保护关键信息基础设施:铸牢国家安全屏障的关键一招
唐岚中国现代国际关系研究院科技与网络安全研究所研究员
国务院总理李克强日前签署国务院令,公布《关键信息基础设施安全保护条例》(简称《条例》),将于9月1日起施行。《条例》作为《网络安全法》的重要配套法规,确立了中国关键信息基础设施安全保护的具体要求,明确界定了保护范围和对象、监管主体、责任义务、保障和促进举措及法律责任,推动国家网络安全保障体系建设进入新阶段。
加强关键信息基础设施保护是应对当前日趋严峻的网络安全态势的必然要求。
纵观国际,针对关键基础设施的重大网络攻击事件频频发生,国计民生、人民生命与财产安全甚至国家安全均面临重大风险。5月美国最大输油企业科洛尼尔管道运输公司遭遇勒索病毒攻击,令美东海岸45%的汽柴油、航空燃油等供应中断近一周。此外智利银行系统、爱尔兰卫生系统、伊朗铁路系统、美核武器承包商、美国最大轮渡服务商、沙特国家石油公司阿美石油、南非港口等也相继曝出遭受黑客攻击。IBM公司2020年统计称,社会基础设施和大型工厂等的控制系统因网络攻击受损相比2019年增加了50%。美国甚至把针对政府、医疗机构和学校等的勒索病毒攻击视为“最紧迫的国家安全威胁”,堪比“9·11”恐怖袭击。
而更为严峻的是,在全球地缘政治热度回归背景下,通过网络手段破坏关键信息基础设施已成为一些国家进行情报收集、获取竞争优势的主要手段。一定程度上恶化了网络空间的不安全和不稳定局面,对一国网络安全保障能力造成了巨大压力。美俄就宣称入侵了对方的电力系统,拜登与普京会谈时就提出了美国网络攻击的红线。
反观国内,中国关键信息基础设施的安全也屡屡遭遇挑战。根据国家计算机网络应急技术处理协调中心监测发现,目前中国境内直接暴露在互联网上的工业控制设备和系统存在高危漏洞隐患占比始终较高,其中20%的能源、轨道交通等生产管理系统存在高危安全漏洞。2020年年初,南方电网电力变电站遭遇工控网络武器破坏,导致断电。电力行业月高危网攻达200余起。
《条例》对如何细化落实网络安全法及相关法律法规提出了明确要求,夯实了数字中国、智慧中国和网络强国建设的安全基石,为确保网络时代国家命脉安全提出了应对办法。
作为维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益的有力政策工具,《条例》旨在解决关键信息基础设施工作的突出问题,为开展保障工作提供了基本遵循。其中最值得关注的有三个方面:
一是压实主体责任。尤其是运营者的责任和义务并予以细化。《条例》明确运营者主要负责人对关键信息基础设施的安全保护负责,要求设立专门的安全管理机构并履行8方面职责,对关键岗位人员实施安全背景审查等,同时也明确了运营者不履行法律责任时可能面临的惩处。二是将安全贯穿始终。《条例》规定运营者要落实“三同步”,即安全保护措施与关键信息基础设施同步规划、同步建设、同步使用,从源头堵住安全隐患,也把安全贯穿设计建设、运行维护、应急恢复、停用废弃全过程,确保安全保障覆盖全关键信息基础设施的全生命周期。三是构建了完备的工作体系。《条例》明确了国家、部门和地方各层面的监管体制,此外还建立网络安全信息共享机制、完善监测预警和应急体系、组织开展检查检测、能源和通信服务优先保障、加强安全保卫和防范打击违法犯罪、出台相应标准指导规范等6方面的保障措施,以及人才培养、财政金融、技术创新、产业发展、表彰奖励、宣传教育等方面促进措施,成为系统观念应用的典范。
《条例》在2016年3月即被纳入国务院立法工作计划,历经5年的工作摸索和经验积累。即将实施的《条例》针对中国关键信息基础设施保护面临的突出问题,提出了科学化、系统化、精细化的工作指引,后续的落实能否做到抓铁有痕、掷地有声则是关键。《条例》中涉及的各主体均应从维护国家安全的高度出发,积极担当,认真履行法定责任,国家网信部门及其他主责部门则要充分发挥监督作用,更要注重自身能力的提升,加强手段建设,本着综合协调、分工负责、依法保护的原则,针对工作过程中出现的新问题、难点问题勇于创新,探索、引领关键信息基础设施保护的新模式,努力在全社会形成合力,共筑关键信息基础设施保护长城。