從 2021 年公開發(fā)布的網(wǎng)絡安全發(fā)展趨勢預測報告中可以看出,最新出臺的政策法規(guī)對網(wǎng)絡安全治理的影響意義深遠。我國近年來密集出臺若干政策法規(guī),標志著我國依法治網(wǎng)、依法管網(wǎng)、依法護網(wǎng)、依法用網(wǎng)等網(wǎng)絡安全治理工作進入到了法治化的新時代。《網(wǎng)絡安全法》《密碼法》《數(shù)據(jù)安全法》《網(wǎng)絡安全審查辦法》和最新出臺的《關(guān)鍵信息基礎設施安全保護條例》(以下簡稱《條例》)等均成為業(yè)界關(guān)注的重點。這些政策法規(guī)對數(shù)據(jù)安全保護、關(guān)鍵信息基礎設施保護產(chǎn)生積極影響,對推動我國信息化建設、數(shù)字化轉(zhuǎn)型、網(wǎng)絡安全治理、產(chǎn)業(yè)生態(tài)健康有序發(fā)展將發(fā)揮重要作用。
一、國際態(tài)勢復雜,我國必須做好應對準備
當今世界正經(jīng)歷一場百年未有之大變局,新時期我國正面臨許多重大風險和挑戰(zhàn)。美國及其西方盟友不愿意看到中國發(fā)展壯大,把我國國家制度和治理體系視為對西方制度模式的重大挑戰(zhàn),把中國發(fā)展視為對美國霸權(quán)地位的挑戰(zhàn),變本加厲地遏制中國發(fā)展。一方面,美國用霸道的美國法律、國家力量、長臂管轄限制中國企業(yè)發(fā)展,企圖阻止中國科技領(lǐng)域的崛起。另一方面,網(wǎng)絡意識形態(tài)領(lǐng)域的斗爭更是錯綜復雜,西方國家鼓吹西方價值觀,利用互聯(lián)網(wǎng)搞“顏色革命”。再一方面,今年 8 月,美國又組織超大規(guī)模海上軍演,矛頭直指中國,用軍事威懾和軍事行動恐嚇中國。
顯然,西方國家的“新冷戰(zhàn)”意圖已經(jīng)十分明顯,中美在貿(mào)易、科技、外交、軍事、政治等領(lǐng)域的斗爭已經(jīng)呈現(xiàn)公開化、常態(tài)化的特點,早已在無硝煙的戰(zhàn)場上拉開了序幕。我們必須審慎對待、提高警惕,在做好各項應急準備的同時,重點加強關(guān)鍵信息基礎設施的保護。
二、關(guān)鍵信息基礎設施亟須按照《條例》要求,體系化、系統(tǒng)性、創(chuàng)新性地實施保護
我國關(guān)鍵信息基礎設施面對的風險主要是境外情報機構(gòu)的偵查竊密,互聯(lián)網(wǎng)黑客和互聯(lián)網(wǎng)有組織的網(wǎng)絡攻擊,不法分子的違法犯罪,自然災害,以及網(wǎng)絡安全和信息安全治理方面的安全威脅或問題。近年來,我國又面臨國家間有組織、高烈度的網(wǎng)絡對抗,面臨在極端情況下的網(wǎng)絡戰(zhàn)、軍事行動的威脅。我國關(guān)鍵信息基礎設施一旦遭受打擊、破壞,將會喪失社會功能,使多種安全風險相互疊加,將嚴重影響國家安全、經(jīng)濟發(fā)展、社會穩(wěn)定和國計民生。現(xiàn)有的傳統(tǒng)安全防護措施和保護理念,已難以應對國家間大規(guī)模網(wǎng)絡攻擊,亟待依法依規(guī)、創(chuàng)新保護技術(shù)、改進保護策略、實施重點保護和強保護。
1. 提高網(wǎng)絡安全認識,落實“一把手”領(lǐng)導責任
