close

掃碼訂閱《中國信息安全》雜誌


郵發代號 2-786

征訂熱線:010-82341063

文│公安部第三研究所研究員 黃道麗
保障關鍵信息基礎設施安全是貫徹落實我國《網絡安全法》的重點工作,也是《國家安全法》《密碼法》《數據安全法》《個人信息保護法》的共同法律要求。作為落實基本法的專門性行政法規,《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)已正式施行一周年。一年來,我國堅持依法保護,強化責任落實,堅持問題導向和實戰引領,保護和震懾並舉,加強關鍵信息基礎設施及其承載的重要數據與個人信息的安全保護,強化網絡安全審查、重要數據保護、商用密碼應用安全性評估和供應鏈安全管理,嚴厲打擊針對和利用關鍵信息基礎設施實施的境內外違法犯罪活動,國家關鍵信息基礎設施安全保護、保衛和保障工作成效初顯。

一、關鍵信息基礎設施安全保護制度設計及其落地實施

《條例》明確監管體制、關鍵信息基礎設施範圍和認定程序、保護工作部門職責、運營者責任義務、保障和促進措施、法律責任等內容,為關鍵信息基礎設施保護工作提供根本法制保障。同時,《條例》補足《密碼法》《數據安全法》《個人信息保護法》等法律效能,構建完善並整體夯實國家關鍵信息基礎設施保護制度。

