集顶尖研究团队 提供最新的安全研究成果

安全解析 研究报告 安全团队 研究机构

关基保护条例五大亮点:抛出网安产业发展新锚点

2021-08-18

作为现代社会的神经中枢,关键信息基础设施支撑着国家经济运行的关键业务,并承担社会服务的重要功能,是关系国家安全、国计民生和公共利益的战略资源。随着新技术新应用的发展,网络攻击的手段和方式不断翻新,关键信息基础设施面临严峻的网络安全挑战。制定和颁布《关键信息基础设施安全保护条例》(以下简称《条例》),回应了国家网络安全的重大关切,是提高我国网络安全防御水平的重要举措,是建设网络强国的战略部署。


01 看《条例》五大亮点

作为关键信息基础设施安全保护的专项行政法规,《条例》的颁布为关键信息基础设施安全保护提供了可操作的解决方案和精细的工作指导。对照《网络安全法》对关键信息基础设施运行安全的已有规定,《条例》有五大亮点值得关注。

第一,明确关键信息基础设施认定。《条例》确立了关键信息基础设施的范畴、认定原则和组织流程,尤其是将能源、电信等关键信息基础设施确立为国家优先保障重点。

第二,明确网络安全保护责任制。《条例》特别要求关键信息基础设施运营者要设置专门安全管理机构,从运行经费、人员配备、参与网络安全和信息化有关的决策等资源保障和组织程序上确保关键信息基础设施保护的投入和落实。

第三,明确常态化网络安全检测。《条例》要求运营者、保护工作部门、国家网信部门定期对关键信息基础设施进行本行业、本领域和国家级的常态化网络安全检测。

第四,强调专业性支撑和保障。《条例》提出网信部门、公安机关、保护工作部门等有关部门要对运营者提供技术支持和协助;网络安全服务机构要提升能力水平等要求。

第五,全方位地压实责任。在明确各方职责后,《条例》通过处罚规定,重点压实了关键信息基础设施运营者的主体责任,规定了网信部门、公安机关、保护工作部门、网络安全服务机构及其主管人员和工作人员的责任,增加了对网络安全从业人员和关键岗位人员的要求,强调任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动。


 02 有效衔接并补充相关法律法规

从2016年11月国家正式颁布《网络安全法》,国家就着手制定网络安全基本法的配套措施。以《网络安全法》为法律基础,《条例》对其中的“关键信息基础设施的运行安全”部分进行了落实、细化和完善。同时,这份规定与近期国家颁布的相关法律法规呈现出有效衔接、相互补充的关系,体现了国家顶层设计的通盘考虑。

在网络安全审查方面,《条例》要求对负责人和关键岗位人员进行安全背景审查,对网络产品和服务采购进行安全审查,这些规定与《网络安全法》和《网络安全审查办法》的精神和内容保持了一致。

在漏洞管理方面,《条例》特别强调了未经授权不得对关键信息基础设施实施漏洞探测和渗透性测试活动,对基础电信网络实施漏洞探测、渗透测试等活动应当事先向国务院电信主管部门报告。这些强制性规定与《网络产品漏洞管理规定》对从事网络产品安全漏洞发现、收集的组织和个人的相关规定,在内容上是互相补充。

在数据出境方面,《条例》没有特别规定,但是有《数据安全法》作为《网络安全法》的配套和衔接,关键信息基础设施的数据出境问题可依照相关规定执行。


03《条例》助网络安全产业发展

首先,《条例》重视发挥网络安全服务机构在关键信息基础设施安全保护中的能力和作用。例如,《条例》规定了关键信息基础设施的运营者“应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估”;国家网信部门要“促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享”;国家要“加强网络安全服务机构建设和管理”等事项。上述内容表明,关键信息基础设施保护离不开网络安全服务。而且,由于网络安全的特殊性,重要行业和领域需要有网络安全企业的专业支撑,才能实现可持续的网络安全保护。

其次,《条例》的颁布有利于我国网络安全产业的自主创新。例如,《条例》明确规定关键信息基础设施运营者“应当优先采购安全可信的网络产品和服务”,提出“国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关”。这些内容对于我国信安全而言,是一个积极的推动。

第三,《条例》的颁布为我国网络安全产业发展提供了新的动力。国家对关键信息基础设施保护高度重视,同时不同行业不同领域的关键基础设施保护既有共性更有差异,这是整个网络安全产业面临的挑战,这也需要网络安全企业勇于担当,紧紧围绕国家的战略需求,将挑战转换为发展的动力,拿出实战化、体系化、常态化的网络安全方案。


04 展望

对国家而言,关键信息基础设施保护是国家网络安全的重大关切。对重要行业而言,关键信息基础设施的安全防护是企业生产经营的底线和红线。通过《条例》可以看到,政策制定的初衷是希望通过政策法规的及时卡位、规范、公正和透明,在顶层设计上给信息化发展提供可操作的安全指南,在安全的前提下促进经济高质量发展。因此,无论是立足国家安全,还是着眼经济发展,我国网络安全产业都处于前所未有的战略机遇期,网络安全企业要抓住千载难逢的机遇,乘势而上,为建设网络强国做出应有的贡献。