編者按
能源、交通、水利、金融、公共服務等重要行業和領域作為經濟社會執行的神經中樞,長期面臨著各類安全威脅。近年來,世界各國紛紛出臺網路安全戰略並不斷完善網路安全立法,加強關鍵資訊基礎設施保護。
在我國,作為首部專門針對關鍵資訊科技設施安全保護工作的行政法規,《關鍵資訊基礎設施安全保護條例》施行在即。
本期產業安全TALK 分享一篇來自《中國電子報》的解讀,作者透過深度剖析《條例》亮點與意義,進一步探討了其對網路安全行業發展的影響。
記者:宋婧
來源:中國電子報
當前,關鍵基礎設施正在成為網路攻擊的主要目標。一樁樁大規模網路攻擊事件觸目驚心,中國、德國、俄羅斯、以色列、智利、伊朗等多個國家的關鍵基礎設施均遭受過不同型別、不同程度的網路攻擊,在全球範圍內拉響了“紅色警報”。
近來,國內相關政策法規密集出臺。其中,作為我國首部專門針對關鍵資訊科技設施安全保護工作的行政法規,《關鍵資訊基礎設施安全保護條例》(以下簡稱《條例》)即將於9月1日正式施行,為網路安全行業的健康、有序發展點亮了一盞“航標燈”。
關鍵詞:範圍、授權、責任
實際上,透過網路安全法,關鍵資訊基礎設施的概念首次在我國法律層面得以明確。《條例》則是針對關鍵資訊基礎設施的範圍界定、授權認定、責任機制等關鍵性問題進行了更為詳細的規定。
賽迪智庫網路安全研究所所長劉權在接受《中國電子報》記者採訪時說:“《條例》採用了‘範圍列舉+授權認定’的方法,對關鍵資訊基礎設施的內涵和外延做出規定。”
在範圍列舉方面,《條例》第二條將關鍵資訊基礎設施定位於“重要網路設施和資訊系統”,並以列舉方式明確了其行業屬性和影響屬性兩大界定標準:一是“公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等”八個重要行業和領域;二是“一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益”。
尤其值得關注的是,鑑於新興網際網路平臺使用者規模普遍在億級以上,掌握著海量的高價值資料,如遇網路攻擊,其危害程度不亞於傳統行業,因此多位專家認為這些平臺也可能被納入關鍵資訊基礎設施的範圍。
在授權認定方面,《條例》第二章對授權認定做出了規定,主要明確了兩個要點:一是認定主體,即“關鍵資訊基礎設施安全保護工作的部門,主要包括了《條例》第二條所述八個重要行業和領域的主管或監管部門;二是認定依據,《條例》第九條還明確了制定“認定規則”時應依據的“重要程度”“危害程度”和“關聯影響”三個主要考量因素。
安全責任機制的明確也是《條例》的亮點之一。“《條例》的頒佈傳遞出關鍵基礎設施領域中安全的重要戰略地位,關鍵基礎設施的安全防護不僅僅是相關運營者的責任,更關乎國計民生和社會利益。”騰訊安全戰略發展中心行業安全專家組負責人陳顥明在接受《中國電子報》記者採訪時表示,“主要是‘責任’,包括關鍵基礎設施運營者要落實的主體責任,以及未做好安全防護要負的法律責任。”
劉權補充說,《條例》對於責任機制的規定主要有三點:一是突出主體責任,運營者在整個保護工作中,因其肩負重要職責而具有的不可替代作用。二是健全責任範圍,形成對關鍵資訊基礎設施保護工作的全方位責任保障;三是明確責任方式,主要涵蓋行政責任、民事責任和刑事責任三大類別。
《條例》旨在解決哪些問題?
