當(dāng)前���,關(guān)鍵基礎(chǔ)設(shè)施正在成為網(wǎng)絡(luò)攻擊的主要目標(biāo)。一樁樁大規(guī)模網(wǎng)絡(luò)攻擊事件觸目驚心��,中國���、德國�、俄羅斯���、以色列、智利����、伊朗等多個國家的關(guān)鍵基礎(chǔ)設(shè)施均遭受過不同類型、不同程度的網(wǎng)絡(luò)攻擊����,在全球范圍內(nèi)拉響了“紅色警報”。
近來���,國內(nèi)相關(guān)政策法規(guī)密集出臺�。其中,作為我國首部專門針對關(guān)鍵信息技術(shù)設(shè)施安全保護(hù)工作的行政法規(guī)�����,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《條例》)即將于9月1日正式施行����,為網(wǎng)絡(luò)安全行業(yè)的健康、有序發(fā)展點亮了一盞“航標(biāo)燈”�����。
關(guān)鍵詞:范圍��、授權(quán)���、責(zé)任
實際上�,通過《網(wǎng)絡(luò)安全法》���,關(guān)鍵信息基礎(chǔ)設(shè)施的概念首次在我國法律層面得以明確����。《條例》則是針對關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定�����、授權(quán)認(rèn)定�、責(zé)任機制等關(guān)鍵性問題進(jìn)行了更為詳細(xì)的規(guī)定。
賽迪智庫網(wǎng)絡(luò)安全研究所所長劉權(quán)在接受《中國電子報》記者采訪時說:“《條例》采用了‘范圍列舉+授權(quán)認(rèn)定’的方法����,對關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵和外延做出規(guī)定?��!?/p>
在范圍列舉方面�,《條例》第二條將關(guān)鍵信息基礎(chǔ)設(shè)施定位于“重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)”���,并以列舉方式明確了其行業(yè)屬性和影響屬性兩大界定標(biāo)準(zhǔn):一是“公共通信和信息服務(wù)、能源��、交通��、水利�、金融、公共服務(wù)�����、電子政務(wù)、國防科技工業(yè)等”八個重要行業(yè)和領(lǐng)域�;二是“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露�����,可能嚴(yán)重危害國家安全����、國計民生、公共利益”�����。
尤其值得關(guān)注的是���,鑒于新興互聯(lián)網(wǎng)平臺用戶規(guī)模普遍在億級以上�����,掌握著海量的高價值數(shù)據(jù)�,如遇網(wǎng)絡(luò)攻擊,其危害程度不亞于傳統(tǒng)行業(yè)�����,因此多位專家認(rèn)為這些平臺也可能被納入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍�����。
在授權(quán)認(rèn)定方面��,《條例》第二章對授權(quán)認(rèn)定做出了規(guī)定���,主要明確了兩個要點:一是認(rèn)定主體�,即“關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門����,主要包括了《條例》第二條所述八個重要行業(yè)和領(lǐng)域的主管或監(jiān)管部門;二是認(rèn)定依據(jù)�,《條例》第九條還明確了制定“認(rèn)定規(guī)則”時應(yīng)依據(jù)的“重要程度”“危害程度”和“關(guān)聯(lián)影響”三個主要考量因素。
安全責(zé)任機制的明確也是《條例》的亮點之一�。“《條例》的頒布傳遞出關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域中安全的重要戰(zhàn)略地位���,關(guān)鍵基礎(chǔ)設(shè)施的安全防護(hù)不僅僅是相關(guān)運營者的責(zé)任,更關(guān)乎國計民生和社會利益?����!彬v訊安全戰(zhàn)略發(fā)展中心行業(yè)安全專家組負(fù)責(zé)人陳顥明在接受《中國電子報》記者采訪時表示�����,“主要是‘責(zé)任’����,包括關(guān)鍵基礎(chǔ)設(shè)施運營者要落實的主體責(zé)任,以及未做好安全防護(hù)要負(fù)的法律責(zé)任���?��!?/p>
劉權(quán)補充說,《條例》對于責(zé)任機制的規(guī)定主要有三點:一是突出主體責(zé)任�,運營者在整個保護(hù)工作中,因其肩負(fù)重要職責(zé)而具有的不可替代作用��。 二是健全責(zé)任范圍�,形成對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的全方位責(zé)任保障;三是明確責(zé)任方式��,主要涵蓋行政責(zé)任、民事責(zé)任和刑事責(zé)任三大類別���。
《條例》旨在解決哪些問題�����?
