为保障关键信息基础设施安全,维护网络安全,作为我国首部专门针对关键信息技术设施安全保护工作的行政法规——《关键信息基础设施安全保护条例》(以下简称《条例》)将于9月1日正式施行。
本次实施的《条例》针对关键信息基础设施的范围界定、授权认定、责任机制等关键性问题进行了更为详细的规定,是此前发布的《网络安全法》中相应部分的细化和落实,也是是国家维护网络安全、信息安全的一次重要里程碑。华云数据高级副总裁郭晓表示,《条例》的颁布彰显出关键基础设施安全的重要战略地位,其正式的实施将促进关键信息基础设施的安全防护成为刚需。
网络安全博弈的制胜关键
关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
郭晓表示,关键信息基础设施关系国计民生和公共利益,是经济社会运行的神经中枢,是网络安全的重中之重。
随着我国国民经济和社会信息化的全面推进,传统的社会活动不断向网络空间延伸扩展,经济与国家安全高度依赖于关键信息基础设施。全面提升关键信息基础设施安全保护意识、保障能力和水平,已经成为网络安全博弈的制胜关键。
为网络安全产业发展制定方针
郭晓坦言,我国整体安全投入与全球市场的还存在差距。根据国家统计局和IDC数据显示,我国网络安全产业占GDP仅0.41%,和美国相差3.6倍,网络安全产业规模和美国相差5.5倍。
从目前来看,我国的安全保护工作还存在法规制度不完善、工作基础薄弱、资源力量分散、技术产业支撑不足等突出问题,亟待建立专门制度。一些个人和组织擅自对关键信息基础设施实施漏洞探测、渗透性测试等活动,影响关键信息基础设施安全。
郭晓表示,此次即将实施《条例》针对以上问题制定了政策、方针,一是明确任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。二是规定未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权,任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告。
网络安全人人有责
关键信息基础设施是网络安全的重中之重,而做好关键信息基础设施安全保障不仅仅是运营者、监管者的责任,更是所有网络安全从业者的责任。
《条例》明确,运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
此外,《条例》进一步明确了网络安全保护责任制和网络安全检测的常态化。重点压实了关键信息基础设施运营者的主体责任,增加了对网络安全从业人员和关键岗位人员的要求。
推动安全防护技术创新和产业发展
那么在《条例》指导下,关键信息基础设施安全保护应该怎么做?郭晓指出,企业和安全从业者可以利用这一契机,整合云、网络、安全和数据等多类方案,通过适当的合作,投资及收购等方式形成立体的保护机制。
郭晓表示,云计算作为承载关键信息的载体,在各行业中得到广泛应用,出于国家监管要求、行业特殊要求,网络安全和数据安全是实现业务上云的前提要求,从网络安全角度出发,包括内外网安全、虚拟化安全、云原生安全都是关键信息基础设施安全保护的范围;业务数据多副本机制、本地保护策略、异地备份和恢复机制也都成为企业上云的必备要求。
在《条例》中也明确指出,应当优先采购安全可信的网络产品和服务。同时也提出,国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。“这对信创产业和网安行业也表达了明确支持”,郭晓认为:“《条例》的实施,让更多信创和自主知识产权特色的企业和具有跨界整合优质网络安全方案能力的企业会更加受益。”
华云数据作为信创云计算专家,近年来积极主动拥抱网络安全监管,规避合规风险,并依托创新技术,在等保2.0时代,为用户提供云安全防护产品、云安全技术、云安全生态和运营服务,通过云安全解决方案,帮助用户建立相应的网络信息安全保护体系,在技术安全、系统管理、应急保障等方面提升安全防护能力,快速高效满足等保合规要求。
未来,郭晓直言,我们也将积极对照《关键信息基础设施安全保护条例》及网络安全法等法 律法规,担起安全合规义务和责任。通过云服务能力与网络安全防御体系的不断完善,为政 府和企业用户构筑起一道云上的安全屏障。