关键信息基础设施安全保护条例
关键信息基础设施是网络安全的重中之重,是关乎国家安全的命门所在。习近平总书记在讲话中多次强调,要加快构建关键信息基础设施安全保障体系,抓紧制定完善关键信息基础设施保护等法律法规。落实习近平总书记重要讲话精神,加快推动关键信息基础设施立法,推动安全保护体系框架不断健全是必由之路。
2021年8月17日,国务院公布了备受瞩目的《关键信息基础设施安全保护条例》(以下简称《条例》),其颁布实施既是落实《网络安全法》要求、构建国家关键信息基础设施安全保护体系的顶层设计和重要举措,更是保障国家安全、社会稳定和经济发展的现实需要。
一、背景
(一)形势严峻
网络空间作为继“陆海空天”之后的第五大战略空间,已经成为了全球博弈的新战场。近年来,全球范围内针对关键信息基础设施的网络攻击破坏、窃密等日趋加剧,涉及众多行业领域,其影响范围之广,程度之深,令人震惊。
1、国际方面。针对关键信息基础设施的攻击:一是导致关键服务运行中断。2015年12月,乌克兰配电公司约60座变电站遭到网络攻击,其首都基辅和乌克兰西部的140万名居民遭遇数小时停电。二是造成通信基础设施瘫痪。2016年10月,美国域名服务器管理机构Dyn遭到Mirai病毒攻击,众多网站无法访问,美国大半个互联网瘫痪。三是引发大规模信息泄露。2021年5月,美国最大成品油运输管道运营商Colonial Pipeline公司工控系统遭勒索病毒攻击导致停机,造成近100GB数据窃取及成品油运输管道运营中断。
2、国内方面。我国关键信息基础设施安全保护面临的风险和挑战主要为四个方面:一是高等级网络攻击威胁。随着网络战略威慑日益升级,各国均加强网军建设,高等级攻击入侵控制、窃密,对关键信息基础设施安全构成严重威胁。二是大型黑客组织威胁。部分黑客组织频繁持续对我国关键信息基础设施网络、重要系统等进行攻击,直接威胁我国关键信息基础设施安全。三是新技术新应用双刃剑效应。随着5G移动通信及云计算、大数据、AI等技术在各行业的广泛应用,关系国计民生的关键信息基础设施更易成为网络攻击的高价值目标。四是供应链安全挑战。随着网络产品集成度的不断提升和供应链全球化大分工的不断加深,关键信息基础设施的供应链安全风险面临着严峻的挑战。
(二)制度共识
为应对关键信息基础设施面临的安全威胁,各国在网络安全战略制定和立法方面,毫无例外将关键信息基础设施作为重点,给予了高度的政治关注和政策支持。
1、美国。推动建立兼具防御和威慑能力的安全保护体系,以期在网络空间博弈中保持优势。自1998年颁布《克林顿政府对关键基础设施保护的政策》以来,至今先后发布“美国国家网络安全综合纲领”和“爱因斯坦计划”等多个大规模网络安全倡议和项目,以及《关键基础设施信息保护法》、《增强关键信息基础设施网络安全框架(CSF)》等20余项关键信息基础设施的保护政策。
2、欧盟。推行基于风险管理策略的安全治理,由传统“威胁、预警、响应”向消减脆弱性为主的理念转变。2004至2006年,欧盟启动“欧盟关键基础设施保护规划”,审议通过《欧洲关键基础设施保护计划》绿皮书;2011至2017年间陆续出台《网络与信息安全指令》《关键信息基础设施领域的物联网安全基线指南》等多项政策,推动成员国间的安全战略协作和信息共享。
3、俄罗斯。强调关键信息基础保护的全面性和持续性,明确了等级划分和重要参数指标,建立分级安全监督流程和严格的法律制约体系。2017年颁布了《联邦关键信息基础设施安全法》,明确了俄罗斯联邦关键信息基础设施的保护范围、原则、机构、客体分级、安全评估及监管等要求;2018年进一步决议通过《关于确认俄罗斯联邦关键信息基础设施客体等级划分的规定以及俄罗斯联邦关键信息基础设施客体重要性标准参数列表》。
总体来看,关键信息基础设施安全保护能力的提升不仅要依靠资金投入、技术提升等,更离不开政府的高度重视和政策支持,通过对法律法规等制度体系的健全完善来牵引整体保护能力的不断提升,已成为国际社会普遍共识。
