专访 l 洪晟:《关键信息基础设施安全保护条例》解读
《关键信息基础设施安全保护条例》颁布以来,引发产学研各界广泛关注。本刊对工业控制线系统信息安全技术国家工程实验室、网络安全企业、高校、研究院所专家进行了系列采访,就共同关心的问题开展解读。
本期受访者:
北京航空航天大学网络空间安全学院 洪晟 副教授
关键信息基础设施保护与等级保护有何关联与区别?
01
网络安全等级保护制度和关键信息基础设施保护制度是网络安全法的两个重要组成部分,不可分割。关键信息基础设施保护制度是在网络安全等级保护制度的基础上,采取技术保护措施和其他必要措施,保障完整性、保密性和可用性。这两个制度同时兼顾了合规性和实用性要求,在网络安全法的支持下,给保护工作提供了法律保障。
条例中为何指出国家要采取措施,优先保障能源、电信等关键信息基础设施安全运行?
02
能源、电信等关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。国家通过对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
目前已经被列入关键信息基础设施的网络设施会不会随着数字化转型而动态调整?
03
会进行动态调整更新。云计算、大数据、人工智能等数字化进程的发展会推动工业互联网快速发展,促进其与制造业等实体经济深度融合,不断培育新增长点、新动能。传统的基础设施,要适应未来的发展趋势,必须要作出变革,并且是在数字化、智能化和信息化的趋势下进行动态调整。因此,数字化进程会推动大量的传统基础设施产业转型,面临网络安全风险。
如何做到关键信息基础设施的供应链安全?关键信息基础设施认定对信创产业发展有何影响?
04
1)实现关键信息基础设施供应链安全应从监督、产业和测评三个角度采取措施。在监督维度,需明确关键信息基础设施供应链安全标准、制度和规范;将影响关键信息基础设施安全的产品纳入网络安全审查制度,促进供应链安全测评机构及审查评估机制的成立;在产业维度,应加强自身供应链安全管理,实施基于安全多方计算等新技术优化供应商协同供应机制;在测评维度,应加强关键信息基础设施供应链安全检测技术的研发,并加强网络安全技术的创新。
2)关键信息基础设施的认定推动了信创项目的大规模应用,促进信创产业协同发展。在实现技术自主创新的同时,同步构建安全体系,实现了从被动防控向主动防御转变。加大安全领域研发投入,为信创产业更好落地和实施,提供坚实的安全技术输出和支撑。
条例明确禁止未经授权或批准的个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等活动,那么对关键基础设施潜在漏洞的挖掘将采用何种方式或手段?
05
1)完善国家安全信息漏洞库,配套漏洞评级机制。2)明确挖掘公私合作框架,建立挖掘主体备案制度:在完善漏洞库的基础上,网络漏洞安全挖掘应当坚持安全与发展并重,政府与企业应当加强联动协作,强化网络安全漏洞信息共享,并进一步完善平台监管责任、个人责任豁免。3)结合《关键基础设施安全保护条例》,实现漏洞挖掘分级授权:实现关键基础设施安全可控的核心在于网络安全漏洞的挖掘和发现,当前网络安全漏洞呈现出井喷之势,每年一次的评估显然并不符合网络安全的实践需求,有必要对挖掘行为授权机制加以明确,在对关键信息基础设施实施漏洞探测、渗透性测试等活动,应当事先向主管部门报告,确保多方参与网络安全维护工作。
《条例》的颁布为网安企业带来了哪些机遇与挑战?
06
由于网络安全的特殊性,关键信息基础设施保护离不开网络安全服务。重要行业和领域需要有网络安全企业的专业人员支撑,才能实现可持续的网络安全保护。因此,《条例》的颁布将推动国家和相关部门、企业对网络安全的投入,促进网安行业高质量发展。但此次《条例》对网络安全服务机构及其工作人员需承担的责任做出了明确规定,体现了权益和责任的一致。
—END—
记者:范赫男
排版:韦肖葳
ITNS 信息技术与网络安全