(一)關鍵信息基礎設施保護責任格局
《條例》明確在國家網信部門統籌協調下,國務院公安部門負責指導監督,國務院電信主管部門和其他有關部門依職負責安全保護和監督管理。其中,國家網信部門統籌協調體現在政策制訂、總體規劃、資源協調、信息共享等方面,指導是指引輔導,監督是監視督促,國務院公安部門的指導監督具有外部性,工信等行業領域主管、監管部門作為保護工作部門承擔主管責任,其監督管理具有行業屬性和內部約束力。
國務院公安部門負責指導監督。這一規定考慮到了公安機關是《網絡安全法》《人民警察法》《計算機信息系統安全保護條例》授權的網絡安全監管機構,多年來圍繞國家事務、經濟建設、國防建設、尖端科學技術等重要領域計算機信息系統安全開展大量探索與實踐。由國務院公安部門指導監督關鍵信息基礎設施安全保護工作,有利於切實在網絡安全等級保護制度基礎上加強關鍵信息基礎設施保護,確保不同行業領域保障水平協調一致。《條例》施行一年來,公安機關組織指導保護工作部門制定關鍵信息基礎設施認定規則並備案,指導開展關鍵信息基礎設施認定工作;對關鍵信息基礎設施重大網絡安全事件或者重大網絡安全威脅等情況進行監測處置,為保護工作部門提供技術支持和協助;依法對關鍵信息基礎設施進行網絡安全檢查檢測,對漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動進行管理;加強關鍵信息基礎設施安全保衛,防範打擊針對和利用關鍵信息基礎設施實施的違法犯罪活動。接下來,公安機關還將在前期工作的基礎上深入貫徹實施《條例》,切實履行法定職責,保障關鍵信息基礎設施安全。
保護工作部門負責安全保護和監督管理。鑑於重點行業、領域業務及安全需求的特殊性與專業性,按照「誰主管、誰負責」原則,重點行業、領域主管監管部門承擔十分關鍵的監督管理職能,《條例》為重點行業、領域的特別關鍵信息基礎設施保護相關部門規章和規範性文件預留了空間。《條例》施行一年以來,交通、能源、證券期貨業等行業和領域主管部門加快推動關保工作在本行業、本領域的落地實施。交通運輸部發布《公路水路關鍵信息基礎設施安全保護管理辦法(徵求意見稿)》,就公路水路的關保工作進行專項規定;國家衛生健康委等部門發布《醫療衛生機構網絡安全管理辦法》、中國證監會發布《證券期貨業網絡安全管理辦法(徵求意見稿)》、國家能源局發布《電力行業網絡安全管理辦法(修訂徵求意見稿)》,將關鍵信息基礎設施運行安全作為重要內容之一。從具體內容來看,細化的制度設計主要圍繞深化組織機構設置及人員管理,增設專項評審要求、強調全天候態勢感知能力,重視壓力測試、攻防演練、應急演練等在風險隱患發現方面的作用,加強供應鏈風險管理和網絡安全事件管理、強調經費保障及教育培訓等方面展開,突出行業特性,旨在保障關鍵信息基礎設施的持續穩定運行。
同時,《條例》也明確了國家安全、保密行政管理、密碼管理等網絡安全專項管理部門的職責。國家安全機關依據職責加強關鍵信息基礎設施安全保衛,2022 年 4 月 15 日第七個全民國家安全教育日,國家安全機關就公布了一起「關鍵信息基礎設施領域遭網絡攻擊竊密」的典型案件。《密碼法》對關鍵信息基礎設施使用商用密碼提出明確要求,密碼管理部門負責管理密碼工作,也依法對關鍵信息基礎設施使用商用密碼的情況實施監督檢查。
關鍵信息基礎設施運營者承擔主體責任。《條例》強化主體責任,要求在網絡安全等級保護的基礎上,採取技術保護措施和其他必要措施以保障關鍵信息基礎設施安全穩定運行。《條例》尤其重視「單位因素」和「人的因素」,強調單位和人員對關鍵信息基礎設施保護的決定性作用,明確運營者主要負責人對關鍵信息基礎設施安全保護負總責,承擔組織和領導責任,規定專門安全管理機構的十餘項安全保護職責,不履行保護義務可依法對單位和直接負責主管人員處以警告、罰款、處分乃至追究刑事責任,2021 年 8 月 4 日解密的《黨委(黨組)網絡安全工作責任制實施辦法》,明確了關鍵信息基礎設施運營者黨委(黨組)的主體責任,關鍵信息基礎設施遭受網絡攻擊後不及時處置的,按後果問責;同時,《條例》重點強調人員的可信和能力建設,不僅明確專門安全管理機構負責人和關鍵崗位人員的安全背景審查要求,也強調人員教育、培訓、權限、獎勵等正面賦能。
(二)風險威脅發現和防範要求
為加強關鍵信息基礎設施領域的風險發現和防禦能力,調動各方力量共同消解網絡安全風險,《條例》建立了運營者、保護工作部門、公安機關和網信部門等多層風險威脅發現與合作體系。《條例》將開展網絡安全監測、檢測和風險評估,制定本單位應急預案,定期開展應急演練明確為運營者專門安全管理機構職責之一,要求運營者每年至少進行一次網絡安全檢測和風險評估。《條例》要求保護工作部門建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網絡安全威脅和隱患,指導做好安全防範工作。國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。
(三)數據安全和個人信息保護
數據是影響網絡安全等級保護制度中定級、關鍵信息基礎設施認定的重要因素。包含個人信息數據在內的數據安全保護已成為網絡安全等級保護 2.0 制度、關鍵信息基礎設施保護制度的重要內容。2020 年公安部《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》多處強調數據安全、重要數據和個人信息保護。《條例》強化數據安全保護責任,明確運營者個人信息和數據安全保護職責,確立重要數據泄露等特別重大網絡安全事件發生後運營者、保護工作部門、國家網信部門和國務院公安部門的三層報告機制。
國家總體安全保障工作中,重要數據與關鍵信息基礎設施密不可分,2015年《國家安全法》強調「關鍵基礎設施和重要領域信息系統及數據的安全可控」,《網絡安全法》第 37 條創設性規定關鍵信息基礎設施運營者重要數據境內存儲與出境評估制度,2016 年《國家網絡空間安全戰略》將「保護關鍵信息基礎設施」作為 9 大戰略任務之一,明確要求「採取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞」。《數據安全法》第 27 條明確利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行數據安全保護義務。
(四)關鍵信息基礎設施供應鏈安全
《條例》明確運營者應當優先採購安全可信的網絡產品和服務,並應當按照國家有關規定與網絡產品和服務提供者簽訂安全保密協議,明確提供者的技術支持和安全保密義務與責任,並對義務與責任履行情況進行監督;專門安全管理機構應當對關鍵信息基礎設施設計、建設、運行、維護等服務實施安全管理。採購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查。《網絡安全審查辦法》要求運營者採購網絡產品和服務時,應當預判該產品和服務投入使用後可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。
(五)充分的資源保障支持
《條例》體現重點保護思路,基本涵蓋了關鍵信息基礎設施保護的整體戰略、技術要求、管理措施,以及如何評估和驗證其有效性的各個層面,在人、財、物各個方面給予充分的資源支持。《條例》尤其重視「單位因素」和「人的因素」,強調單位和人員對關鍵信息基礎設施保護的決定性作用,明確運營者主要負責人的組織、領導責任和專門安全管理機構的具體職責,並明確不履行保護義務的警告、罰款等法律責任。《條例》施行一年以來,隨着各個省市將關鍵信息基礎設施保障工作納入「十四五」目標及規劃,保護工作部門和運營者開始圍繞「關鍵信息基礎設施安全規劃」和「關鍵信息基礎設施安全保護計劃」,逐層推進、具體落實,調配人財物等方面的資源,形成年度化、可量化、可評估的保障與核驗機制。

