文│中国信息通信研究院 谢玮 孙念 蒋敏慧
作为网络安全保护体系的重要环节和依法治网的重要基石,2021 年 9 月 1 日正式施行的《关键信息基础设施安全保护条例》(以下简称《条例》),迎来其实施一周年的里程碑。电信行业关键信息基础设施不仅肩负经济社会发展“信息大动脉”使命职责,更为其他行业关键信息基础设施提供底座支撑。
一、高效推进,电信行业关键信息基础设施安全能力稳步提升
在《条例》规定的安全保护和监督管理框架下,按照电信主管部门要求,中国信息通信研究院加强统筹规划和体系布局,会同电信行业各方,全面开展构建关键信息基础设施安全综合保障体系的各项支撑工作。
一是开展政策标准研究。在《网络安全法》《条例》确立的四梁八柱下,结合电信行业实际情况,支撑出台行业指导意见等政策文件,明确电信行业关键信息基础设施保护目标、基本要求、工作任务和具体措施;按照“急用先行、分步推进”的实施路径,联合行业内多个单位制定电信行业关键信息基础设施安全系列标准,在技术层面细化安全管理要求,指导运营者规范开展安全能力建设。
二是支撑开展常态化监管。根据电信主管部门工作安排,针对电信行业关键信息基础设施特点,研究制定常态化监管方案,抽调精干力量参加远程检测、现场检查和专项行动,参与供应链安全审查,督促运营者有效落实主体责任;总结梳理监管情况,为实时掌握关键信息基础设施底数,进一步完善常态化监管机制提供决策依据。
三是持续强化风险研判应对。聚焦电信行业关键信息基础设施面临安全态势,跟踪国际技术、监管、产业动态趋势,通过调研座谈、专题研讨等多种形式,汇聚行业力量共研共商风险应对;根据风险排查结果,推动运营者整改问题、清零隐患,将“亡羊补牢”的事后补救转化为“未雨绸缪”的前置准备,为增强关键信息基础设施运行弹性夯实基础。
四是输出行业安全保障能力。落实《条例》电信行业为其他行业和领域的关键信息基础设施安全运行提供重点保障的要求,梳理金融、交通、能源等重点行业安全保障需求,制定基于不同业务需求的安全保障能力输出方案,会同基础电信企业向其他行业运营者提供网络安全监测、协助处置、数据通报等服务,并在北京冬奥等重大活动期间,为保障各行业关键信息基础设施安全稳定运行发挥了重要作用。
二、态势严峻,需进一步提高对关键信息基础设施安全的重视程度
当前,关键信息基础设施加速实现数字化、网络化、智能化升级,网络入侵、攻击渗透、远程控制等网络安全风险无处不在,不断动摇经济社会运行的根基,关键信息基础设施面临的安全态势比以往任何时候都要严峻。
一是关键信息基础设施已成为网络攻击的重点战略目标。关键信息基础设施因其举足轻重的高价值性,日益成为数字时代下的网络安全攻防博弈对象。从 2021 年美国最大燃油管道运营商遭受勒索软件攻击,到今年俄乌冲突中两国的重要信息系统频繁停摆,针对关键信息基础设施的网络攻击频次、规模、强度正在不断升级。随着关键信息基础设施的暴露面不断扩大,网络攻击手段的不断进化,基础电信网络等重点领域的关键信息基础设施愈发成为有组织黑客、国家级网军紧盯的目标,潜在的危害及引发的“多米诺骨牌”连锁效应将造成深远影响。
二是各国将关键信息基础设施安全保护上升为国家战略。多国重大基础设施信息安全事件导致的震荡,引发了全球关于加强重大基础设施安全保护的共同思考。各国政府将关键信息基础设施网络安全保障作为国家安全战略的重要一环,全面加快布局。美国持续发布战略方针、行政命令、实施指南等不同层级政策文件,建立协同工作机制,大幅增加关键信息基础设施网络安全投入,持续改善关键信息基础设施安全态势和能力;欧盟紧急修订关键信息基础设施认定和安全评估指令,将提升保护和恢复能力作为未来一个阶段网络安全工作的重中之重,以保护欧洲境内重要信息系统抵御大范围网络攻击;俄罗斯、澳大利亚、英国、德国、日本等国相继出台相关政策,明确关键信息基础设施信息安全保护举措,以应对愈演愈烈的网络安全挑战。强化关键信息基础设施保护,已成为摆在各国面前的“必答题”。
三是我国应抢抓时间窗口加紧布局关键信息基础设施安全保护。目前,适逢我国新型基础设施建设、数字经济转型进入发展势头如火如荼、保障体系亟需完善的重要战略机遇期。我国关键信息基础设施网络安全整体水平在稳步提升,但同时必须认识到,现有关键信息基础设施安全能力同国家发展和安全保障需要相比还不适应,无法全面有效应对高烈度网络攻击、国家级网络战等极限打击。在美欧“扎紧篱笆”的紧要关口,我国应警惕网络攻击外溢转移态势,抢抓“十四五”时期加大网络安全投入的机遇,在更大范围、更高标准、更深层次加强关键信息基础设施安全保护,避免成为安全防护“洼地”。
三、直面挑战,推动电信行业关键信息基础设施安全能力与时俱进提升
电信行业关键信息基础设施是各行业关键信息基础设施的基础,保障信息大动脉安全畅通运转已成为迫在眉睫的现实任务。
一是以正向评价为驱动,打造动态提升关键信息基础设施安全管理水平的可用规则。在网络单元等已基本满足安全防护合规要求的前提下,探索建立电信网和互联网网络安全能力成熟度评价体系,同步开展应用试点,形成量化评估水平、科学划定等级、明确改进方向、加强资源投入的闭环,带动运营者持续提升安全管理水平,在网络攻击“魔高一尺”的情况下,保障关键信息基础设施安全能力“道高一丈”。
二是以标准体系为引领,持续规范关键信息基础设施安全能力建设。深耕关键信息基础设施安全标准体系建设,结合业务特征、网络与信息系统特性以及所面临的安全风险,搭建“基础共性+垂直场景”相结合的标准架构,统筹推动更多单位参与标准制定和应用试点,按照“成熟一批、实施一批”的思路,加快推动相关标准落地,有效指引关键信息基础设施的安全防护和检测评估。
三是以系统建设为抓手,不断优化关键信息基础设施全周期技术能力。遵循“以技管网、技管结合、全网联动”的原则,加强电信行业关键信息基础设施资产管理、监测预警、应急调度等技术手段的规划、建设和应用,上承电信主管部门管理平台,下接运营者业务系统,形成一体化、跨平台的技术体系,实现资产和漏洞的联动管理,提升异常行为和恶意程序的监测处置能力,全天候维护关键信息基础设施安全。
四是以打造生态为导向,全面夯实关键信息基础设施安全产业基础。发挥上传下达的纽带作用,依托中国网络安全产业创新发展联盟、网络安全产业高峰论坛、网络安全技能竞赛等平台,建立供需对接和人才培养机制,加强关键信息基础设施安全能力供给;打通产业上下游各环节,利用政产研各方优势共建网络安全技术卓越验证示范中心,形成关键信息基础设施安全能力试验验证平台,为创新预研、落地应用、成果转化提供解决方案和可信环境。
(本文刊登于《中国信息安全》杂志2022年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。