(三)出台历程
2016年我国《网络安全法》正式通过,关键信息基础设施安全保护制度被首次提出,第三章中专门设置“关键信息基础设施的运行安全”专节,以共计9条(第31-39条)的篇幅对于关键信息基础设施安全保护的基本要求、分工以及主体责任等问题作出法律层面的总体安排。
2017年国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》,面向全社会公开征求意见,共计八章55条,明确了关键信息基础设施安全保护总则、支持与保障、关键信息基础设施范围、运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估、法律责任等重点内容。
2019至2021年,《关键信息基础设施安全保护条例》连续三年纳入国家立法计划,历经多年反复锤炼,终于2021年8月17日正式发布,并于2021年9月1日起施行。《条例》共六章51条,对关键信息基础设施保护系列制度要素作了具体规定,涵盖总则、关键信息基础设施认定、运营者责任义务、保障和促进、法律责任等诸多方面。
二、解读
《条例》上承《网络安全法》要求,进一步明确关键信息基础设施安全保护范围、联动责任体系、供应链安全可控、安全内控和意识培养等方面重点内容,体现出四个鲜明的特点:
(一)“大道至简”,厘清重点保护的范围和原则
《条例》第一、二章开宗明义,明确了何为关键信息基础设施、认定规则考虑因素,全面厘清保护对象范围。
一方面,紧扣核心,范围动态。在列举的“公共通信和信息服务、能源、交通……”等八个重点行业基础上,预留了动态范围接口,即明确评判设施性质的核心标准在于其是否“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”,凸显了对关键信息基础设施安全保护根本价值的深刻认识。
另一方面,与时俱进,深谋远虑。认定规则考虑因素聚焦于功能和后果,在传统的“核心业务重要程度”、“一旦遭到破坏后可能带来的危害程度”基础上,增加“对其他行业领域的关联性影响”考虑,维度更加细化全面,与当下各行业关键信息基础设施向深度交叉融合方向发展的趋势密切适配。
(二)“君子务本”,确立分层协同联动责任体系
《条例》第一章第3-4条、第三章和第四章第22-33条,分层次角色廓清了安全保护的职责、任务、分工和联动机制。
一是分层保护、精准把控。《条例》中明确形成了由国家网信部门统筹协调、国务院公安部门指导监督、重要行业和领域主管监管部门作为保护工作部门分别实施保护和监督管理、省级人民政府有关部门各司其职开展保护监督、运营者具体落实、安全服务机构辅助支撑的关键信息基础设施安全保护格局,全面理清了统筹、监管、主管、地方、运营者和服务机构之间的职责,实现了对责任的精准把控和资源的合理“抓”“放”。
二是内外联防,转变模式。《条例》进一步细化了联动机制,通过加强社会分工,依托全社会力量,构筑“内防脆弱”、“外防威胁”、“内外联防”的积极保护体系。对内方面,运营者围绕落实安全“三同步”、安全审查、风险评估、内部制度完善和能力建设开展落实;国家网信部门统筹推动保护标准、开展监督检查、引导专业化的安全服务和技术攻关。对外方面,运营者做好安全态势监测和信息通报;国家网信部门统筹推动信息共享和研判预警;公安和国安部门各司其职主要开展防范打击违法犯罪活动,强化关键信息基础设施的安全保卫。