做好網(wǎng)絡安全工作首先要提高網(wǎng)絡安全意識和認識,不能“說起來重要,做起來次要,忙起來不要”“或走走形式,做做表面文章”。今天的網(wǎng)絡安全工作要動真格的,要對關(guān)鍵信息基礎設施實施重點保護,對那些一刻都不能停的信息系統(tǒng)和基礎設施施行重點保護,這是形勢發(fā)展的要求,更是網(wǎng)絡強國的要求。以往,網(wǎng)絡安全主管領(lǐng)導大都是一個單位的副職或信息中心的領(lǐng)導,有的單位網(wǎng)絡安全協(xié)調(diào)難度很大,很難上升到黨委的議事日程,在黨管保密、黨管密碼、黨管網(wǎng)信的今天,單位的一把手或主要負責人應對關(guān)鍵信息基礎設施安全負總責。打通“一把手”協(xié)調(diào)工作上的堵點,解決網(wǎng)絡安全難點,已經(jīng)成為普遍的共識。當然,也要防止“一把手”的“不作為”和“亂作為”的問題,讓“一把手”和班子成員真正成為了解網(wǎng)絡安全知識、懂策略、施策略的行家,成為關(guān)鍵信息基礎設施保護的“專家”,成為信息化助力實體經(jīng)濟發(fā)展的“大咖”。
2. “三同步”落實是關(guān)鍵,建章立制設機制,夯實責任
很多部門、地方領(lǐng)導和專家反映,網(wǎng)絡安全建設最大的問題是安全保護措施與關(guān)鍵信息基礎設施等信息化建設,沒有真正落實同步規(guī)劃、同步建設、同步使用。至少在安全防護建設中不是體系化、系統(tǒng)性設計,只是按照安全方案模板,簡單堆疊一些安全產(chǎn)品,沒有采取動態(tài)防御、主動防御、精準防御、聯(lián)防聯(lián)控、縱深防御和整體防范,使安全防護效果大打折扣。《條例》第十二條進一步強調(diào)“三同步”要求,說明這項要求不是一個簡單要求,而是要從單位體制機制上改進,改變信息化建設管理部門與網(wǎng)絡安全部門“兩張皮”的問題,真正實現(xiàn)網(wǎng)絡安全建設和關(guān)鍵信息基礎設施建設融為一體,一體化設計、一體化建設、一體化運行,充分體現(xiàn)雙輪驅(qū)動作用,發(fā)揮網(wǎng)絡安全保護、保障、保衛(wèi)的作用。
3. 加強關(guān)鍵崗位人員管控,建立人員審查和“雙崗制”機制
歷史經(jīng)驗告訴我們,“堡壘最容易從內(nèi)部攻破”。一種很普遍的現(xiàn)象是,大部分單位(企業(yè))的系統(tǒng)管理員具有超級權(quán)限,并由于編制的原因出現(xiàn)一人兼多職的情況。單位對信息系統(tǒng)大量投入,按照國家標準層層防護,似乎固若金湯。但潛在的“對手”表示,“只要用很少的資金就可以收買一個系統(tǒng)管理員”,單位精心構(gòu)筑的防線就可能出現(xiàn)因“蟻穴”而“堤毀”的結(jié)果。這種內(nèi)部人員泄露大量數(shù)據(jù)信息和制造安全事件的案例時有發(fā)生,是網(wǎng)絡安全人員管理上的一大漏洞。《條例》規(guī)定,關(guān)鍵信息基礎設施運營者應當設置專門安全管理機構(gòu),并對專門安全管理機構(gòu)負責人和關(guān)鍵崗位人員進行安全背景審查。審查時,公安機關(guān)、國家安全機關(guān)應當予以協(xié)助,可見這種審查可不是一般“走過場”的審查,而是非常嚴格的審查。同時,在人員審查的基礎上,要建立“雙崗制”工作制度,工作中關(guān)鍵人員相互認證、相互監(jiān)督、相互檢查。需要服務機構(gòu)人員支撐時,還要開展服務機構(gòu)人員的延伸審查,從制度上杜絕人員超權(quán)限的行為。
4. 明確關(guān)鍵信息基礎設施定義,準確認定保護對象
