唐嵐 中國現代國際關系研究院科技與網絡安全研究所研究員
國務院總理李克強日前簽署國務院令,公布《關鍵信息基礎設施安全保護條例》(簡稱《條例》),將于9月1日起施行?!稐l例》作為《網絡安全法》的重要配套法規(guī),確立了中國關鍵信息基礎設施安全保護的具體要求,明確界定了保護范圍和對象、監(jiān)管主體、責任義務、保障和促進舉措及法律責任,推動國家網絡安全保障體系建設進入新階段。
加強關鍵信息基礎設施保護是應對當前日趨嚴峻的網絡安全態(tài)勢的必然要求。
縱觀國際,針對關鍵基礎設施的重大網絡攻擊事件頻頻發(fā)生,國計民生、人民生命與財產安全甚至國家安全均面臨重大風險。5月美國最大輸油企業(yè)科洛尼爾管道運輸公司遭遇勒索病毒攻擊,令美東海岸45%的汽柴油、航空燃油等供應中斷近一周。此外智利銀行系統(tǒng)、愛爾蘭衛(wèi)生系統(tǒng)、伊朗鐵路系統(tǒng)、美核武器承包商、美國最大輪渡服務商、沙特國家石油公司阿美石油、南非港口等也相繼曝出遭受黑客攻擊。IBM公司2020年統(tǒng)計稱,社會基礎設施和大型工廠等的控制系統(tǒng)因網絡攻擊受損相比2019年增加了50%。美國甚至把針對政府、醫(yī)療機構和學校等的勒索病毒攻擊視為“最緊迫的國家安全威脅”,堪比“9·11”恐怖襲擊。
而更為嚴峻的是,在全球地緣政治熱度回歸背景下,通過網絡手段破壞關鍵信息基礎設施已成為一些國家進行情報收集、獲取競爭優(yōu)勢的主要手段。一定程度上惡化了網絡空間的不安全和不穩(wěn)定局面,對一國網絡安全保障能力造成了巨大壓力。美俄就宣稱入侵了對方的電力系統(tǒng),拜登與普京會談時就提出了美國網絡攻擊的紅線。
反觀國內,中國關鍵信息基礎設施的安全也屢屢遭遇挑戰(zhàn)。根據國家計算機網絡應急技術處理協(xié)調中心監(jiān)測發(fā)現,目前中國境內直接暴露在互聯網上的工業(yè)控制設備和系統(tǒng)存在高危漏洞隱患占比始終較高,其中20%的能源、軌道交通等生產管理系統(tǒng)存在高危安全漏洞。2020年年初,南方電網電力變電站遭遇工控網絡武器破壞,導致斷電。電力行業(yè)月高危網攻達200余起。
《條例》對如何細化落實網絡安全法及相關法律法規(guī)提出了明確要求,夯實了數字中國、智慧中國和網絡強國建設的安全基石,為確保網絡時代國家命脈安全提出了應對辦法。
作為維護國家網絡空間主權和國家安全、保障經濟社會健康發(fā)展、維護公共利益和公民合法權益的有力政策工具,《條例》旨在解決關鍵信息基礎設施工作的突出問題,為開展保障工作提供了基本遵循。其中最值得關注的有三個方面:
一是壓實主體責任。尤其是運營者的責任和義務并予以細化?!稐l例》明確運營者主要負責人對關鍵信息基礎設施的安全保護負責,要求設立專門的安全管理機構并履行8方面職責,對關鍵崗位人員實施安全背景審查等,同時也明確了運營者不履行法律責任時可能面臨的懲處。二是將安全貫穿始終。《條例》規(guī)定運營者要落實“三同步”,即安全保護措施與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用,從源頭堵住安全隱患,也把安全貫穿設計建設、運行維護、應急恢復、停用廢棄全過程,確保安全保障覆蓋全關鍵信息基礎設施的全生命周期。三是構建了完備的工作體系?!稐l例》明確了國家、部門和地方各層面的監(jiān)管體制,此外還建立網絡安全信息共享機制、完善監(jiān)測預警和應急體系、組織開展檢查檢測、能源和通信服務優(yōu)先保障、加強安全保衛(wèi)和防范打擊違法犯罪、出臺相應標準指導規(guī)范等6方面的保障措施,以及人才培養(yǎng)、財政金融、技術創(chuàng)新、產業(yè)發(fā)展、表彰獎勵、宣傳教育等方面促進措施,成為系統(tǒng)觀念應用的典范。
《條例》在2016年3月即被納入國務院立法工作計劃,歷經5年的工作摸索和經驗積累。即將實施的《條例》針對中國關鍵信息基礎設施保護面臨的突出問題,提出了科學化、系統(tǒng)化、精細化的工作指引,后續(xù)的落實能否做到抓鐵有痕、擲地有聲則是關鍵?!稐l例》中涉及的各主體均應從維護國家安全的高度出發(fā),積極擔當,認真履行法定責任,國家網信部門及其他主責部門則要充分發(fā)揮監(jiān)督作用,更要注重自身能力的提升,加強手段建設,本著綜合協(xié)調、分工負責、依法保護的原則,針對工作過程中出現的新問題、難點問題勇于創(chuàng)新,探索、引領關鍵信息基礎設施保護的新模式,努力在全社會形成合力,共筑關鍵信息基礎設施保護長城。