基础设施顾名思义是社会运行的底座,其重要性不言而喻。近十多年来,随着云计算、大数据、人工智能、物联网、区块链和4G/5G等新一代信息技术的蓬勃发展,互联网服务兴起并渗透到经济社会民生的各个领域,促进通信基础设施向着宽带化、云化和软件定义迅速演进,而且新一代信息技术作为通用技术正加速融合到传统行业基础设施中,信息基础设施也已成为传统行业基础设施中不可分割的部分。但通常先进技术都有双刃剑的特性,信息技术尤其如此,在加快人们对事物的认知和高效决胜于千里之外的同时,其漏洞与薄弱环节也容易被恶意利用。基础设施对信息技术的依赖性越深,其受影响就越大,特别是对重要行业和领域,基础设施的安全问题可能严重危害国家安全、国计民生、公共利益等,因此关键信息基础设施的安全保护越来越受到世界各国的重视。
安全形势错综复杂 关键基础设施安全受各国重视 随着国际形势的不确定性加剧,网络安全事件与地缘政治热点有明显的结合趋势。特别是个别国家拉拢盟友以网络安全为借口打压中国信息技术企业,断供关键元器件并限制我国产品出口,既为他们的产品抢占中国市场获得经济利益,又削弱了我国关键信息基础设施自主可控的能力。网络安全攻击也被利用来针对我国关键信息基础设施,已经出现有组织的网络安全攻击矛头直指中国的趋势。现在个别国家的军队从网络安全攻击的幕后走向了前台,美国2010年就率先成立了网络司令部,使网络作战与空中、太空作战充分融合,2017年8月升级为一级作战司令部,正式将网络攻击作为战争手段。 世界各国也纷纷出台法律法规,加强关键基础设施安全保护。美国2001年起先后颁布了《2001年关键基础设施保护法》《改进关键基础设施网络安全行政令》和《增强联邦政府网络与关键基础设施网络安全行政令》等相关法律文件。明确规范了保护重点、多层次保护组织架构、风险评估方法和衡量评价方案及指标体系。欧盟从2008年起出台了《2008年欧盟关键基础设施认定和安全评估指令》和《2016年网络与信息安全指令》等关键基础设施保护法律文件。从制定欧洲广泛适用的标准和方法、建立欧洲信息共享和预警机制、制定应急预案并进行应急响应和恢复演习等方面确保互联网的稳定性和应急能力为欧盟优先发展事项。日本在2005年制订并于2009年和2015年修订《关键信息基础设施信息安全措施行动计划》,规范了正常与危机时的信息共享机制、跨部门的演习与培训、国家与运营者的二级风险管理、标准认证与国际合作、相关方的利益与行动等。此外,不少国家对关键信息基础设施的安全保护也出台了相应的法律。例如俄罗斯2017年颁布了《联邦关键信息基础设施安全法》,澳大利亚2018年颁布了《关键基础设施安全法》。 我国安全保护实践积极开展 成果显现但形势仍然严峻 早在2014年2月,在中央网络安全和信息化领导小组第一次会议上,习近平总书记就指出,“要抓紧制定立法规划,完善互联网信息内容管理、关键信息基础设施保护等法律法规,依法治理网络空间,维护公民合法权益。”在2016年4月召开的网络安全和信息化工作座谈会上,习近平总书记明确要求:加快构建关键信息基础设施安全保障体系。金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。“物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改,金融交易信息可被窃取,这些都是重大风险隐患。不出问题则已,一出就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。 2017年11月,我国颁布了《中华人民共和国网络安全法》,其中有专门一节为“关键信息基础设施的运行安全”,要求在等级保护制度基础上对关键信息基础设施实施重点保护。同年发布了《关键信息基础设施安全保护条例》征求意见稿,与国家《密码法》、《数据安全法》等一起作为网络安全法重要配套法规,历经四年多的实践,《关键信息基础设施安全保护条例》将于2021年9月1日起实施。 这几年的实践表明,国家网络安全法及其配套的政策法规对促进我国关键信息基础设施的安全保护起到十分重要的作用。据工信部网络安全威胁和漏洞信息共享平台监测数据,2021年上半年我国DDoS攻击次数同比减少51.9%,僵尸木马受控事件同比减少58.8%;境内恶意程序传播、恶意程序控制端IP地址和域名等恶意网络资源同比下降67.4%,被篡改网站数量同比减少86.5%。 但同时要清醒认识到,关键信息基础设施的网络安全形势仍然严峻,网络安全漏洞和相关攻击行为仍然在持续增长,2021年上半年,工信部网络安全威胁和漏洞信息共享平台新增收录的网络产品漏洞已达到2020年全年的58.5%,利用漏洞对境内主机进行扫描探测、植入木马等远程攻击行为的恶意IP超120万个,55.7%来自境外。特别是针对电子设备、专用设备、电气机械和器材制造等重要工业互联网领域的网络攻击仍在持续增长,2021年上半年,国家工业互联网安全态势感知与风险预警平台监测到针对我国工业领域的网络攻击同比增幅超2倍,遭受网络攻击的工业企业数量同比增长57.2%。勒索病毒攻击仍然异常活跃,据Cybersecurity Ventures的预测,到2021年全球勒索软件破坏成本将达到200亿美元,是2015年的57倍。利用产品软件官网或者软件包存储库等进行传播的供应链攻击已成为2020年最具影响力的高级威胁之一。据 VenusEye 威胁情报中心数据,过去一年多,在全球受僵尸网络控制的各类物联网设备中我国占比最高。从全球看,2020年关键信息基础设施安全事件越来越隐蔽而且危害越来越大。 法治保障意义重大 将为网络强国建设奠基 关键信息基础设施安全保护面临着错综复杂的严峻形势,为了维护我国国家利益和第二个百年发展目标,国务院正式发布《关键信息基础设施安全保护条例》,意义十分重大: 一是该条例定义了关键信息基础设施,给出了认定规则的主要因素,明确了认定的责任主体及程序。二是该条例突出了国家对关键信息基础设施的总体部署与统筹协调,界定了国务院相关部委及地方政府的职责,坚持综合协调、分工负责、安全保护和监督管理。三是该条例明确了关键信息基础设施运营者主体责任,包括制度建立、组织落实、经费保障、教育培训、监测评估、应急演练和定期报告及事件报告,以及违法应承担的法律责任等。四是该条例对建立网络安全生态链给出明确的要求,即安全保护措施要与关键信息基础设施三同步(规划、建设、使用);运营者需对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;运营者应优先采购安全可信网络产品和服务,并通过与供货商签订安全保密协议和监督以明确提供者的技术支持和安全保密义务与责任;国家优先保障能源和电信等关键信息基础设施安全运行,能源和电信行业应为其他行业和领域的关键信息基础设施安全运行提供重点保障;国家支持关键信息基础设施安全防护技术创新和产业发展并组织技术攻关等。五是细化了操作的纪律要求,例如安全检查工作不得收取费用,不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。在安全保护工作中获取的信息,不得泄露、出售或者非法向他人提供。未经国家有关部门和运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。 总之,《关键信息基础设施安全保护条例》将我国网络安全工作的实践经验总结并上升为法规制度,为关键信息基础设施安全保护工作提供法治保障,同时给出了可操作的执行要求,将有力支撑我国网络安全技术和产业的创新发展,为网络强国建设奠定坚实基础。