業(yè)界在網(wǎng)絡安全保障中早就建立了國家關(guān)鍵信息基礎設施保護的概念,特別是開展“8+2”(電力、銀行、稅務、保險、證券、鐵路、民航、海關(guān),以及電信和廣電)信息系統(tǒng)風險評估和安全檢查后,對關(guān)鍵信息基礎設施保護、保障的理解更加深刻。對比國外,我國關(guān)鍵基礎設施保護、關(guān)鍵信息基礎設施保護的研究材料也非常豐富,但對關(guān)鍵信息基礎設施的識別認定始終成為主管部門和專家學者討論和關(guān)注的焦點。有人會問,“8+2”內(nèi)的信息系統(tǒng)出現(xiàn)問題都會影響國家安全嗎?“8+2”之外的,如國防工業(yè)和互聯(lián)網(wǎng)信息服務企業(yè)就不會影響國家安全嗎?《條例》第二條進一步明確了關(guān)鍵信息基礎設施的定義,將公共通信和信息服務以及國防科技工業(yè)等納入其中。《條例》用第二章的整章內(nèi)容,專門說明了如何進行關(guān)鍵信息基礎設施認定,使保護對象更加聚焦,認定更加科學規(guī)范,過程更具有可操作性。
5. 減少安全檢測頻度和多部門重復檢測,重心放到問題整改的有效性上
以往各部門、各地區(qū)網(wǎng)絡安全的主要抓手放在“開展安全檢測、安全檢查、風險評估、安全抽查”等工作上,基層單位經(jīng)常會感到頻繁被檢查的疲憊。有的檢查采用專門滲透和眾測等方式,發(fā)現(xiàn)的系統(tǒng)漏洞、管理漏洞、結(jié)構(gòu)漏洞等有價值漏洞不給被測單位提供,讓被測單位十分茫然,無法整改。有的地方出現(xiàn)今天這個部門來測試,明天那個機構(gòu)來檢查,增加了運營者的負擔。這些重復檢查等問題已經(jīng)引起中央的關(guān)注,“眾測”也有漏洞難以管理的風險。《條例》第五條強調(diào)任何個人和組織不得實施非法侵入、干擾、破壞關(guān)鍵信息基礎設施的活動,不得危害關(guān)鍵信息基礎設施安全。第二十六條明確要求,保護工作部門應當定期開展本行業(yè)、本領(lǐng)域的安全檢查檢測,指導監(jiān)督運營者及時整改安全隱患、完善安全措施。今后的檢查,應該把檢查的重點放到漏洞修復和整改的有效性上,不能只是為了找漏洞而找漏洞,關(guān)鍵信息基礎設施的漏洞是國家資源,需要按照保密要求嚴格管理。
6. 安全事件應急響應見實效,各地區(qū)各部門應啟動“藍色、橙色、紅色”預警
我國在 2003 年就強調(diào)要建立應急響應機制,制定應急預案,開展應急演練,對發(fā)現(xiàn)的安全事件進行事件預警和通報。許多地方政府、行業(yè)保護工作部門也對此開展了相應的應急響應工作,建立災備中心、建立系統(tǒng)和數(shù)據(jù)備份措施。但有一件工作不夠規(guī)范,那就是安全事件預警。很多地方和部門出現(xiàn)安全事件不會預警、不敢預警,不知道如何處理,很多動作不符合國家應急預案要求,沒有向本地區(qū)和中央網(wǎng)信等有關(guān)部門報告,發(fā)生比較大的安全事件也未發(fā)出藍色、橙色等程度預警。國家網(wǎng)絡安全應急預案亟待普及,加強應急響應和事件預警的規(guī)范性培訓。否則一旦出現(xiàn)影響國家安全的大事件,保護部門可能會手忙腳亂。所以應急響應是關(guān)鍵信息基礎設施保護運營者必須掌握的一項關(guān)鍵技能。《條例》二十五條強調(diào)保護工作部門應當按照國家網(wǎng)絡安全事件應急預案的要求,建立健全本行業(yè)、本領(lǐng)域的網(wǎng)絡安全事件應急預案,定期組織應急演練;指導運營者做好網(wǎng)絡安全事件應對處置,并根據(jù)需要組織提供技術(shù)支持與協(xié)助。
7. 電信是 CIIP 的基礎,需要聯(lián)防聯(lián)控優(yōu)先保障
