《电子技术应用》
您所在的位置:首页 > 通信与网络 > 业界动态 > 网络和信息系统安全 | 主体责任与综合共治 关键信息基础设施保护的新格局

网络和信息系统安全 | 主体责任与综合共治 关键信息基础设施保护的新格局

2021-08-22
来源:网安寻路人

  日前颁布的《关键信息基础设施安全保护条例》(以下简称《关基保护条例》)对事关“国家安全、国计民生、公共利益的重要网络设施、信息系统”,提出了除网络安全等级保护制度之外的增强性安全要求和安全措施。贯穿于其中的增强性要求和措施的一条主线,是主体责任与综合共治相配合的理念,即《关基保护条例》第四条所提出的:“关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称关基运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全”。本文将简析《关基保护条例》在落实综合共治方面的相关制度设计,并着重从网络安全信息共享的角度进行阐释和分析,以彰显《关基保护条例》所秉持的先进理念。

  一、《关基保护条例》重点设计了综合共治的制度路径

  《关基保护条例》对关基安全保护的综合共治,有着丰富的制度设计。除了对关基运营者提出了相对于一般运营者更高的安全责任义务之外,还在多个方面建立了制度性途径,要求保护工作部门、国家网信部门、国务院公安部门,与关基运营者一道,直接参与到关基的日常保护工作之中。

  具体来说,一是人员方面,第十四条规定对关基安全管理机构负责人和关键岗位人员进行安全背景审查时,“公安机关、国家安全机关应当予以协助”。二是在产品和服务方面,第十九条规定运营者“采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”。三是应急演练。第二十五条规定,保护工作部门应建立健全本行业、本领域的网络安全事件应急预案,当定期组织应急演练。四是事件应对处置中的技术支持与协助,体现在第二十五规定中,关基的保护工作部门在指导运营者做好网络安全事件应对处置时,“根据需要组织提供技术支持与协助”;第二十九条规定,国家网信部门、电信部门、公安部门“应当根据保护工作部门的需要,及时提供技术支持和协助”。

  二、网络安全信息共享是综合共治的突出体现

  除了上述四方面,综合共治的另外一个突出体现即是网络安全信息共享。首先是关基运营者的信息上报义务,按照第十五条,关基运营者所建立的专门安全管理机构应“按照规定报告网络安全事件和重要事项”;第十七条规定,运营者开展网络安全检测和风险评估时,应当“按照保护工作部门要求报送情况”;第十八条进一步要求,“发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告”;第二十一条还规定,如果“运营者发生合并、分立、解散等情况,应当及时报告保护工作部门”。

  其次是部门检查检测、监测机制。其具体体现在两个方面:一是第二十六和二十七条所要求的国家网信部门、国务院公安部门和保护工作部门主动组织网络安全检查检测,目的主动发现关键信息基础设施存在的网络安全漏洞、管理问题、技术缺陷等,并就此提出改进措施,指导运营者整改安全隐患,完善安全措施。二是第二十四条要求保护工作部门应当建立“本行业、本领域”的关基网络安全监测制度,以便“及时掌握本行业、本领域关键信息基础设施运行状况、安全态势”。

  再次是各部门之间的信息共享制度。第十八条规定,对于特别重大的网络安全事件或网络安全威胁,例如“关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等”,保护工作部门“应当在收到报告后,及时向国家网信部门、国务院公安部门报告”。第二十三条要求“国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享”。

  最后是保护工作部门的信息预警制度。在通过前述规定实现网络安全信息收集和共享之后,《关基保护条例》第二十四条要求保护工作部门应当建立“本行业、本领域”的关基网络安全预警制度,以便“预警通报网络安全威胁和隐患,指导做好安全防范工作”。

  三、网络安全信息共享对关基安全保护具有重要意义

  《关基保护条例》之所以花如此多的笔墨在行业、领域乃至国家层面,围绕着关键信息基础设施保护构建网络安全信息共享机制,其最直接的意义是为了能够“全天候全方位感知网络安全态势”。在全面的网络安全态势感知的指引下,关基运营者首先能够识别风险、认识风险。习近平总书记指出,“知己知彼,才能百战不殆”;“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险”;“没有意识到风险是最大的风险”,无法识别风险的后果只能是“谁进来了不知道、是敌是友不知道、干了什么不知道”。对于内部风险,网络安全态势感知能够让关基运营者“摸清家底”、“找出漏洞”、“通报结果”、“督促整改”; 对于外部风险,网络安全态势感知能够让关基运营者知道什么时候“人家用的是飞机大炮,我们这里还用大刀长矛”。

  其次,全面的网络安全态势感知对网络安全工作的统筹安排、资源分配具有全局性、基础性的指导意义。总书记指出,“网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼”。因此,在资源约束下,如何判断轻重缓急,如何做到科学高效地分配网络安全力量,全面的网络安全态势感知是最好的指南。总书记说,通过识别和认识风险,我们才能“有本清清楚楚的账”——即“哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护”。

  从前述网络安全信息共享的四方面制度中不难看拿出,参与到信息共享,对单个运营者来说,能对攻击者有更多、更深的了解,缩短对网络攻击的反应时间;能够效仿别的运营者部署的行之有效的安全措施,提高总体安全水平。与此同时,政府部门参与到安全信息共享中去,把自己掌握的情况通过共享网络做到快速、广泛发布,通过信息共享,达到调动、协调全社会实现实时的群防群治,提高网络安全治理的效果。

  此外,政府部门、运营者、网络安全服务提供者等各主体间更大程度的安全信息共享,意味着有更多的安全信息和数据被“生产”出来,并开始流通。安全大数据得以成为可能。政府部门能借此在宏观层面,更全面地掌握威胁和安全防护方面的全局性情况,分析出未来可能的发展趋势,为在国家层面制定战略和行动计划、开展专项行动,有针对性地协调各部门、各行业进行防护工作等打下坚实的基础。

  总之,全面的网络安全信息共享机制能够在关键信息基础设施保护工作中超越“静态底线式”的安全合规,实现有效掌握“攻防两端能力”对比变化,科学高效分配有限的安全资源和力量,进而在动态对抗博弈中赢得主动,达到动态优化式的安全保障效果。

  四、结语

  如前文分析,《关基保护条例》的科学之处在于清晰地认识到关基保护的核心关键之一在于公私紧密合作;在此方面中外莫不如是。同时由于我国国情因素,地区、部门之间的协作也至关重要。因此,在综合共治方面,《关基保护条例》提出了丰富且先进的制度设计:一方面在关基安全保护的重要节点,部门通过自身的资源和能力直接赋能运营者。另一方面通过网络安全信息上报、收集、共享等,并通过预警机制,“点滴之中”直接指导、提升运营者的日常安全保护工作。两个方面相结合,做到了对关基运营和安全的全覆盖。就此,我们有理由相信《关基保护条例》的科学设计为提升关基安全保护水平奠定了坚实基础。(完)




电子技术图片.png

本站内容除特别声明的原创文章之外,转载内容只为传递更多信息,并不代表本网站赞同其观点。转载的所有的文章、图片、音/视频文件等资料的版权归版权所有权人所有。本站采用的非本站原创文章及图片等内容无法一一联系确认版权者。如涉及作品内容、版权和其它问题,请及时通过电子邮件或电话通知我们,以便迅速采取适当措施,避免给双方造成不必要的经济损失。联系电话:010-82306118;邮箱:aet@chinaaet.com。