隨著我國國民經(jīng)濟和社會信息化的全面推進(jìn)���,傳統(tǒng)的社會活動不斷向網(wǎng)絡(luò)空間延伸擴展,經(jīng)濟與國家安全高度依賴于關(guān)鍵信息基礎(chǔ)設(shè)施��?����!巴晟脐P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)法律體系��,全面提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)意識���、保障能力和水平�,已經(jīng)成為網(wǎng)絡(luò)安全博弈的制勝關(guān)鍵�����?���!标愵椕鞅硎尽?/p>
然而現(xiàn)階段���,我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)仍存在不少問題�。華云數(shù)據(jù)控股集團(tuán)高級副總裁郭曉在接受《中國電子報》記者采訪時坦言:“我國整體安全投入與全球市場還存在差距��?����!眹医y(tǒng)計局和IDC數(shù)據(jù)顯示���,我國網(wǎng)絡(luò)安全產(chǎn)業(yè)占GDP僅0.41%�����,和美國相差3.6倍���,網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模和美國相差5.5倍。
不過����,業(yè)界人士普遍認(rèn)為��,《條例》的出臺將給國內(nèi)網(wǎng)絡(luò)安全產(chǎn)業(yè)帶來較大增量空間�����。中信證券稱��,《條例》正式施行后有望帶動省級���、國家級關(guān)鍵信息基礎(chǔ)設(shè)施安全投入增加。假設(shè)國家級���、省級關(guān)鍵信息基礎(chǔ)設(shè)施有望達(dá)到2萬個��,平均每個關(guān)鍵信息基礎(chǔ)設(shè)施每年的安全投入為100萬元���,則《條例》帶來的增量市場每年預(yù)計有200億元。
陳顥明指出:“結(jié)合近期的政策��,政企安全投入比重的提升將推動網(wǎng)安行業(yè)開啟高速增長期����,預(yù)計未來安全投入與全球市場的差距將持續(xù)縮小�����。尤其是公共通信和信息服務(wù)�、能源��、交通�、水利����、金融、公共服務(wù)��、電子政務(wù)等這些《條例》要求保護(hù)的重點行業(yè)�����,未來將是網(wǎng)絡(luò)安全能力建設(shè)和投入的重點����。”
“除了安全投入不足�����,我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)還面臨自主可控能力不足、缺乏完善有效的脆弱性評估機制和安全恢復(fù)計劃���、安全風(fēng)險監(jiān)測和預(yù)警機制較弱等挑戰(zhàn)�����?�!眲?quán)談道��。
今年5月國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)發(fā)布的《2020年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》數(shù)據(jù)顯示�����,勒索病毒�、APT攻擊���、系統(tǒng)漏洞��、數(shù)據(jù)安全等安全問題已逐漸成為企業(yè)���、政府機構(gòu)、金融機構(gòu)等對網(wǎng)絡(luò)安全性要求較高用戶群體最為關(guān)心的核心問題之一。而關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全事故多發(fā)�����,也從側(cè)面凸顯出產(chǎn)業(yè)生態(tài)的不完善�。
《條例》的正式施行有望補足網(wǎng)絡(luò)安全產(chǎn)業(yè)鏈的薄弱環(huán)節(jié)。劉權(quán)分析稱�����,《條例》明確規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運營者應(yīng)當(dāng)落實網(wǎng)絡(luò)安全責(zé)任�����,開展安全監(jiān)測和風(fēng)險評估����,規(guī)范網(wǎng)絡(luò)產(chǎn)品和服務(wù)采購活動��。從這些要求看�,網(wǎng)絡(luò)安全行業(yè)中提供風(fēng)險評估、等保測評以及合規(guī)性咨詢等第三方服務(wù)企業(yè)將明顯受益�。“尤其是是近年來興起的網(wǎng)絡(luò)安全托管服務(wù)�,會獲得更大的市場增長空間。”陳顥明強調(diào)����。
“《條例》對信創(chuàng)產(chǎn)業(yè)和網(wǎng)安行業(yè)也表達(dá)了明確支持,指出應(yīng)當(dāng)優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)��。因此�����,跨越多行業(yè)�����,多領(lǐng)域的云服務(wù)提供商作為主要對象�����,其中具有信創(chuàng)和自主知識產(chǎn)權(quán)特色的企業(yè)����,和具有跨界整合優(yōu)質(zhì)網(wǎng)絡(luò)安全方案能力的企業(yè)會更加受益?���!惫鶗员硎尽?/p>
另外,網(wǎng)絡(luò)安全人才問題也將獲得更多的關(guān)注�。陳顥明認(rèn)為,關(guān)鍵信息基礎(chǔ)設(shè)施運營單位普遍存在網(wǎng)絡(luò)安全人員編制少��、人才流失嚴(yán)重��、現(xiàn)有人員經(jīng)驗不足等諸多問題����,《條例》的實施會帶來更大的人才需求壓力?�!耙环矫?����,在現(xiàn)有人才無法滿足要求的情況下�����,關(guān)鍵信息基礎(chǔ)設(shè)施運營單位亟須引入外部網(wǎng)絡(luò)安全人才和服務(wù)���,補齊和加強網(wǎng)絡(luò)安全力量;另一方面�����,也要加強內(nèi)部網(wǎng)絡(luò)安全人才培訓(xùn)?�!?/p>
究竟應(yīng)該怎么做��?