隨著我國國民經濟和社會資訊化的全面推進,傳統的社會活動不斷向網路空間延伸擴充套件,經濟與國家安全高度依賴於關鍵資訊基礎設施。“完善關鍵資訊基礎設施保護法律體系,全面提升關鍵資訊基礎設施安全保護意識、保障能力和水平,已經成為網路安全博弈的制勝關鍵。”陳顥明表示。
然而現階段,我國關鍵資訊基礎設施的安全防護仍存在不少問題。華雲資料控股集團高階副總裁郭曉在接受《中國電子報》記者採訪時坦言:“我國整體安全投入與全球市場還存在差距。”國家統計局和IDC資料顯示,我國網路安全產業佔GDP僅0.41%,和美國相差3.6倍,網路安全產業規模和美國相差5.5倍。
不過,業界人士普遍認為,《條例》的出臺將給國內網路安全產業帶來較大增量空間。中信證券稱,《條例》正式施行後有望帶動省級、國家級關鍵資訊基礎設施安全投入增加。假設國家級、省級關鍵資訊基礎設施有望達到2萬個,平均每個關鍵資訊基礎設施每年的安全投入為100萬元,則《條例》帶來的增量市場每年預計有200億元。
陳顥明指出:“結合近期的政策,政企安全投入比重的提升將推動網安行業開啟高速增長期,預計未來安全投入與全球市場的差距將持續縮小。尤其是公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等這些《條例》要求保護的重點行業,未來將是網路安全能力建設和投入的重點。”
“除了安全投入不足,我國關鍵資訊基礎設施安全保護還面臨自主可控能力不足、缺乏完善有效的脆弱性評估機制和安全恢復計劃、安全風險監測和預警機制較弱等挑戰。”劉權談道。
今年5月國家網際網路應急中心(CNCERT)釋出的《2020年我國網際網路網路安全態勢綜述》資料顯示,勒索病毒、APT攻擊、系統漏洞、資料安全等安全問題已逐漸成為企業、政府機構、金融機構等對網路安全性要求較高使用者群體最為關心的核心問題之一。而關鍵資訊基礎設施網路安全事故多發,也從側面凸顯出產業生態的不完善。
《條例》的正式施行有望補足網路安全產業鏈的薄弱環節。劉權分析稱,《條例》明確規定關鍵資訊基礎設施運營者應當落實網路安全責任,開展安全監測和風險評估,規範網路產品和服務採購活動。從這些要求看,網路安全行業中提供風險評估、等保測評以及合規性諮詢等第三方服務企業將明顯受益。“尤其是是近年來興起的網路安全託管服務,會獲得更大的市場增長空間。”陳顥明強調。
“《條例》對信創產業和網安行業也表達了明確支援,指出應當優先採購安全可信的網路產品和服務。因此,跨越多行業,多領域的雲服務提供商作為主要物件,其中具有信創和自主智慧財產權特色的企業,和具有跨界整合優質網路安全方案能力的企業會更加受益。”郭曉表示。
另外,網路安全人才問題也將獲得更多的關注。陳顥明認為,關鍵資訊基礎設施運營單位普遍存在網路安全人員編制少、人才流失嚴重、現有人員經驗不足等諸多問題,《條例》的實施會帶來更大的人才需求壓力。“一方面,在現有人才無法滿足要求的情況下,關鍵資訊基礎設施運營單位亟須引入外部網路安全人才和服務,補齊和加強網路安全力量;另一方面,也要加強內部網路安全人才培訓。”
究竟應該怎麼做?
傳統的安全建設往往注重先進和高效的技術防禦平臺建設,卻忽視了平臺的持續運營能力和對事件的應急處置能力。大多數單位真正缺乏的是“用好安全產品”和“應對突發事件”的能力,這無論是對關鍵資訊基礎設施運營單位的安全團隊還是對提供產品和服務的安全企業,都是一個需要投入精力去解決的問題。在陳顥明看來,關鍵資訊基礎設施安全保護體系的建設,將更加強調安全運營、應急處置等“軟”實力的構建,要求業內企業和單位更加註重安全能力的持續、有效運作。
一方面,關鍵基礎設施運營者在其中扮演著不可替代的重要角色。劉權建議:“運營者需重點做好以下三個方面工作。一是落實主體責任,透過建立安全保護制度、設立專門管理機構、加強網路安全意識教育等多種形式,切實保障相關資金落實,建立網路安全保障體系;二是高度重視安全保護工作,合規做好系統建設相關工作;三是定期開展網路安全檢測和風險評估,發生重大安全事件應及時向相關部門報告。”
另一方面,企業與安全從業者也是重要參與者,需提供更符合實際場景需求的安全解決方案。陳顥明談到:“關鍵資訊基礎設施的保護體系不應再是類似等保的‘基線’式防護,而必須是有重點、有目標的針對性管控體系。安全行業從業者必須深入到不同關鍵資訊基礎設施行業的業務場景中,基於不同的行業風險考慮系統的應對措施。”
郭曉指出,從網路安全形度出發,包括內外網安全、虛擬化安全、雲原生安全都是關鍵資訊基礎設施安全保護的範圍;業務資料多副本機制、本地保護策略、異地備份和恢復機制都應成為企業上雲的必備前提。同時,服務商也應積極對照《條例》及網路安全法等法律法規,擔起安全合規義務和責任,主動擁抱網路安全監管,規避合規風險,並依託創新技術,不斷完善網路安全防禦體系,為政府和企業使用者構築起一道雲上的安全屏障。
總體來看,關鍵資訊基礎設施安全保護體系的建設更強調總體規劃、技術可信、持續運營和有效性監管,要求整個行業的從業者共同協作,建立更完善的產業生態體系。陳顥明認為:“這包括但不限於——規劃層面,完善基於行業屬性的安全標準與最佳實踐;建設層面,促進安全可信技術的發展、安全產品和運營能力的規範化評價體系;運營層面,建立更順暢的資訊共享和技術協同機制,充分發揮運營者內部自查、行業監管和國家監管的多層保障和促進作用。”