二、我國關鍵信息基礎設施立法保護的發展方向

(一)研判國外法律政策新動向,探索關鍵基礎設施保護現代化新思路

近年來,太陽風(Solarwinds)供應鏈攻擊事件、美國科洛尼爾(Colonial Pipeline)燃油管道公司勒索攻擊事件、託管服務提供商 Kaseya 引發供應鏈攻擊等一系列事件持續檢驗關鍵信息基礎設施防範能力和網絡攻擊防禦能力。數字化轉型過程中的關鍵信息基礎設施安全保護成為各國亟待解決的現實難題,引發各界對既有政策立法的反思和調整。僅在《條例》施行後的一年多來,全球範圍內圍繞關鍵(信息)基礎設施的強化保護、國產替代化、對象增強和事件報告等方面的政策立法在持續演進,體現出威脅攻擊與保障防禦兩端的新變化、新特點。
在強化關鍵信息基礎設施保護措施方面。歐盟 2022 年 5 月發布的《歐盟安全聯盟戰略》第四次進展報告,對當前俄烏衝突國際環境下歐盟面臨的安全威脅進行梳理。報告指出,儘管目前俄烏衝突在很大程度上仍然是通過常規手段推進,溢出效應有限,但也充分說明網絡和關鍵基礎設施領域面臨的風險是真實存在的,進一步凸顯了落實現有立法及推動制定中立法的緊迫性。2022 年 5 月 13 日,歐洲議會和歐盟成員國就《關於在歐盟範圍內實施高水平網絡安全措施的指令提案》(即 NIS 2 指令提案)達成政治協議,成為歐盟對當前國際局勢背景下強化自身安全的回應。NIS 2 指令提案旨在取代 2016 年的 NIS 指令。2016 年 NIS 指令是歐盟範圍內關於網絡安全的第一部立法,對嚴重依賴信息通信技術且對經濟社會至關重要的能源、運輸、銀行、金融市場基礎設施、飲用水、醫療保健、數字基礎設施這七個領域採取網絡安全措施。歐盟委員會定期審查 NIS 指令運作情況後,認為其存在不能全面反映所有為整個經濟社會提供關鍵服務的數字化行業,成員國落實安全要求和事件報告義務不到位,監督和執行機制不起作用,成員國之間不能有效共享信息,影響歐盟整體層面的態勢感知水平等問題。針對這些不足,NIS 2 指令提案不再依據基本服務運營商和數字服務提供商對實體進行分類,而是根據實體重要性,分為十類基本實體和六類重要實體,採取不同的監管制度;同時 NIS 2 指令提案強化法律責任,規定違反網絡安全保護要求的最高行政罰款額不得低於 1000 萬歐元或上一財政年度全球總營業額的 2%,以較高的為準。
在關鍵信息基礎設施國產替代化方面。面對俄烏衝突背景下網絡安全領域不利形勢,2022 年俄羅斯總統普京相繼簽發俄羅斯聯邦第 166 號總統令《確保俄羅斯聯邦關鍵信息基礎設施技術獨立和安全的措施》和第 250 號總統令《保障俄羅斯聯邦信息安全的補充措施》,設定國產替代化目標期限,禁止未經批准採購外國軟件和相關服務用於關鍵信息基礎設施重要客體。兩個總統令內容及發布速度均充分體現其出台的特殊現實背景,也反映了特殊時期俄羅斯對強化關鍵信息基礎設施安全管控力度、保障信息資源安全的緊迫需求。
在重點保護對象的限縮和增強方面。2022 年6 月 28 日,歐洲議會和理事會就《關於關鍵實體彈性指令的提案》(簡稱 CER 指令)提案達成政治協議。提案將關鍵實體中為三分之一以上成員國提供基本服務的實體明確為「歐洲具有特定重要性的關鍵實體」,在安全保護方面獲得額外建議,這與澳大利亞 2022 年 4 月正式生效的《2022 年安全立法修正案(關鍵基礎設施保護)法》相類似。澳大利亞在立法中建立「具有國家意義的系統(SoNS)」制度,在現有關鍵基礎設施保護體系中將一小部分具有國家意義的關鍵基礎設施資產認定為 SoNS,並對 SoNS 賦予更嚴苛的保護義務。此類立法舉措反映出部分國家在當前安全形勢下對關鍵基礎設施保護的新探索。
在強制性的網絡安全事件報告義務方面。美國《2022 年關鍵基礎設施事件報告法》、歐盟2022 年《關於在歐盟範圍內實施高水平網絡安全措施的指令提案》、澳大利亞《2022 年安全立法修正案(關鍵基礎設施保護)法》、2022 年印度《關於<2000 年信息技術法>第 70B 條第(6)款,可信網絡的信息安全實踐、程序、預防、響應和網絡安全事件報告指令》等均建立強制性的網絡安全事件報告制度,明確關鍵基礎設施資產負責實體在發生事件後的報告期限和報告部門。印度對於時間要求最為緊迫,要求在 6 小時內報告,美國要求發生網絡安全事件後 72 小時或因勒索攻擊支付贖金後 24 小時內,歐盟要求實體發生重大網絡安全事件後 24 小時內向主管當局或 CSIRT 提交初步報告;澳大利亞要求對關鍵基礎設施資產產生「重大影響」的應在 12 小時內,產生「其他影響」的在 72 小時內報告。未按照要求報告事件的實體可能面臨被發傳票、民事訴訟、罰款乃至「控制資產」這種最後手段等的責任追究。
