郵發代號 2-786
征訂熱線:010-82341063
《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)的意義和價值毋庸置疑,但是,《條例》要真正落地還任重而道遠。同時,隨着技術的發展、社會的進步,還要不斷地研究完善《條例》,使它更加具有科學性和合理性。當前,關鍵信息基礎設施面臨的安全問題主要表現在三個方面。第一是產業鏈、供應鏈安全。從現在的形勢來看,關鍵信息基礎設施的產業鏈、供應鏈安全是當前最大的安全問題,也是當前產業界的痛點難點。有些關鍵信息產品或組件,一方面,面臨着國外技術斷供或壟斷的風險;另一方面,這些產品或組件也存在被植入病毒、木馬等惡意軟件的風險。對產業鏈、供應鏈安全,我們首先想到的就是要實現自主可控,就是採取「自主研製+可控利用」的技術路線來實現。就信息技術和產品而言,我認為利用開源、發展開源可能是我們走向自主可控的必由之路。最初的網絡安全產品很多也是在開源的基礎上發展起來的,逐漸做到自主率越來越高。在當今的 IT 發展趨勢下,開源是一個繞不過的話題。當然,利用開源時,也要重視相關的安全風險。第二是自身安全。關鍵信息基礎設施自身的安全性非常重要,因為大部分關鍵信息基礎設施要對外提供服務,如果自身難保,就不可能有效地提供服務,安全更無從談起。自身安全也稱為「彈性安全」「柔性安全」或「可生存性」,這是一個相對的概念,不是要做到絕對的自身安全,而是要把關鍵信息基礎設施做得比較柔性、有彈性,當其即使受到網絡攻擊或惡意代碼感染,在一定條件下,仍然能夠正常工作和提供服務。彈性安全技術已成為網絡安全領域的新潮流,可採用彈性認證機制、移動目標防禦、棘輪安全機制、可信計算等技術,來實現關鍵信息基礎設施的帶菌生存、入侵容忍、內生安全和計算環境可信等。當然,彈性安全技術也不是萬能的,要辯證地來看待,決不能誇大其作用,還需要實踐的檢驗和驗證。第三是應用安全。關鍵信息基礎設施的一個重要作用是給社會提供各式各樣的應用服務,這就會產生應用安全問題。關鍵信息基礎設施的應用安全是一個大概念,例如數據的安全問題、資源的安全問題、敏感信息的安全問題,還有國家和社會組織面臨的安全威脅。例如,電子政務平台對外提供服務,就會帶來政務網絡的各類安全風險,從而就可能對社會和國家造成威脅。針對這些問題,國家制定了系列法律法規,如《數據安全法》《個人信息保護法》,對解決關鍵信息基礎設施帶來的應用安全問題提供了法律遵循。以上這三個方面也是辯證統一的,例如通過應用可能會發現關鍵信息基礎設施的自身安全問題,會發現產業鏈、供應鏈的安全問題,彼此之間相互作用,相互促進。在新形勢下,我們要高度重視新技術應用對關鍵信息基礎設施帶來的安全隱患和潛在風險,加強安全威脅風險評估,積極採取有效的應對措施,提升關鍵信息基礎設施的對抗能力和防護水平。(本文根據馮登國院士在 2022年 9 月 1 日「關基條例一周年」專題研討會上的講話編輯整理,刊登於《中國信息安全》雜誌2022年第9期)
鑽石舞台 發表在 痞客邦 留言(0) 人氣()
留言列表
留言列表