文 | 北京市公安局关键信息基础设施保护中心主任 问闻
目前,网络空间安全已成为继海、陆、空、天之后的第五大主权领域空间,网络空间安全不仅事关经济安全与社会稳定,也是国际竞争与政治博弈的关键领域,与其他领土主权一样,保障网络空间安全就是保障国家安全。关键信息基础设施作为网络空间的“神经中枢”,其功能稳定与服务持续是维护国家安全和社会稳定的关键所在。为全面保障关键信息基础设施安全,明确关键信息基础设施(简称“关基”)安全保护的具体要求,2021 年 9 月 1 日,《关键信息基础设施安全保护条例》(简称《条例》)正式实施。
自《条例》正式施行两周年以来,国家和首都对关基保护工作高度重视。作为国内专注关基保护工作的机构,我们不断加强网络安全风险研判、科研创新和实战引领,现就关基面临的安全风险挑战、国内外关基保护现状以及如何加强首都关基保护工作等方面提出以下思考。
一、关基面临的安全风险挑战
随着网络信息技术的广泛应用和数字经济全球化的快速发展,全球范围内针对关基的攻击和破坏活动不断发生并愈演愈烈,涉及众多行业领域。例如,2018 年韩国冬奥会奥组委信息系统遭黑客攻击而瘫痪,2022 年乌克兰多个政府机构以及两家大型银行的网站遭到 DDoS 网络攻击,2022 年北京健康宝遭境外黑客组织大规模流量攻击,以及今年武汉地震监测中心遭某国情报机构恶意网络攻击等。关基作为网络安全的重中之重,一旦遭受攻击可能会导致系统关键服务运行中断、通信设备瘫痪以及大规模数据信息泄露等重大影响。
当前,百年未有之大变局加速演进,受地区安全局势变化、意识形态斗争等因素影响,我国网络安全关基保护工作面临错综复杂的新形势和新挑战。一是高级可持续性威胁攻击加剧,网络安全防御愈加艰难。高级可持续性威胁攻击的技术和武器快速发展,具有很强的指向性和杀伤力,对我国关基安全构成了严重威胁。二是新技术和新应用加速发展,网络安全新风险日益显现。随着信息化技术的快速发展,“云大物移智链边”(云计算、大数据、物联网、移动通信、人工智能、区块链、边缘计算)等新兴技术在各行业得到广泛应用。但是,由于其自身安全和使用安全未经过广泛深入的研究和论证,这类新兴技术和应用成为恶意攻击者发起网络攻击的高风险目标。三是生成式人工智能异军突起,网络攻击门槛显著降低。目前,生成式人工智能技术呈加速发展态势,利用该技术制造的大模型网络工具或可轻易制作黑客攻击脚本和难辨真伪的网络钓鱼邮件,实施网络攻击。人工智能技术对网络攻击效率带来颠覆性的提升,并显著降低了门槛,对关基保护工作构成较大冲击,引发更多的不稳定因素。四是网络设备研发制造全球化,供应链安全问题更加复杂。由于网络产品集成化、供应链全球化以及软件系统规模、程序逻辑和生产方式等复杂多元化,极大增加了关基行业领域软硬件产品供应链的攻击面,导致我国关基供应链安全面临着严峻而复杂的挑战。
二、国内外关基保护发展现状
关基中网络信息系统大规模集成和互联互通引发了安全风险叠加与蔓延。面对组织化、体系化、规模化的网络攻击,关基保护工作暴露出协同防护能力薄弱、资源力量分散、技术支撑不足等问题。为保护关基这一重要的国家战略资源,各国政府陆续出台了一系列的战略规划和法律法规等,并提出了相应的工作举措。
(一)国外关基保护发展现状
以美国、欧盟、日本等国为代表的国家陆续出台相关的战略规划、法律法规以及实施方案等,加大对关基的保护力度。早在克林顿政府时期,美国就开始高度重视关基安全保护工作,陆续出台了《国家关键基础设施保护计划》《提高关键基础设施网络安全》等一系列的政策法规。其中,2023 年 3 月正式发布的新版《国家网络安全战略》更是将保护关基安全作为美国准备和应对新生网络威胁的五大支柱举措之一。经过二十七年历史发展,目前美国社会已经形成了一套“政府主导、公私合作”关基安全保护体系。此外,欧盟也较早认识到关基安全保护问题,并陆续颁布了《保护关键基础设施的欧洲计划》《欧盟网络安全战略》等一系列政策指令,尤其在成员国协调方面强化关基安全防护;日本借鉴了以美国为代表的发达国家在关基保护方面的经验,在开展了协同性探索。
(二)我国关基保护发展现状
习近平总书记明确提出“没有网络安全就没有国家安全”“要加快构建关键信息基础设施安全保障体系”“要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护”等一系列重要指示,这为我国的关基保护工作指明了方向、提出了要求。面对当前严峻的网络安全形势,我国政府不断加强对关基保护的研究与部署,出台了一系列的政策法规等,监管单位、保护工作部门以及关基运营者围绕关基保护也提出了一系列工作举措。