在關鍵基礎設施後量子密碼安全方面。量子計算對現實的加密算法形成挑戰,量子計算提供的強大計算能力將破解目前廣泛使用的公鑰密碼算法、降低對稱密碼算法和散列函數的安全性,在可預見的未來,算法的「難解性」幾乎不再產生任何時間成本和系統代價。美國網絡安全和基礎設施安全局(CISA)已意識到量子計算對美國國家關鍵功能(NCF)系統帶來的潛在風險,2022年 8 月 24 日,CISA 發布《為關鍵基礎設施做好後量子密碼術準備》專項文件,為關鍵基礎設施及政府網絡的所有者、運營者向後量子密碼術轉型提供指引,強調政府和關鍵基礎設施實體必須共同努力,為新的後量子密碼標準做好準備。
國際社會對關鍵(信息)基礎設施保護的法律政策發展為我國下一步強化安全保障工作提出了新要求,也提供了新思路。可以預判,《條例》的施行中必然也會遇到類似新威脅、新攻擊等新問題,這些經驗教訓、政策和法律化體現,都是值得分析和參考借鑑的比較法資源。經過本地化改造,立足中國國情的關鍵信息基礎設施保護實踐也將為世界貢獻中國方案。
(二)強化關鍵信息基礎設施安全漏洞管理
利用安全漏洞進行的攻擊已經成為影響我國關鍵信息基礎設施穩定運行的主要威脅。《條例》第 31 條專門強化對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動的約束,國家網信部門、國務院公安部門、國務院電信主管部門正協同加大涉關鍵信息基礎設施安全漏洞的管理。2021 年工信部、網信辦、公安部聯合發布的《網絡產品安全漏洞管理規定》構建多部門多平台共享機制,細化披露和共享規定。但總體上,《條例》對安全漏洞的規定主要體現在安全漏洞的發現環節,而《網絡產品安全漏洞管理規定》「一視同仁」的安全漏洞「報告」「報送」和「修復」內容,缺少對涉關鍵信息基礎設施的區別規定。實踐中,針對用於關鍵信息基礎設施的產品和服務的優先驗證、修復,不僅已經是服務水平的協議約定,在一些國家也屬於強制性行政義務。如美國 NIST的《提升關鍵基礎設施網絡安全框架》通過版本迭代,專門寫入對運營者的漏洞管理要求。關鍵信息基礎設施安全漏洞管理是構建關鍵信息基礎設施防禦體系不可或缺的關鍵環節,需要全方位的制度設計和全盤考量。
(三)加大相關違法犯罪懲治
現行的《刑法》第 285 條第 1 款「非法侵入計算機信息系統罪」規定可考慮適用於關鍵信息基礎設施犯罪。但在司法實踐中本款的適用也存在模糊和不合理之處,「國家事務、國防建設、尖端科學技術領域」是否與《條例》的關鍵信息基礎設施保護範圍完全對應,「三年以下有期徒刑或者拘役」的處罰量刑偏輕等問題,直接適用恐難以實現《條例》「懲治來自境內外的關鍵信息基礎設施網絡違法犯罪活動」的立法目的。針對和利用關鍵信息基礎設施實施的違法犯罪活動應大力提升處罰力度。2018 年 1 月 1 日,俄羅斯正式實施《關鍵信息基礎設施安全法》,就同步修改了與《關鍵信息基礎設施安全法》通過相關的俄羅斯聯邦《刑法》和《刑事訴訟法》,加入了「非法影響俄羅斯聯邦關鍵信息基礎設施」的章節,加大處罰力度,規定「給俄羅斯聯邦關鍵信息基礎設施帶來損害,處以五年以下勞役,或並處剝奪三年以內擔任特定職務或者從事特定活動的權利;或者處以六年以下剝奪自由,或並處剝奪三年以內擔任特定職務或者從事特定活動的權利」。2021 年 6 月,美國參議院也曾引入《國際網絡犯罪預防法案》,提出修訂《計算機欺詐與濫用法》(CFAA),擬針對故意損害控制關鍵基礎設施系統(如水壩、發電廠、醫院和選舉基礎設施)計算機的行為創建專門罪名,將其犯罪未完成形態也納入違法行為,同時加重處罰,並確保處罰實效。
此外,亦可研究制定《刑法》第 134 條和 139條「重大責任事故罪」的司法解釋,明確關鍵信息基礎設施保護責任事故中「其他嚴重後果」的認定標準,實現與《條例》第 47 條設計的關鍵信息基礎設施重大網絡安全事件責任事故規定的刑法銜接。

