随着以数字化、网络化、智能化为代表的新一代信息技术在经济社会各领域的广泛应用,公共通信和信息服务、能源、交通、水利、金融、公共服务等重要行业和领域的关键信息基础设施,已经成为经济社会运行的神经中枢,其安全保护成为网络安全防护的重中之重。在全球网络攻击范围不断扩大、影响越发严重的背景下,许多国家和地区先后通过立法对现有的关键信息基础设施保护策略进行调整和完善,强化关键信息基础设施保护责任,推进供应链安全保障。立足新形势、把握新趋势,有必要进一步推进关键信息基础设施保护立法和监管,增强塑造网络安全态势的能力和水平。
关键信息基础设施保护面临新形势
关键信息基础设施保护当前所面临的挑战是多方位、多角度的:既有来自网络空间内的“线上”安全威胁,也有来自现实中的“线下”安全威胁;既要考虑到自然灾害等意外事故,也要考虑国际关系变化、供应链切断等突发事件。关键信息基础设施安全事件引发的危害,不再局限于网络通信受损、数据泄露,而是会进一步扩散蔓延,导致能源电力、公共服务、医疗卫生、交通运输等传统行业的连锁反应,影响国家安全。
第一,关键信息基础设施运营者在安全保护体系内的角色越发突出。关键信息基础设施运营者不仅需要不断强化安全保护措施、制定安全预案和完善安全保护制度,还需要与公安、网信部门等进行更加紧密的沟通配合,以应对不断变化的安全风险。据了解,一些国家已经或正在对其国内类似主体施加更多义务要求,例如要求关键基础设施运营者在规定期限内向指定部门报告网络事件和勒索软件攻击;拓展责任主体的范围、提出更加具体的安全措施要求,并允许进行更严格的监管和执法;要求关键网络系统运营者在规定期限内制定安全保护方案并报送监管部门。
第二,网络弹性成为关键信息基础设施防护的重点。网络弹性建设的重点不是事前的风险防控,而是事中事后的应对和恢复,要求运营者具备将网络安全事件的影响降到最低,并在事件发生后以最小代价和最短时间恢复核心业务正常运行的能力。我国数字经济发展势头强劲、网民规模和网络基础设施建设水平均居世界前列,一旦关键信息基础设施受到网络安全事件影响而不能及时恢复,造成的损失不可估量。网络弹性建设已成为国际社会关键信息基础设施防护的重要实践方向。例如欧盟2022年起草的《网络弹性法案》以及近期通过的《数字运营韧性法》和《关于恢复关键基础设施复原力指令》,均包含提高关键实体或其网络软硬件的网络弹性的内容,要求确保关键实体能够预防、抵抗破坏性事件并及时恢复。部分国家还主动规划和实施网络弹性建设计划,包括发布指南、协助运营者进行风险评估和模拟安全演练等,其目的是提高跟踪、快速响应和防御网络攻击的能力,帮助本国关键信息基础设施运营者评估和提升网络弹性水平。
第三,应对关键信息基础设施供应链的外部风险予以足够关注。如果核心技术、产品、服务的供应不能自主可控,相关产业就会地基不牢,就有在紧要关头被断供、“卡脖子”的风险。参考域外供应链安全保护实践最新动向,有以下做法可供借鉴:一是要求关键信息基础设施运营者应当增强识别和降低供应链或其使用的第三方产品、服务的风险的能力;二是要求运营者应当注重为关键信息基础设施及其他日常活动依赖程度高的设备提高全生命周期安全保障;三是要求就关键信息基础设施重要客体所用的软硬件及服务实现国产化替代,保障供应链自主可控。
提升我国关键信息基础设施保护能力和水平
我国高度重视关键信息基础设施保护。2022年9月公开的《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,也拟提高关键信息基础设施运营者的违法责任。《信息安全技术关键信息基础设施安全保护要求》国家标准于今年5月1日正式实施。面对技术创新和国际竞争新态势,应以总体国家安全观为指导,进一步加强立法和监管,提升我国关键信息基础设施保护能力和水平。
第一,细化法律规则,更好适应各类场景下的安全保护工作需求。对不同行业、不同领域的关键信息基础设施有针对性地规定具体保护要求,提高合规的预期性和执法的可操作性。例如在《关键信息基础设施安全保护条例》第十八条规定的基础上,进一步明确强制性网络安全事件报告的时限、程序、平台。
第二,提高监管水平,增强安全监管实效。综合运用规划预警、攻防演练、检查处罚、警示通报等多种监管措施,压实已经认定为关键信息基础设施的运营者主体责任,引导、指导和赋能其针对每一个不同的关键信息基础设施采取对应的安全策略。发展应用监管科技,提升以技术管技术的能力。
第三,聚焦供应链安全和网络弹性,增强关键信息基础设施保护能力。以应用带创新,以创新保安全,增强关键技术设备、产品的自主可控,提高软硬件国产化替代能力,保障关键信息基础设施重要设备、产品的全产业链、全生命周期安全。提高关键信息基础设施运营者安全管控能力,有效应对安全事件不利影响,确保能够快速恢复稳定运行。
第四,坚持普遍安全,积极稳妥应对国际变局,做好对境外关键信息基础设施相关立法、政策动向的跟踪评估,对一些以安全为借口实施的不合理措施,健全阻断机制、依法有效应对。在反对搞“小圈子”的同时,通过双边、多边框架增进关键信息基础设施保护的国际合作。鼓励关键信息基础设施运营者和相关产品设备的生产者基于中国实践经验,积极参与国际技术标准制定。向国际社会提供相关领域互惠互利、安全高效的中国标准、中国方案,为维护关键信息基础设施供应链安全贡献中国力量,共建网络空间命运共同体。
作者:周辉,中国社会科学院习近平新时代中国特色社会主义思想研究中心特约研究员、法学研究所网络与信息法研究室副主任。
来源:《光明日报》2023年6月17日。