《電子技術應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 鄔賀銓:法律護航關鍵基礎設施安全保護 為網(wǎng)絡強國建設奠定堅實基礎

鄔賀銓:法律護航關鍵基礎設施安全保護 為網(wǎng)絡強國建設奠定堅實基礎

2021-09-12
來源: 中國信息安全

  基礎設施顧名思義是社會運行的底座,其重要性不言而喻。近十多年來,隨著云計算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、區(qū)塊鏈和4G/5G等新一代信息技術的蓬勃發(fā)展,互聯(lián)網(wǎng)服務興起并滲透到經(jīng)濟社會民生的各個領域,促進通信基礎設施向著寬帶化、云化和軟件定義迅速演進,而且新一代信息技術作為通用技術正加速融合到傳統(tǒng)行業(yè)基礎設施中,信息基礎設施也已成為傳統(tǒng)行業(yè)基礎設施中不可分割的部分。但通常先進技術都有雙刃劍的特性,信息技術尤其如此,在加快人們對事物的認知和高效決勝于千里之外的同時,其漏洞與薄弱環(huán)節(jié)也容易被惡意利用?;A設施對信息技術的依賴性越深,其受影響就越大,特別是對重要行業(yè)和領域,基礎設施的安全問題可能嚴重危害國家安全、國計民生、公共利益等,因此關鍵信息基礎設施的安全保護越來越受到世界各國的重視。

  安全形勢錯綜復雜

  關鍵基礎設施安全受各國重視

  隨著國際形勢的不確定性加劇,網(wǎng)絡安全事件與地緣政治熱點有明顯的結合趨勢。特別是個別國家拉攏盟友以網(wǎng)絡安全為借口打壓中國信息技術企業(yè),斷供關鍵元器件并限制我國產(chǎn)品出口,既為他們的產(chǎn)品搶占中國市場獲得經(jīng)濟利益,又削弱了我國關鍵信息基礎設施自主可控的能力。網(wǎng)絡安全攻擊也被利用來針對我國關鍵信息基礎設施,已經(jīng)出現(xiàn)有組織的網(wǎng)絡安全攻擊矛頭直指中國的趨勢?,F(xiàn)在個別國家的軍隊從網(wǎng)絡安全攻擊的幕后走向了前臺,美國2010年就率先成立了網(wǎng)絡司令部,使網(wǎng)絡作戰(zhàn)與空中、太空作戰(zhàn)充分融合,2017年8月升級為一級作戰(zhàn)司令部,正式將網(wǎng)絡攻擊作為戰(zhàn)爭手段。

  世界各國也紛紛出臺法律法規(guī),加強關鍵基礎設施安全保護。美國2001年起先后頒布了《2001年關鍵基礎設施保護法》《改進關鍵基礎設施網(wǎng)絡安全行政令》和《增強聯(lián)邦政府網(wǎng)絡與關鍵基礎設施網(wǎng)絡安全行政令》等相關法律文件。明確規(guī)范了保護重點、多層次保護組織架構、風險評估方法和衡量評價方案及指標體系。歐盟從2008年起出臺了《2008年歐盟關鍵基礎設施認定和安全評估指令》和《2016年網(wǎng)絡與信息安全指令》等關鍵基礎設施保護法律文件。從制定歐洲廣泛適用的標準和方法、建立歐洲信息共享和預警機制、制定應急預案并進行應急響應和恢復演習等方面確保互聯(lián)網(wǎng)的穩(wěn)定性和應急能力為歐盟優(yōu)先發(fā)展事項。日本在2005年制訂并于2009年和2015年修訂《關鍵信息基礎設施信息安全措施行動計劃》,規(guī)范了正常與危機時的信息共享機制、跨部門的演習與培訓、國家與運營者的二級風險管理、標準認證與國際合作、相關方的利益與行動等。此外,不少國家對關鍵信息基礎設施的安全保護也出臺了相應的法律。例如俄羅斯2017年頒布了《聯(lián)邦關鍵信息基礎設施安全法》,澳大利亞2018年頒布了《關鍵基礎設施安全法》。

  我國安全保護實踐積極開展

  成果顯現(xiàn)但形勢仍然嚴峻

  早在2014年2月,在中央網(wǎng)絡安全和信息化領導小組第一次會議上,習近平總書記就指出,“要抓緊制定立法規(guī)劃,完善互聯(lián)網(wǎng)信息內(nèi)容管理、關鍵信息基礎設施保護等法律法規(guī),依法治理網(wǎng)絡空間,維護公民合法權益?!痹?016年4月召開的網(wǎng)絡安全和信息化工作座談會上,習近平總書記明確要求:加快構建關鍵信息基礎設施安全保障體系。金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡安全的重中之重,也是可能遭到重點攻擊的目標。“物理隔離”防線可被跨網(wǎng)入侵,電力調(diào)配指令可被惡意篡改,金融交易信息可被竊取,這些都是重大風險隱患。不出問題則已,一出就可能導致交通中斷、金融紊亂、電力癱瘓等問題,具有很大的破壞性和殺傷力。我們必須深入研究,采取有效措施,切實做好國家關鍵信息基礎設施安全防護。