一是健全国家层面网络安全法律法规体系,开启以关基保护为重点的新阶段。我国网络安全战略政策法规体系不断健全,工作体制机制日益完善,自 2016 年《网络安全法》发布以来,我国相继出台了《数据安全法》《关键信息基础设施安全保护条例》《商用密码管理条例》等法律法规,相关部门组织制定了《信息安全技术 关键信息基础设施安全保护要求》等标准。其中,《条例》自 2021 年 9 月 1 日起施行,将《网络安全法》的有关规定进一步明确和具体化,将实践证明成熟的做法以法规条文形式确定下来,为关基保护提供了法制保障,将我国网络安全保护引入以关基保护为重点的新阶段。二是加强国家部门协同联动,提升网络安全保卫效能。以保卫关基安全为首要工作目标,在国家网信部门统筹协调下,国务院公安部门负责指导监督关基保护工作,电信主管部门和其他国家有关部门坚持综合协同、分工负责、依法保护,强化关键信息基础设施运营者主体责任,充分发挥政府及社会各方面作用,全面推进关基安全保卫工作,提升整体网络安全防护水平。三是强化行业条线引领,筑牢关基安全保护屏障。保护工作部门积极开展关基保护顶层设计和整体规划,统筹开展行业管理和监督指导,推动关基保护工作管理制度建设,制定行业领域网络安全技术标准,逐步建立完善安全监测和通报工作机制,指导并支持关基运营者做好安全防范工作。四是压实运营者主体责任,守住网络安全风险底线。随着网络安全和关基保护相关法律法规政策的出台,关基运营者研究建立和规范网络安全保护工作中的安全策略、管理制度、操作规程等,深化落实各项网络安全保护制度和措施,加强对关基的保护。
三、加强首都关基保护工作的思考
随着互联网新技术、新应用和新业态的快速发展,网络空间承载的主体越来越多、情况也越来越复杂。由于北京是全国的政治中心、文化中心、国际交往中心和科技创新中心,在京的关基数量多且承办的重大活动密集,由此带来的网络安全风险大幅增加。为加强首都关基安全防护,提升关基综合防御能力和水平,加快人才队伍培养建设,公安系统首个专注关基保护工作的职能机构——北京市公安局关键信息基础设施保护中心经批准后成立。该中心着眼于维护国家稳定和首都经济社会发展大局,坚持“聚焦实战,服务社会”的原则,参与落实国家关基保护实战工作,开展政策标准引领和专业技术指导。
(一)落实在京关基保护基础性工作
一是在网络安全保护工作过程中,以等级保护工作为基础,重点加强落实关基安全保护和数据安全保护,并将三者有机结合到一起。二是利用技术手段采集关基单位互联网暴露面资产,进行漏洞和风险分析,掌握其网络基础设施以及安全防护风险等,建立档案并进行动态更新。三是对与重大活动密切相关的单位和系统进行深度摸排,摸清安全防护水平和风险短板。四是建设并应用网络安全态势感知系统,对重点单位开展常态化风险监测,组织技术检测力量定期开展常态化远程检测。
(二)强化首都重要信息基础设施安全防护工作
一是按照“条块结合、重点突出”的原则,详细摸排影响城市运转和公共秩序的重点行业和关键业务,梳理形成重要信息基础设施保护清单。二是以网络安全等级保护制度为基础,参照关基保护制度,探索并提出北京市重要信息基础设施在分析识别、安全防护等方面需要落实的增强型安全保护工作措施和要求,并加强评估和指导。三是参照国家关基保护立法的模式,明确北京市重要信息基础设施的定义、范围以及识别和认定规则等要素,推动出台北京市重要信息基础设施保护的地方性法规和配套保护标准。
(三)加强网络安全技术创新和风险管控
加强关基安全防护技术创新融合发展和网络安全风险管控。一方面,积极探索密码技术、隐私计算与大数据分析等前沿技术和量子计算等“未来技术”在关基保护工作中的理论创新和核心技术突破,着力增强用于提升网络安全主动防御能力的技术储备与积累。另一方面,强化以生成式人工智能为代表的新技术、新应用的自身安全风险和供应链安全风险管控,重点关注关基行业领域中安全风险最为突出和急迫的部分,开展全方位、全生命周期的供应链安全防护建设,有效防范新兴技术和应用带来的潜在网络安全威胁和风险。
(四)打造关基保护新生态
一是在关基保护、网络安全攻防等相关领域开展合作研究和科研创新,通过组织实战演练、学术论坛、技术沙龙等形式加强技术交流和人才培养。二是开展关基行业领域的试点示范,推树关基保护工作先进单位,遴选关基行业领域与网络安全产品深度融合的典型案例以及新标准、新技术的最佳实践,传播网络安全管理和防护工作先进经验和先进技术。三是面向社会,选拔专业技术水平高、实力硬的网络安全专家,组建技术支撑队伍和高层次专家智库,为首都网络安全治理当中的政策支持、技术攻坚、资源利用等方面提供智力支持,为关基保护工作提供专业指导。
综上所述,“没有网络安全就没有国家安全”,关基安全是网络空间安全的重中之重,关基保护工作任重道远,需要社会广大同仁共同协作,形成合力共同推进关基安全保护工作,筑牢国家和首都网络空间安全防线。
(本文刊登于《中国信息安全》杂志2023年第9期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。