2021年7月30日,国务院总理李克强签署第745号国务院令,公布《关键信息基础设施安全保护条例》(以下简称《条例》),自2021年9月1日起施行。旨在通过配套立法进一步推进关键信息基础设施安全保护各项工作的落实,切实保障我国关键信息基础设施安全,维护网络安全。
01:概述
2017年6月1日正式实施的《中华人民共和国网络安全法》就关键信息基础设施安全保护的对象和范围、责任主体、工作内容等进行了总体性的规定,此次《条例》的出台,是对网络安全法中关于关键信息基础设施运行安全要求的进一步细化和补充。
《条例》明确指出了关键信息基础设施安全保护工作必须在网络安全等级保护制度落实的基础之上,依照其他有关法律法规以及国家标准的强制性保护要求进行重点保护,同时规定了关键信息基础设施安全保护工作中各相关方(如关基运营者、网信部门、国务院公安部门、国务院电信部门以及其他相关主管和监管部门)的责任和义务,通过“奖惩结合”的方式,在充分调动和激发各相关方关保工作积极性的同时,严格防范和惩治网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行。
02:关键信息基础设施安全保护框架
为支撑和保障关键信息基础设施安全保护工作的顺利和有效开展,关键信息基础设施安全保护相关国家的相关法律法规政策和标准体系从国家各个层面均在逐步的构建和完善中。而国家监管部门、保护工作部门和关基运营者需要立足于当前国际严峻的网络安全形势和应对大规模网络攻击威胁的能力需求,充分考虑关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等阶段,落实“三化六防”安全措施,满足关键信息基础设施分析识别、安全防护、检测评估、监测预警、技术对抗和事件处置6个环节的安全要求,采取新的技术如可信计算、人工智能、大数据分析、密码等技术,全面构建网络安全综合防御体系。六方云深入学习《关键信息基础设施安全保护条例》《中华人民共和国网络安全法》、网络安全等级保护制度、关键信息基础设施安全保护制度和公安部1960号文件等相关要求,从顶层设计的角度出发,总结出了关键信息基础设施安全保护框架如图1所示。
▲图1 关键信息基础设施安全保护框架
03:关键信息基础设施安全保护工作重点内容理解
1、关键信息基础设施是什么?如何认定关键信息基础设施?
第二条,本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
●《中华人民共和国网络安全法》第三十一条已首次明确了关键信息基础设施的概念和范围,在本条例中将“国防科技工业”这一重要行业和领域也纳入了关键信息基础设施安全保护的范围。
《中华人民共和国网络安全法》
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
●不能仅仅以行业属性来评判是否为”关键信息基础设施“,核心标准聚焦在是否“一旦遭到破坏、丧失功能或者数据泄漏,可能严重危害国家安全、国计民生、公共利益”,深刻突出了关键信息基础设施安全保护工作的根本价值和主要目标为“保障关键信息基础设施安全”。
●关键信息基础设施安全保护的对象是“重点行业和领域的重要网络设施、信息系统等”。
2、如何理解关键信息基础设施安全保护的四项原则?
在等级保护制度基础上加强保护
等保2.0是网络安全工作基线,关键信息基础设施安全保护是在等保基础之上“加强保护”,不能将二者割裂看待,各立门户
以关键业务为核心的整体防控
关保的对象是关键信息基础设施,而非网络和信息系统。一个关键信息基础设施上可能承载着多个网络和信息系统,因此对关基的防护要覆盖到业务(业务链)上的每一个系统,可能会优先保障关键业务系统
以风险管理为导向的动态防护
风险评估是一个类似PDCA的循环周期,旨在不断发现问题,解决问题,调整策略。面对新型网络攻击方法、攻击途径的多样化,需要以闭环的风险管理思想,在安全防护过程中不断调整防护策略,技术和手段
以信息共享为基础的协同联控
关键信息基础设施安全保护所涉及的监管部门、保护工作部门和关基运营者及其他利益相关方,都应共同参与到关键信息基础设施的安全保护工作,并建立信息共享、协同联动的安全防护机制。
3、如何进行关键信息基础设施安全保护(关保的环节及活动)?
关键信息基础设施安全保护需要按照“分析识别、安全防护、检测评估、监测预警、技术对抗、事件处置”6个环节及活动进行保护。注意是6个“环节或活动”,而非6个阶段,这6个环节间无固定的先后顺序,也无重要程度区分。
4、如何理解关保和等保的关系?
等保2.0是网络安全工作基线,关键信息基础设施安全保护是在等保基础之上“加强保护”,不能将二者割裂看待,各立门户。
5、关键信息基础设施运营者的安全保护工作的法律责任?
4:关键信息基础设施安全保护体系建设
网络安全等级保护制度的“一个中心三重防护”是指对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行整体设计和保护。而关键信息基础设施安全保护,除了基础的合规性要求外,更需要建立风险评估、安全防护、监测预警、应急处置以及抵御大规模网络攻击和威胁的技术对抗能力等,因此关键信息基础设施安全防护不能仅靠简单的产品堆砌,在现如今复杂的网络环境和外部条件下,必须在相对完善的网络安全防护体系下才更有可能防止安全威胁从防护短板乘虚而入。六方云在满足关保相关要求和企业安全能力建设需求的基础上,提出了以“安全保卫体系”、“安全保护体系”、“安全保障体系”为核心的一体化网络安全综合防控体系,如图2所示。
▲图2 六方云一体化网络安全综合防控体系
安全保卫体系:关基运营者需要配合公安机关和有关部门,开展关键信息基础设施的违法犯罪侦查打击工作,同时积极建立与各相关方的协同联动和通报预警机制,共同保卫关键信息基础设施安全。
安全保护体系:关键信息基础设施安全保护需要在满足网络安全等级保护基本要求、基线要求和合规要求的基础上,采取先进的技术和重要措施,贯穿关键信息基础设施的整个生命周期进行加强保护和重点保护。
安全保障体系:为保障关基保护工作顺利有序开展,关基运营者必须从组织领导、人才培养、经费保障等方面提供后备支撑。
5:六方云关基安全服务
六方云依据关基相关政策法规和技术标准,构建了助力企业“安全能力”建设的安全服务体系,通过贴合行业的安全服务解决方案和专业的安全服务团队,为用户提供多种类专业的安全服务,有效落实”三化六防“等措施,助力运营者提升关键信息基础设施安全保护能力和水平。