关键信息基础设施迎来安全“金钟罩”
科普时报记者 陈 杰
近日,国务院签署了第745号国务院令,正式公布《关键信息基础设施安全保护条例》(以下简称《条例》)将于9月1日起施行。
《条例》出台后,国内网络安全产业反响热烈。“《条例》是对《中华人民共和国网络安全法》中相应部分的细化和落实,是国家维护网络安全,特别是关键信息基础设施安全工作的重要里程碑。”盟科技运营战略规划经理吴昊在接受记者采访时表示。
网络安全保护进入新阶段
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,就可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
当前,关键信息基础设施面临的网络安全形势日趋严峻,网络攻击威胁逐渐上升,事故隐患易发多发,安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题,亟待建立专门的制度,明确各方责任,加快提升关键信息基础设施安全保护能力。
《条例》是我国首部专门针对关键信息基础设施安全保护工作的行政法规,同时作为《中华人民共和国网络安全法》的重要配套立法,将为下一步加强关键信息基础设施安全保护工作提供重要法治保障。
“《网络安全法》中虽然也有对关键信息基础设施安全保护的相关描述,但《条例》更聚焦网络安全中的关键信息基础设施安全,便于相关保护工作的落地开展。”吴昊表示,《条例》的出台,清晰了关键信息基础设施运营者在安全保护工作中的责任义务。运营者需建立健全网络安全保护制度和责任制,设立专门的安全管理机构,对关键岗位人员实施安全背景审查,保障安全管理机构所需的人财物投入。
奇安信集团安全专家杨波在接受媒体采访时曾表示,《条例》通过明确各级责任,拉起了一个国家统筹,监督部门、行业保护部门、运营者多级、立体化协同的综合防控体系。
有了国家统筹和多级协同,关键信息基础设施的运营者将定期开展安全检测和风险评估工作,履行安全事件和威胁报告义务,落实网络安全审查要求,强化监测预警和信息共享等,进而助推我国网络安全保护迈入新的发展阶段。
为网络安全产业发展指明方向
关键信息基础设施是网络安全的重中之重,而做好关键信息基础设施安全保障不仅仅是运营者、监管者的责任,更是所有网络安全从业者的责任。
“《条例》的出台对网络安全行业的供给能力提出了更高要求。”吴昊表示,安全厂商首先是要强化“可信任”的技术供给,要在遵循可信任理念的基础上,大力发展相关网络安全技术;其次是要提供“全场景”的产品供给,企业对网络安全产品供给的最基本要求就是要提供全领域、全要素、全类型的产品覆盖,需要尽快建立健全关键信息基础设施网络安全产品体系;最后是要开展“实战化”的服务供给,安全企业需要做好提供应急处置、攻防演练、教育培训、一体化运营等服务的准备。
杨波认为,无论从网络安全理论还是实践看,针对关键信息基础设施的攻击是无法完全避免的,只能构建立体化的综合防控体系,通过提升安全保护能力,尽可能地延长攻击成功所需的时间,同时通过协同机制尽可能加快风险检测和风险处置的时间。
目前来看,如何有效保障关键信息基础设施的安全以及如何认定关键信息基础设施,一直是关系关键信息基础设施行业发展的首要问题。学习和践行《条例》,将其应用在日常安全防护工作中,是网络安全企业的责任。而只有规范化、标准化的防御体系才能充分发挥各方优势形成合力,有效保护关键信息基础设施免受攻击、侵入、干扰和破坏,让关键信息基础设施拥有安全“金钟罩”,保障我国社会主义现代化强国建设。