在產(chǎn)業(yè)融合的今天,關(guān)鍵信息基礎設施行業(yè)、領(lǐng)域的業(yè)務和網(wǎng)絡也越來越多的關(guān)聯(lián)起來,互聯(lián)網(wǎng)等公共網(wǎng)絡與信息服務等,特別是對電力、電信和公共通信等的依賴性越來越強。可以說,關(guān)鍵信息基礎設施保護最需要強調(diào)的是聯(lián)防聯(lián)控,防止電信、電力等關(guān)鍵基礎功能的喪失而造成其他社會功能的喪失,也要防止多米諾骨牌效應的發(fā)生,防止出現(xiàn)連鎖反應。《條例》第三十二條特別強調(diào)國家采取措施,優(yōu)先保障能源、電信等關(guān)鍵基礎設施的安全運行。能源、電信行業(yè)應當采取措施,為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎設施安全運行提供重點保障。
8. 在威脅情報共享方面,國家、企業(yè)、社會組織有責任開展共享交換
在產(chǎn)業(yè)數(shù)字化和數(shù)字產(chǎn)業(yè)化發(fā)展的今天,數(shù)據(jù)賦能作用越來越大,很多單位、企業(yè)都在進行數(shù)字化轉(zhuǎn)型,把數(shù)據(jù)當成寶貝,讓數(shù)據(jù)成為推動GDP 的動力。因此,數(shù)據(jù)共享交換需要確權(quán),需要規(guī)則,需要利益分享,這是可以理解的。然而,網(wǎng)絡威脅情報數(shù)據(jù)應該成為國家資源,不應成為謀取利益的資源,需要大家站在國家利益高度看待威脅情報共享問題。《條例》第二十三條強調(diào)國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡安全信息共享機制,及時匯總、研判、共享、發(fā)布網(wǎng)絡安全威脅、漏洞、事件等信息,促進有關(guān)部門、保護工作部門、運營者以及網(wǎng)絡安全服務機構(gòu)等之間的網(wǎng)絡安全信息共享。
9. 重視供應鏈安全,發(fā)揮網(wǎng)絡審查作用
當前,供應鏈安全問題已經(jīng)成為制約我國信息化發(fā)展的重要問題。一方面,美國企圖在供應鏈上制裁中國企業(yè),限制使用關(guān)鍵技術(shù)產(chǎn)品;另一方面,卻在供應鏈和相關(guān)產(chǎn)品中設置后門,企圖方便控制我國的網(wǎng)絡系統(tǒng)。隨著數(shù)據(jù)安全保障力度的加大,數(shù)據(jù)安全問題也進入到網(wǎng)絡安全審查范圍,這是一種技術(shù)和非技術(shù)的安全措施,應引起足夠的重視,并加強研究,讓該項制度在關(guān)鍵信息基礎設施保護中發(fā)揮關(guān)鍵作用。《條例》第十九條強調(diào)運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務;采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的,應當按照國家網(wǎng)絡安全規(guī)定通過安全審查。
三、加大關(guān)鍵信息基礎設施保護技術(shù)體系研究,自力更生自主創(chuàng)新
在這次新冠肺炎疫情防控中,我國總結(jié)出很多好的經(jīng)驗和方法,所采取的主要措施一是“內(nèi)防”,打疫苗,提高人體免疫力;二是“外防”,采取戴口罩、隔離疫情、減少聚集、封閉園區(qū)、防范外部輸入等隔離措施;三是采用“攻防”措施,對病毒區(qū)域進行消殺;四是采取“協(xié)防”措施,聯(lián)防聯(lián)控,掃行程碼、健康碼,大數(shù)據(jù)分析人員流動情況。這些措施組合起來使用,對打贏疫情防控保衛(wèi)戰(zhàn)發(fā)揮了重要作用。這種“四防模型”是否帶有普遍性規(guī)律?網(wǎng)絡安全防護從中也可以借鑒。
關(guān)鍵信息基礎設施面臨互聯(lián)網(wǎng)的、技術(shù)的、社工的、人為的和故障等各種各樣的威脅,系統(tǒng)和設施存在多種脆弱性和漏洞,網(wǎng)絡安全問題復雜多樣。因此,關(guān)鍵基礎設施的保護必須體系化防控。以往專家、學者參考國外資料,提出許多信息安全保護框架,有的在技術(shù)標準中加以規(guī)范。借鑒疫情防控的“四防”,關(guān)鍵信息基礎設施保護也可以采取“四防”模型,如下圖所示。