傳統(tǒng)的安全建設(shè)往往注重先進(jìn)和高效的技術(shù)防御平臺建設(shè)�,卻忽視了平臺的持續(xù)運營能力和對事件的應(yīng)急處置能力。大多數(shù)單位真正缺乏的是“用好安全產(chǎn)品”和“應(yīng)對突發(fā)事件”的能力�����,這無論是對關(guān)鍵信息基礎(chǔ)設(shè)施運營單位的安全團(tuán)隊還是對提供產(chǎn)品和服務(wù)的安全企業(yè)�,都是一個需要投入精力去解決的問題。在陳顥明看來����,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系的建設(shè),將更加強調(diào)安全運營���、應(yīng)急處置等“軟”實力的構(gòu)建�,要求業(yè)內(nèi)企業(yè)和單位更加注重安全能力的持續(xù)��、有效運作����。
一方面���,關(guān)鍵基礎(chǔ)設(shè)施運營者在其中扮演著不可替代的重要角色。劉權(quán)建議:“運營者需重點做好以下三個方面工作����。一是落實主體責(zé)任,通過建立安全保護(hù)制度����、設(shè)立專門管理機構(gòu)、加強網(wǎng)絡(luò)安全意識教育等多種形式��,切實保障相關(guān)資金落實���,建立網(wǎng)絡(luò)安全保障體系�;二是高度重視安全保護(hù)工作���,合規(guī)做好系統(tǒng)建設(shè)相關(guān)工作;三是定期開展網(wǎng)絡(luò)安全檢測和風(fēng)險評估���,發(fā)生重大安全事件應(yīng)及時向相關(guān)部門報告�。”
另一方面�����,企業(yè)與安全從業(yè)者也是重要參與者����,需提供更符合實際場景需求的安全解決方案。陳顥明談到:“關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)體系不應(yīng)再是類似等保的‘基線’式防護(hù)����,而必須是有重點、有目標(biāo)的針對性管控體系���。安全行業(yè)從業(yè)者必須深入到不同關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的業(yè)務(wù)場景中����,基于不同的行業(yè)風(fēng)險考慮系統(tǒng)的應(yīng)對措施��?!?/p>
郭曉指出,從網(wǎng)絡(luò)安全角度出發(fā)���,包括內(nèi)外網(wǎng)安全����、虛擬化安全、云原生安全都是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的范圍���;業(yè)務(wù)數(shù)據(jù)多副本機制���、本地保護(hù)策略、異地備份和恢復(fù)機制都應(yīng)成為企業(yè)上云的必備前提�����。同時���,服務(wù)商也應(yīng)積極對照《條例》及《網(wǎng)絡(luò)安全法》等法律法規(guī)����,擔(dān)起安全合規(guī)義務(wù)和責(zé)任����,主動擁抱網(wǎng)絡(luò)安全監(jiān)管,規(guī)避合規(guī)風(fēng)險�����,并依托創(chuàng)新技術(shù)���,不斷完善網(wǎng)絡(luò)安全防御體系�����,為政府和企業(yè)用戶構(gòu)筑起一道云上的安全屏障���。
總體來看,關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系的建設(shè)更強調(diào)總體規(guī)劃��、技術(shù)可信����、持續(xù)運營和有效性監(jiān)管,要求整個行業(yè)的從業(yè)者共同協(xié)作�����,建立更完善的產(chǎn)業(yè)生態(tài)體系��。陳顥明認(rèn)為:“這包括但不限于——規(guī)劃層面�����,完善基于行業(yè)屬性的安全標(biāo)準(zhǔn)與最佳實踐;建設(shè)層面����,促進(jìn)安全可信技術(shù)的發(fā)展、安全產(chǎn)品和運營能力的規(guī)范化評價體系���;運營層面�,建立更順暢的信息共享和技術(shù)協(xié)同機制���,充分發(fā)揮運營者內(nèi)部自查��、行業(yè)監(jiān)管和國家監(jiān)管的多層保障和促進(jìn)作用����?!保ㄓ浾?宋婧)
轉(zhuǎn)自:中國電子報
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊��,僅代表作者個人觀點,不代表本網(wǎng)觀點和立場�����。版權(quán)事宜請聯(lián)系:010-65363056����。
延伸閱讀
