一场肆虐全球的勒索病毒风暴带来互联网灾难,不仅给广大电脑用户造成了巨大损失,同时严重影响到金融、能源、医疗、政府等众多关系国家安全、国计民生、公共利益的关键行业部门,造成严重的危机。从中引出的“关键信息基础设施”安全问题成为网络安全、信息安全的重中之重。
关键信息基础设施
《网络安全法》第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
《网络安全法》首次提出“关键信息基础设施”的概念并对其范围进行了明确。根据《网络安全法》的规定,我们可以大体将关键信息基础设施划分为以下五大类:(1)基础信息网络,主要包括广电网、电信网、互联网;(2)重要行业和公共服务领域的重要信息系统,例如核岛控制系统、银联交易系统、智能交通系统、供水管网信息管理系统、社保信息系统等;(3)电子政务,例如电子政务系统、政府门户网站等;(4)国家安全网络,例如军事通信网、军队指挥自动化系统等;(5)用户数量众多的网络服务商系统,例如百度、阿里、腾讯等IT巨头运营的特定网络和系统等。对于前述关键信息基础设施的分类和范围划分只是学者和行业从业者的一些解读,关键信息基础设施的具体范围和安全保护办法还有待国务院后续制定法规确定,建议企业应当密切关注。根据国家网信办网络安全协调局负责人的说法,目前国家互联网信息办公室正会同有关部门按照《网络安全法》的要求,抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。
在《网络安全法》出台以前,现有法律条文中并没有给出关键信息基础设施的明确概念,在涉及重要或者关键的信息基础设施的保护时经常处于无法可依的状况或者存在相关法规层级较低而无法有力保护的情况。现有法规文件主要从重大基础设施、重点领域网络与信息系统等几个方面做出了规定。
重大基础设施:“《国务院办公厅中国体育彩票开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号”中使用了“重大基础设施”的概念,并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别。
重点领域网络与信息系统:《2012年重点领域网络与信息安全检查总结报告》中指出各重点领域的“重要网络与信息系统”,其中的调查报告则初步列举了我国多个关系国家安全、经济秩序正常运行和社会稳定的“关键网络与信息系统”。初步划定了我国信息安全保障的重点。
“三同步”原则
《网络安全法》第三十三条 建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。
《网络安全法》明确建设关键信息基础设施的三同步原则。三同步原则以“同步规划、同步建设、同步使用”为指导思想,本着“谁主管、谁负责”工作原则落实执行,在系统生命周期各阶段明确责任部门及安全职责,在全过程中推行安全同步开展,强化安全工作前移,降低运维阶段的服务压力。《网络安全法》的三同步原则在《安全生产法》、《环境影响评价法》中都有类似规定,经过长期的实施也已经相对规范,建议企业在应对新法实施中的具体问题时可以参考前述规定的实施情况来理解、落实具体项目的“三同步原则”。
企业在具体落实三同步原则时,可以从以下方面理解三同步原则:
同步规划:在业务规划的阶段同步纳入安全要求,引入安全措施。
同步建设:在项目建设阶段,通过合同条款落实系统集成商、厂商的责任,保证相关安全技术措施的顺利准时建设;保证项目上线时,安全措施的验收和工程验收同步,确保只有符合安全要求的系统才能上线。
同步使用:安全验收后的日常运营维护中,应当保持系统处于持续安全防护水平。
网络安全审查制度
《网络安全法》第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
根据《网络产品和服务安全审查办法(试行)》第五至第八条规定,网络安全审查工作的组织和领导工作由网络安全审查委员会承担,该委员会由国家网信办会同有关部门成立。委员会下设网络安全审查办公室,网络安全审查办公室具体组织实施网络安全审查。此外,委员会还组建网络安全审查专家委员会。网络安全审查委员会、办公室、专家委员会整体构成了网络安全审查工作的顶层制度设计。《网络产品和服务安全审查办法(试行)》同时明确“重点审查网络产品和服务的安全性、可控性”。
《网络产品和服务安全审查办法(试行)》第十二条 网络产品和服务提供者应当对网络安全审查工作予以配合,并对提供材料的真实性负责。第三方机构等相关单位和人员对审查工作中获悉的信息等承担安全保密义务,不得用于网络安全审查以外的目的。
《网络产品和服务安全审查办法(试行)》第十四条 网络产品和服务提供者认为第三方机构等相关单位和人员有失客观公正,或未能对审查工作中获悉的信息承担安全保密义务的,可以向网络安全审查办公室或者有关部门举报。
安全审查中还需要注意的一点是网络产品和服务提供者的注意事项,金融机构经常会采购的设备和软件很多可能属于关键信息基础设施的范畴,建议在未来采购中要求供应商提供有关的安全认证和安全检测结果。对于尚未明确的判断标准,金融机构应当持续关注后续配套法规的出台以及相关部门在实施中作出的解读。
网络安全服务机构
《网络安全法》第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
《网络产品和服务安全审查办法(试行)》第七条 国家依法认定网络安全审查第三方机构,承担网络安全审查中的第三方评价工作。
《网络产品和服务安全审查办法(试行)》第十一条 承担网络安全审查的第三方机构,应当坚持客观、公正、公平的原则,按照国家有关规定,参照有关标准,重点从产品和服务及其供应链的安全性、可控性,安全机制和技术的透明性等方面进行评价,并对评价结果负责。
现有规定未就网络安全服务机构的资质和评估标准作出具体规定。根据《网络安全法》的描述,网络安全服务机构负责对网络的安全风险进行检测评估,而《网络产品和服务安全审查办法(试行)》规定,国家将统一认定网络安全审查第三方机构,并由经认定的机构承担网络安全审查中的第三方评价工作。因此,我们认为网络安全服务机构应当是经认定的网络安全审查第三方评价机构。
结语
为了维护国家安全、经济安全和保障民生,《网络安全法》设专节对关键信息基础设施作了规定,范围包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域等,在数据安全、网络安全问题日益突出的今天,显然是十分必要的,对相关行业业务的发展必然带来深远影响,我们团队也将持续关注新法实施后的行业动向。