全信息收集、分析和通報工作,按照規定統一發布網絡安全監測預警信息”。《條例》第二十三條規定,“國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。”
當前,國家網信部門已建立同中央和國家機關各部委、各人民團體、各省(自治區、直轄市)和新疆生產建設兵團、部分中央企業的網絡安全信息通報、報告機制。
通過該機制,國家網信部門組織網絡安全機構、安全企業共享網絡安全威脅、漏洞、事件等信息;組織相關單位、技術機構、網絡安全企業等進行研判;向各有關單位通報網絡安全事件、風險;有關單位報送網絡安全風險和事件信息,反饋對國家網信部門通報的網絡安全風險和事件的防范應對情況。網絡安全信息通報、報告和信息共享機制作為國家網絡安全保障體系的重要組成部分,在協調、整合各方資源力量,實現網絡安全主動防范、應急處置等方面發揮了重要作用。
在國家關鍵信息基礎設施網絡安全信息共享工作中,《條例》要求建立關鍵信息基礎設施網絡安全信息共享機制,明確國家網信部門發揮統籌協調作用,統籌協調有關部門開展關鍵信息基礎設施領域網絡安全信息收集、分析、通報,發布關鍵信息基礎設施網絡安全預警信息。
同時,《條例》還體現了網絡安全服務機構等社會各方積極參與網絡安全工作的思想,明確了政府、行業、網絡安全服務機構網絡安全威脅信息、漏洞的共享要求,共同保護關鍵信息基礎設施安全。
03 《條例》明確關鍵信息基礎設施網絡安全應急處置機制
在關鍵信息基礎設施網絡安全應急處置工作方面,《條例》第二十五條要求,“保護工作部門應當按照國家網絡安全事件應急預案的要求,建立健全本行業、本領域的網絡安全事件應急預案,定期組織應急演練;指導運營者做好網絡安全事件應對處置,并根據需要組織提供技術支持與協助”。其中,《條例》明確指出的“國家網絡安全事件應急預案”,是指2017年1月印發的《國家網絡安全事件應急預案》。
該預案明確了中央和國家各部門、各地區在網絡安全事件預防、監測、預警、應急處置中的職責,是國家網絡安全事件應急預案體系的總綱,為各級部門制定相關網絡安全應急預案提供了指導和參照。國家關鍵信息基礎設施網絡安全應急處置也將作為整體網絡安全應急工作的一部分,納入到國家網絡安全應急協作機制開展工作。
一、建立健全關鍵信息基礎設施網絡安全應急預案體系
作為監測預警后的重要環節,應急處置工作將對關鍵信息基礎設施網絡安全產生直接影響。國家網信部門統籌協調保護工作部門,根據《條例》要求,建立健全本行業、本領域的網絡安全事件應急預案。運營者應按照國家和行業網絡安全應急預案,制定本單位應急預案。
作為國家網絡安全事件應急預案體系的一部分,行業、領域及運營者的網絡安全事件應急預案既是對整體國家預案體系的細化與落實,同時也將在事件分級上與《國家網絡安全事件應急預案》保持一致,在事件報告、指揮機構、處置流程上與《國家網絡安全事件應急預案》有效銜接,從而形成國家關鍵信息基礎設施網絡安全事件應急預案體系。
二、明確關鍵信息基礎設施網絡安全應急職責
《國家網絡安全事件應急預案》規定,國家網信部門負責統籌協調國家網絡安全事件應對工作,指導協調跨部門、跨地區應急工作。國務院電信主管部門、公安部門、保密部門按職責分工負責相關網絡安全事件應對工作。
《條例》對保護工作部門、運營者分別承擔網絡安全應急職責進行了明確規定。其中,保護工作部門負責指導本行業、本領域運營者做好網絡安全事件應對處置,并組織提供技術支持協助,運營者負責應急處置網絡安全事件。發生網絡安全事件后,將根據關鍵信息基礎設施網絡安全事件的級別啟動不同級別的應急響應流程進行組織應對,盡可能快速、高效跟蹤、處置與防范,確保網絡信息安全。
《條例》為我國關鍵信息基礎設施安全保護工作提供了科學指引,隨著《條例》的正式實施,我國關鍵信息基礎設施安全保護工作將進入新的發展階段。
作為關鍵信息基礎設施保護的重要工作內容,監測預警、應急響應在整體安全保護工作中的作用也將進一步顯現。落實關鍵信息基礎設施保護制度,做好關鍵信息基礎設施監測預警、應急響應工作應成為關鍵信息基礎設施有關部門、保護工作部門、運營者與全社會的共識。
相信在各方共同協作努力下,我國關鍵信息基礎設施網絡安全屏障將日益堅固,持續為經濟社會發展提供更加堅實有力的支撐。
