為保障關鍵信息基礎設施安全,維護網絡安全,作為我國首部專門針對關鍵信息技術設施安全保護工作的行政法規——《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)將于9月1日正式施行。
本次實施的《條例》針對關鍵信息基礎設施的范圍界定、授權認定、責任機制等關鍵性問題進行了更為詳細的規定,是此前發布的《網絡安全法》中相應部分的細化和落實,也是是國家維護網絡安全、信息安全的一次重要里程碑。華云數據高級副總裁郭曉表示,《條例》的頒布彰顯出關鍵基礎設施安全的重要戰略地位,其正式的實施將促進關鍵信息基礎設施的安全防護成為剛需。
網絡安全博弈的制勝關鍵
關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
郭曉表示,關鍵信息基礎設施關系國計民生和公共利益,是經濟社會運行的神經中樞,是網絡安全的重中之重。
隨著我國國民經濟和社會信息化的全面推進,傳統的社會活動不斷向網絡空間延伸擴展,經濟與國家安全高度依賴于關鍵信息基礎設施。全面提升關鍵信息基礎設施安全保護意識、保障能力和水平,已經成為網絡安全博弈的制勝關鍵。
為網絡安全產業發展制定方針
郭曉坦言,我國整體安全投入與全球市場的還存在差距。根據國家統計局和IDC數據顯示,我國網絡安全產業占GDP僅0.41%,和美國相差3.6倍,網絡安全產業規模和美國相差5.5倍。
從目前來看,我國的安全保護工作還存在法規制度不完善、工作基礎薄弱、資源力量分散、技術產業支撐不足等突出問題,亟待建立專門制度。一些個人和組織擅自對關鍵信息基礎設施實施漏洞探測、滲透性測試等活動,影響關鍵信息基礎設施安全。
郭曉表示,此次即將實施《條例》針對以上問題制定了政策、方針,一是明確任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。二是規定未經國家網信部門、國務院公安部門批準或者保護工作部門、運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。對基礎電信網絡實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。
網絡安全人人有責
關鍵信息基礎設施是網絡安全的重中之重,而做好關鍵信息基礎設施安全保障不僅僅是運營者、監管者的責任,更是所有網絡安全從業者的責任。
《條例》明確,運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。
此外,《條例》進一步明確了網絡安全保護責任制和網絡安全檢測的常態化。重點壓實了關鍵信息基礎設施運營者的主體責任,增加了對網絡安全從業人員和關鍵崗位人員的要求。
推動安全防護技術創新和產業發展
那么在《條例》指導下,關鍵信息基礎設施安全保護應該怎么做?郭曉指出,企業和安全從業者可以利用這一契機,整合云、網絡、安全和數據等多類方案,通過適當的合作,投資及收購等方式形成立體的保護機制。
郭曉表示,云計算作為承載關鍵信息的載體,在各行業中得到廣泛應用,出于國家監管要求、行業特殊要求,網絡安全和數據安全是實現業務上云的前提要求,從網絡安全角度出發,包括內外網安全、虛擬化安全、云原生安全都是關鍵信息基礎設施安全保護的范圍;業務數據多副本機制、本地保護策略、異地備份和恢復機制也都成為企業上云的必備要求。
在《條例》中也明確指出,應當優先采購安全可信的網絡產品和服務。同時也提出,國家支持關鍵信息基礎設施安全防護技術創新和產業發展,組織力量實施關鍵信息基礎設施安全技術攻關。“這對信創產業和網安行業也表達了明確支持”,郭曉認為:“《條例》的實施,讓更多信創和自主知識產權特色的企業和具有跨界整合優質網絡安全方案能力的企業會更加受益。”
華云數據作為信創云計算專家,近年來積極主動擁抱網絡安全監管,規避合規風險,并依托創新技術,在等保2.0時代,為用戶提供云安全防護產品、云安全技術、云安全生態和運營服務,通過云安全解決方案,幫助用戶建立相應的網絡信息安全保護體系,在技術安全、系統管理、應急保障等方面提升安全防護能力,快速高效滿足等保合規要求。
未來,郭曉直言,我們也將積極對照《關鍵信息基礎設施安全保護條例》及網絡安全法等法律法規,擔起安全合規義務和責任。通過云服務能力與網絡安全防御體系的不斷完善,為政府和企業用戶構筑起一道云上的安全屏障。
