一、《条例》出台背景
2017年6月1日,《中华人民共和国网络安全法》(以下简称《网络安全法》)正式生效施行。作为我国网络安全的基本法,《网络安全法》提出了网络安全法治的基本制度框架,主要包括国家网络安全战略、关键信息基础设施保护制度、网络安全等级保护制度、个人信息保护制度等。其中,关键信息基础设施保护是《网络安全法》规定中的核心制度。在《网络安全法》第三章“网络运行安全”中,以“关键信息基础设施的运行安全”共计9条(第三十一至三十九条)对关键信息基础设施安全保护的基本要求、职责分工履行义务和采取措施等方面作了基本法层面的总体制度安排,并规定关键信息基础设施的具体范围和安全保护办法由国务院制定。
关键信息基础设施是国家重要的战略资源,关系国家安全、国计民生和公共利益,具有基础性、支撑性、全局性作用,保护关键信息基础设施安全是国家网络安全工作的重中之重。出台实施《条例》是完善我国网络空间治理,强化关键信息基础设施安全保护,维护国家安全和发展利益的应时应势之举,意义重大,影响深远。
世界各国高度重视关键信息基础设施安全,美欧等通过立法或发布政策文件将关键基础设施安全的网络安全保护提升到国家安全战略层面。围绕关键信息基础设施安全的网络攻防已成为国家间战略博弈的重要领域和网络空间高强度对抗的主战场。
习近平总书记在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标......我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”习近平总书记的重要指示为我们开展关键信息基础设施安全保护工作指明了方向。
《条例》的出台实施,是践行习近平总书记关于网络强国的重要思想,贯彻党中央、国务院重大决策部署的重要举措,是落实网络安全法有关要求,完善我国关键信息基础设施安全保护工作的法治保障,也是网络空间领域贯彻总体国家安全观,应对当前国际形势新变局,维护网络空间主权安全的应有之义。
二、《条例》内容要点
《条例》坚持总体国家安全观和习近平总书记关于网络强国的重要思想,坚持安全发展、改革创新、问题导向的指导方针,坚持综合协调、分工负责、依法保护,充分发挥行政法规的引领和推动作用,加快推进关键信息基础设施安全保障体系建设。具体来说,《条例》主要内容有以下几个亮点:
一是明晰了关键信息基础设施的定义,并按照抓重点、保关键的思路,围绕关键、信息、基础这三个要素科学界定了关键信息基础设施的范围。
其中能源、电信等关键信息基础设施是其他行业和领域关键信息基础设施安全保障的重要基础和支撑,具有极端重要性,是安全保护的重中之重。《条例》针对能源、电信等关键信息基础设施首次提出了“优先保障”要求,同时强调“能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。”
二是明确了保护工作部门职责,在充分考虑重点行业、领域业务及网络安全需求的特殊性、专业性的前提下,将行业领域主管监管部门明确为关键信息基础设施安全保护部门,组织领导和监督管理本行业、本领域关键信息基础设施安全保护工作。
三是强化了运营者安全管理,特别强调建立“一把手负责制”,明确了运营者主要负责人负总责,切实保障人财物投入,为安全保护工作的物质基础提供了法律保障。
四是规定了国家保障和促进措施。《条例》明确了建立网络安全信息共享机制、完善监测预警和应急体系、组织开展检查检测、能源和通信服务优先保障、加强安全保卫和防范打击违法犯罪、出台相应标准指导规范等6个方面的保障措施。为体现国家重点支持,《条例》从人才培养、财政金融、技术创新、产业发展、军民融合、表彰奖励、宣传教育等7个方面提出了促进措施。
五是确立了监督管理体制。《条例》规定,在国家网信部门统筹协调下,国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
“安全是发展的前提,发展是安全的保障”。《条例》的发布,促进了网络安全在信息化建设中话语权和地位的不断提升,未来网络安全产业发展空前提速。如何落实《条例》要求,有以下几点思考:
一是强化意识,深刻认识关键信息基础设施安全保护工作的重要性。从事关键信息基础设施运营和保护工作的单位和个人应充分意识到,做好关键信息基础设施安全保护工作不仅事关自身系统安全和业务稳定运行,更关乎国计民生,要深刻认识到确保关键信息基础设施安全的极端重要性,站立高位、保持清醒、敢于担当、勇于作为,以国家网络安全为己任,严格落实相关法律、政策、制度的要求。