三是重点突出,强化牵引。首先,突出特殊行业重要性。《条例》在第一章第2条中,将“公共通信和信息服务”列于八个行业之首;第四章第32条,“国家采取措施,优先保障能源、电信等关键信息基础设施安全运行”,将能源和电信行业摆在更为突出的位置优先保障,并强调要为其他行业领域提供重点保障。其次,提升安全管理机构话语权。《条例》第五章第39条,“未设置专门安全管理机构的”、“开展与网络安全和信息化有关的决策没有专门安全管理机构人员参与的”将面临行政处罚。最后,有效强化法律责任约束。《条例》第五章第43条明确,未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织若对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动,以及对基础电信网络实施漏洞探测、渗透测试等活动,未事先向国务院电信主管部门报告的,将可能面临治安管理处罚甚至刑事处罚。
(三)“因地制宜”,发挥优势聚力聚焦自主可控
习近平总书记在“4·19”讲话中指出,“网络安全的本质在对抗,对抗的本质在攻防两端能力较量”。在网络安全的较量中既要充分发挥自身优势、弥补短板,又要保护重点,变被动为主动。《条例》一方面,紧牵关键信息基础设施供应链安全的“牛鼻子”。在第三章第19条明确“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”,确保关键信息基础设施供应链安全。另一方面,发挥国家体制机制优势集中力量办大事。在第四章第36、38条,明确“国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关”,通过国家力量牵引建设重点工程、推进军民融合,提升关键信息基础设施安全可控整体水平。
(四)“以人为本”,强化安全内控和意识的培养
网络是开放复杂的系统,除了关键信息基础设施系统本身外,人是不稳定因素重要来源,《条例》全面贯穿“以人为本”的管理理念,真正实现“网络安全靠人民”、“网络安全为人民”。
一方面,加强内部管控。负责关键信息基础设施安全管理的内部人员是网络安全风险的极大隐患之一,《条例》第三章第14条,明确要求“运营者应当设置专门安全管理机构,并对机构负责人和关键岗位人员进行安全背景审查”。
另一方面,强化教育培训。网络安全是交叉性学科,需要复合型人才,发扬“工匠”精神,多培养技能型人才。《条例》第四章第35条,“将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系”,全面促进内部人员的网络安全意识和技能水平提升,以及外部技术支撑力量的培训。
三、落实《条例》的几点思考
(一)强化资源配套
一方面,建议加快推动制定关键信息基础设施安全保护的国家标准、行业标准,为关键信息基础设施的具体保护工作提供指导。另一方面,加强对关键信息基础设施安全保护国家级支撑力量的培养,建立多层级的安全保障专业队伍,提升队伍专业素养。
(二)强化技术攻关
一方面,汇聚全社会力量开展重点难点技术攻关,加强对关键信息基础设施所需关键部件、平台应用、生态发展的支撑,不断提升相关领域的安全自主可控能力。另一方面,严格落实网络安全审查要求,建立健全相关组织机制和支撑体系,不断强化关键信息基础设施供应链安全保障。
(三)强化体系落地
一是抓好基础管理。根据国家政策法律要求,加速建立健全关键信息基础设施安全保护体系,围绕制度、组织、人员、建设、运维等夯实安全管理基础。二是强化技管结合。建立统一的安全应急响应中心,围绕风险识别、安全防护、检测评估、监测预警、事件处置等方面做好关键信息基础设施安全集中化运营。三是推动研运一体。通过建设集中化安全运营平台,建立健全网络空间测绘、威胁情报、靶场等多种安全能力体系,打造网络安全运营“常备军”,为关键信息基础设施安全保护提供有力技术支撑。
毋庸置疑,《条例》的出台,为我国关键信息基础设施保护工作勾勒出崭新的蓝图,为推动关键信息基础设施安全保障向法治化、体系化、科学化发展指明了方向,必将在维护国家安全、经济发展和社会稳定方面持续发挥重大作用。(作者:张滨,中国移动集团有限公司信息安全管理与运行中心)