圖 1 四防模型圖
一般安全防控框架(模型)的主要內(nèi)容是:“內(nèi)防”指內(nèi)生安全,“外防”是外防輸入,“攻防”指環(huán)境治理,“協(xié)防”是過程管理。中間是保護對象。很多業(yè)內(nèi)專家都在積極探索和創(chuàng)新安全技術(shù),特別是在信息系統(tǒng)和網(wǎng)絡的內(nèi)生安全方面,如可信計算、密碼技術(shù)、動態(tài)防護等,體現(xiàn)了原生保護的理念。我國信息安全企業(yè)在防火墻、網(wǎng)閘、入侵檢測、入侵保護等方面提供了很多成熟安全技術(shù)、產(chǎn)品和服務,體現(xiàn)了外圍技術(shù)防護的理念。在網(wǎng)絡攻防方面,近年來國家組織了多次網(wǎng)絡安全保護專項行動,大大提高了信息系統(tǒng)運行者的安全意識,以及主動保護、主動保障、主動保衛(wèi)的積極性;有關(guān)部門還組織了網(wǎng)絡安全審查,提高了供應鏈產(chǎn)品的安全性和可控性;多部門組織了 App 治理行動,打擊了網(wǎng)絡犯罪活動,體現(xiàn)了保衛(wèi)理念。在協(xié)防方面,通過廣泛的安全檢測、過程管理、協(xié)同管理,體現(xiàn)管理保障的理念。
關(guān)鍵信息基礎設施保護有很多關(guān)鍵要點值得關(guān)注。其中要關(guān)注六個重要環(huán)節(jié)和六種防御,如下圖所示。
圖 2 關(guān)鍵信息基礎設施網(wǎng)絡安全保護模型
六個重要環(huán)節(jié)包括:識別認定、安全保護、檢測評估、監(jiān)測預警、技術(shù)對抗和應急處置。六種防御為:動態(tài)防御(內(nèi)生安全)、主動防御(外防輸入)、精準防御(環(huán)境治理)、聯(lián)防聯(lián)控(過程管理)、縱深防御(南北向)、整體防御(東西向)。同時,條(垂直系統(tǒng))和塊(各省系統(tǒng))要加強管理制度和防護能力建設。這個模型與 P2DR 動態(tài)安全模型有相似之處,只是結(jié)合我國實際情況增加了攻防(技術(shù)對抗),體現(xiàn)了相關(guān)主管部門的保衛(wèi)職能。這個模型可以順時針循環(huán)往復,不斷技術(shù)迭代,使關(guān)鍵信息基礎設施防護能力不斷提升。
關(guān)鍵信息基礎設施需要加強體系化設計、系統(tǒng)化部署,不斷完善法律法規(guī)、政策規(guī)范、技術(shù)標準、安全保護、安全保衛(wèi)、安全保障等 6 大制度體系。其中很重要的策略是在關(guān)鍵信息基礎設施保護中要立足自力更生,自主創(chuàng)新,防止“卡脖子”。按照《條例》要求,國家要支持關(guān)鍵信息基礎設施安全防護技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展,組織力量實施關(guān)鍵信息基礎設施安全技術(shù)攻關(guān),在創(chuàng)新中培養(yǎng)人,在實踐中鍛煉人。相信在黨中央的集中統(tǒng)一領(lǐng)導下,依據(jù)國家不斷完善的法規(guī)政策,網(wǎng)信部門統(tǒng)籌協(xié)調(diào),公安機關(guān)和各保護部門協(xié)同監(jiān)管和指導,以及社會安全服務機構(gòu)的大力支持,關(guān)鍵信息基礎設施運營者主體責任的落實,國家關(guān)鍵信息基礎設施保護能力一定會提升到一個新的高度,達到一個新的水平。