二是摸清家底,精准掌握关键信息基础设施安全运行情况。掌握关键信息基础设施安全运行的网络和数据资产信息,是国家主管监管部门和保护工作部门开展指导监督工作的重要前提;对于运营者而言,更是落实主体责任,加强防护工作的必要手段。一方面,应全面梳理关键信息基础设施网络产品和服务情况,在掌握关键信息基础设施网络资产的基础上,进一步梳理组件级的型号信息、配置设置信息等,支撑供应链网络攻击发生后的快速定位和准确研判。另一方面,应厘清关键信息基础设施承载的数据资产,梳理数据采集、加工、传输情况,分析数据流动条件和路径。此外,对于涉及控制类系统的关键信息基础设施,应在上述措施基础上,重点加强分析识别,最大限度地掌握触发或可能触发控制动作的协议、指令情况,以及可能触及核心控制设备、系统的数据流及具有操作权限的人员情况。
三是提升能力,全面加强关键信息基础设施安全防护。运营者应重点从脆弱性和风险隐患自查自纠、安全事件和威胁分析研判、极端极限情况下关键信息基础设施的持续稳定运行等能力入手,加强相应的手段建设,逐步培养网络安全专业人才队伍,注重防护措施有效性的检验评价,强化网络安全防护持续运营理念;对于网络安全学术界、企业、研究机构而言,应针对关键信息基础设施的特殊性、重要性,以风险识别、评估、防范、化解为关注重点,从理论、方法、技术多个层面加强研发攻关,为关键信息基础设施安全防护提供技术支撑。
四是制定标准,加快建设关键信息基础设施安全标准体系。法律法规只会列举几条或几款主要要求,但往往很难穷尽,更重要的是规定相应的保护制度,明确主管部门。后续由主管部门建立和实施保护制度,并组织制定标准,在标准中提出具体的安全要求。而落实这些标准,特别是落实安全保护方面的基础标准、主要标准,才能算是真正意义上落实了《条例》的责任义务要求。
四、关键信息基础设施与WAPI
安全自主可控的无线网络是当前各命脉行业的 “关基建设刚需”。在无线局域网(WLAN)关基建设中,只有符合WAPI国家标准的产品才符合法律要求,才符合行业关键信息基础设施的根本利益。使用Wi-Fi不仅涉嫌违法,也置各命脉行业的生产办公于极大安全风险隐患中。
无线局域网是各行各业关键信息基础设施建设普遍采用的建网方式,具有高带宽、高性价比、组网便利等特点。目前全球无线局域网技术已形成相对统一的技术体系,但在安全方面只有两条路线:一个是美国主导的Wi-Fi安全技术802.11i,另一个是采用了国产密码技术的国家标准WAPI(无线局域网鉴别与保密基础结构)。WAPI因产业成熟度高、不增加采购成本、建设配套条件丰富、对行业的信息通道安全和数据资产安全能形成有效保护,越来越受到用户的青睐,已广泛服务政务、国防、公安、海关、能源、交通、医疗、教育等行业,支持这些行业建成了安全自主可控、向网络化智能化数字化发展的新型信息基础设施。越来越多行业在制定标准时已明确要求:本行业的专用WLAN通信模块,应符合GB 15629.11系列国家标准、应使用WAPI安全机制。
在协同各行各业WAPI关基建设过程中,WAPI产业联盟针对用户对WAPI技术和产品的需求,本着抓住“标准”和“检测”牛鼻子的思路,发挥了社会组织公共技术平台“小平台解决大问题”的作用:
在关基标准创制方面,联盟已发起并组织产业群体共同制定了《关键信息基础设施无线局域网》系列团体标准。该系列标准,在整体架构设计上,既包括普遍适用于关基行业无线局域网建设的《通用要求》,也包括针对不同行业特定需求的《行业扩展要求》,兼顾了标准体系的统一性、通用性、扩展性以及行业的特殊性和定制化。具体涉及到每个垂直行业,又通过“技术要求”和“测试方法”两类标准,为安全无线局域网应用部署和行业产品/机具的合规好用提供了标准化依据。
在关基检测服务方面,联盟测试实验室密切贴合市场需求,严格依据国家标准和团体标准,提供WAPI协议测试、互操作测试、整改咨询测试、系统测试等。上述测试具有WAPI测试项目更加全面准确、测试颗粒度更高、定制化更强的特点,有效解决了当前市场上WAPI检测能力局限于“行政许可合规性质”,无法有效满足各命脉行业开展WAPI关基建设中的精细化和定制化测试需求的问题。并在诸如WAPI与11ac、WAPI与11ax,WAPI协议完整性检测等方面,具有突出优势。因此联盟出具的测试报告已被关基建设单位广泛采信,作为其WAPI项目采购依据。此外,联盟还密切关注国内检测机构的市场化转型需求和机构改革前瞻性发展需求,密切关注一些重要行业用户基于设计、建设、验收、运行监督检查一体化的管理考虑,提供包括但不限于“WAPI检测能力建设与提升、技术扩展和设备升级、咨询、培训”等服务。
|