三、展 望

當前,全球數字化轉型加速,5G、大數據、人工智能、量子計算、工業互聯網等新技術開始新一輪的創新催生和模式嘗試,會帶來何種顛覆性變化仍在試錯中觀察。這些複雜系統的複雜變化導致傳統關鍵信息基礎設施的邊界性逐漸模糊,以關鍵信息基礎設施靜態識別為主、動態調整為輔為核心的保護觀念在面對全新內外威脅態勢時挑戰嚴峻,世界範圍內關鍵信息基礎設施立法保護尋求現代化和適應性的趨勢明顯。

《條例》推動我國關鍵信息基礎設施保護工作邁出實質性步伐。展望未來,《條例》應在強化責任落實、加大執法力度、做足保障支撐等工作的同時,保持對新技術新應用安全性的密切關注,持續研判國外關鍵基礎設施保護新思路,推進強化關鍵信息基礎設施保護措施、網絡產品和服務安全生態構建、網絡安全事件報告義務細化、關鍵信息基礎設施後量子密碼遷移規劃與部署、關鍵信息基礎設施安全漏洞管理、關鍵信息基礎設施犯罪懲治完善等方面工作,持續提升國家關鍵信息基礎設施安全適應性,確保我國關鍵信息基礎設施安全、數據安全和國家安全。
(本文得到 2021 年公安理論及軟科學計劃《網絡社會綜合治理政策法規研究》項目支持,刊登於《中國信息安全》雜誌2022年第9期)

《中國信息安全》雜誌 傾情推出

「企業成長計劃」


點擊下圖 了解詳情


arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()