  2017年11月,我國頒布了《中華人民共和國網(wǎng)絡安全法》,其中有專門一節(jié)為“關鍵信息基礎設施的運行安全”,要求在等級保護制度基礎上對關鍵信息基礎設施實施重點保護。同年發(fā)布了《關鍵信息基礎設施安全保護條例》征求意見稿,與國家《密碼法》、《數(shù)據(jù)安全法》等一起作為網(wǎng)絡安全法重要配套法規(guī),歷經(jīng)四年多的實踐,《關鍵信息基礎設施安全保護條例》將于2021年9月1日起實施。

  這幾年的實踐表明,國家網(wǎng)絡安全法及其配套的政策法規(guī)對促進我國關鍵信息基礎設施的安全保護起到十分重要的作用。據(jù)工信部網(wǎng)絡安全威脅和漏洞信息共享平臺監(jiān)測數(shù)據(jù),2021年上半年我國DDoS攻擊次數(shù)同比減少51.9%,僵尸木馬受控事件同比減少58.8%;境內(nèi)惡意程序傳播、惡意程序控制端IP地址和域名等惡意網(wǎng)絡資源同比下降67.4%,被篡改網(wǎng)站數(shù)量同比減少86.5%。

  但同時要清醒認識到,關鍵信息基礎設施的網(wǎng)絡安全形勢仍然嚴峻,網(wǎng)絡安全漏洞和相關攻擊行為仍然在持續(xù)增長,2021年上半年,工信部網(wǎng)絡安全威脅和漏洞信息共享平臺新增收錄的網(wǎng)絡產(chǎn)品漏洞已達到2020年全年的58.5%,利用漏洞對境內(nèi)主機進行掃描探測、植入木馬等遠程攻擊行為的惡意IP超120萬個,55.7%來自境外。特別是針對電子設備、專用設備、電氣機械和器材制造等重要工業(yè)互聯(lián)網(wǎng)領域的網(wǎng)絡攻擊仍在持續(xù)增長,2021年上半年,國家工業(yè)互聯(lián)網(wǎng)安全態(tài)勢感知與風險預警平臺監(jiān)測到針對我國工業(yè)領域的網(wǎng)絡攻擊同比增幅超2倍,遭受網(wǎng)絡攻擊的工業(yè)企業(yè)數(shù)量同比增長57.2%。勒索病毒攻擊仍然異?;钴S,據(jù)Cybersecurity Ventures的預測,到2021年全球勒索軟件破壞成本將達到200億美元,是2015年的57倍。利用產(chǎn)品軟件官網(wǎng)或者軟件包存儲庫等進行傳播的供應鏈攻擊已成為2020年最具影響力的高級威脅之一。據(jù) VenusEye 威脅情報中心數(shù)據(jù),過去一年多,在全球受僵尸網(wǎng)絡控制的各類物聯(lián)網(wǎng)設備中我國占比最高。從全球看,2020年關鍵信息基礎設施安全事件越來越隱蔽而且危害越來越大。

  法治保障意義重大

  將為網(wǎng)絡強國建設奠基

  關鍵信息基礎設施安全保護面臨著錯綜復雜的嚴峻形勢,為了維護我國國家利益和第二個百年發(fā)展目標,國務院正式發(fā)布《關鍵信息基礎設施安全保護條例》,意義十分重大:

  一是該條例定義了關鍵信息基礎設施,給出了認定規(guī)則的主要因素,明確了認定的責任主體及程序。二是該條例突出了國家對關鍵信息基礎設施的總體部署與統(tǒng)籌協(xié)調(diào),界定了國務院相關部委及地方政府的職責,堅持綜合協(xié)調(diào)、分工負責、安全保護和監(jiān)督管理。三是該條例明確了關鍵信息基礎設施運營者主體責任,包括制度建立、組織落實、經(jīng)費保障、教育培訓、監(jiān)測評估、應急演練和定期報告及事件報告,以及違法應承擔的法律責任等。四是該條例對建立網(wǎng)絡安全生態(tài)鏈給出明確的要求,即安全保護措施要與關鍵信息基礎設施三同步(規(guī)劃、建設、使用);運營者需對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理;運營者應優(yōu)先采購安全可信網(wǎng)絡產(chǎn)品和服務,并通過與供貨商簽訂安全保密協(xié)議和監(jiān)督以明確提供者的技術支持和安全保密義務與責任;國家優(yōu)先保障能源和電信等關鍵信息基礎設施安全運行,能源和電信行業(yè)應為其他行業(yè)和領域的關鍵信息基礎設施安全運行提供重點保障;國家支持關鍵信息基礎設施安全防護技術創(chuàng)新和產(chǎn)業(yè)發(fā)展并組織技術攻關等。五是細化了操作的紀律要求,例如安全檢查工作不得收取費用,不得要求被檢查單位購買指定品牌或者指定生產(chǎn)、銷售單位的產(chǎn)品和服務。在安全保護工作中獲取的信息,不得泄露、出售或者非法向他人提供。未經(jīng)國家有關部門和運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。

  總之,《關鍵信息基礎設施安全保護條例》將我國網(wǎng)絡安全工作的實踐經(jīng)驗總結并上升為法規(guī)制度,為關鍵信息基礎設施安全保護工作提供法治保障,同時給出了可操作的執(zhí)行要求,將有力支撐我國網(wǎng)絡安全技術和產(chǎn)業(yè)的創(chuàng)新發(fā)展,為網(wǎng)絡強國建設奠定堅實基礎。




電子技術圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權者。如涉及作品內(nèi)容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。