2021年7月30日,国务院总理签署中华人民共和国国务院令第745号,公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行(以下简称《条例》)。
关键信息基础设施是国家数字经济稳定运行的基石,是经济社会的神经中枢,也是国家网络安全的重中之重,2021年将是“关基保护”的元年,《条例》的正式实行将是“关基保护”的重要里程碑。
《条例》作为国家网络安全领域的重要法规,其本身的制定和发布也经历了4年多的漫长过程,是我们国家对探索关基设施保护的具体实践的总结,汇集了相关部门“实践出真知”的智慧结晶,其具体立法过程详见下图:
2017年颁布的《网络安全法》提出对关基设施的保护需求轮廓,在等级保护的基础上实施重点保护,但没有明确何为重点,也没有具体指导如何落地。这次条例的颁布阐明了这个问题。本次《条例》分6个章节共51条,对总体目标、关键信息基础设施的认定、运营者责任义务、保障和促进、法律责任等方面给出了明确的指导和要求。
关键条例解读
《条例》第二条对关键信息基础设施的认定为:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
解读
——可以看到关基设施的范围广泛,涵盖了我国工业生产和居民生活的重要方面,直接关乎市民群众的切身利益,同样很多工业控制系统也被列入关基保护范围,例如能源生产、交通运输、市政设施、国防科技工业、大型装备制造等。各单位按照《条例》和等级保护2.0要求切实做好网络安全保护,能显著提升我国抵御内外部敌对势力网络攻击的水平。
第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
解读
——明确了各方综合协调、分工负责、依法保护的原则和方针,同时进一步落实运营者的主体责任。
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
解读
——国家层面统筹关基保护工作,采取相应措施监测、防御、处置网络安全风险和威胁,同时对破坏关基设施的行为进行依法严惩,重视程度进一步提升。
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
解读
——首次在网络安全相关法律条文中明确提出对单位和个人给予表彰。对于单位的网络安全建设评价,无疑有了更加公平的考核机制,赏罚分明,更能激发个人和单位在关基保护建设中的积极性,主动性。
第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
解读
——相应的保护部门负责制定本行业关基设施的认定规则,类似于GB/T22240-2020等级保护定级指南的思路,主要考虑“关键核心业务的重要程度”、“遭到破坏后可能带来的危害程度”以及“对其他行业和领域的关联性影响”三大要素确认关基设施的认定。认定完成后,同样需要到公安部门进行备案。
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
解读
——各重点单位应按照“谁主管、谁负责;谁运营、谁负责”的原则,承诺依法落实网络安全技术措施,确保“三同步”原则得以落实。目前来看,多数关键信息基础设施的运营者未采取“三同步”原则,通常在系统投运后或即将投运时才会考虑网络安全的规划建设,甚至很多企业领导人认为网络安全建设是费力不讨好的额外工作。《条例》此处的明确规定,将大大改善当前生产业务建设与安全建设不匹配的环境氛围,带来即重生产又重安全的关基建设思维。
第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
解读
——进一步落实运营者的责任义务,确保人、财、物的投入满足关基设施网络安全建设的基本需求,同时挑明主要负责人地位与职责(负总责),对应前阵子公布的《党委(党组)网络安全工作责任制实施办法》,对于国有大型企业或国家机关单位,有异曲同工之处。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
解读
——此条目内容较多,我们一一来解。首先,要有专门的安全管理机构,呼应了第十三条的人力投入。此外,本条目的内容,也是对《网络安全法》第三十四条的呼应,这里要求关基设施的网络安全管理机构从制定计划、应急处置、考核评价、奖惩教育等八个方面履行相应职责。此外还强调应开展网络安全监测、检测和风险评估活动。
第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
解读
——再次强化人、财的投入应满足要求,并且给出建议:网络安全建设应有其管理机构的人员参与,很好的保障了安全建设与业务发展的交融,确保业务与安全能够共生共存,避免出现推倒重来的资源浪费情况。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
解读
——每年至少进行一次网络安全检测和风险评估,与《网络安全法》第三十八条内容相近。信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,是信息安全建设的起点和基础。进行风险评估可以帮助运营者识别关基设施面临的网络安全风险,对于安全底子较弱的工业控制系统来说,更是不可或缺的。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
解读
——与《网络安全法》第三十五条相呼应,强调网络安全产品和服务的自主可控,可信。企业应采购具有完全自主知识产权的产品,不能对国家安全造成影响,否则将面临网络安全审查。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
解读
——与《网络安全法》第五十一条相呼应,强化保护部门的牵头职责:建立本行业的关基设施网络安全预警机制,并及时通报和预警,还要指导行业内的安全防范工作。企业应根据自身实际需求,采购满足要求的态势感知平台,做到每个层级生产设备安全状态的可视化,应覆盖网络内的所有设备。
第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。
能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
解读
——①能源、电信是现代人类社会保持正常运转的底层驱动力,国家层面更是非常重视。②能源、电信运营者应承担起安全运营责任,为其他行业提供驱动力。
第五章第三十九条至第四十九条 与《网络安全法》第六章相呼应,列举具体的处罚措施,从个人罚款到单位罚款,从行政处罚到刑事处罚,对应了国家网络安全活动中的各种违规、违法操作。对运营者、网信部门、公安机关、保护工作部门和其他第三方人员和单位都提出了相应的约束。
综合来看,《条例》多处与《网络安全法》和等级保护相关标准有多处共鸣,这些法规、标准相互结合,才能更好地肩负起保卫关基设施的重任。《条例》凸显国家对网络强国建设的思考与规划,各关基设施运营者应提高重视程度。
中国的互联网已经由消费互联网逐步进入到工业互联网的阶段,越来越多的智慧工厂和关基重要设施接入互联网,成为数字经济的新动能和经济支柱,高效率的同时面临高风险。当前国际网络安全形势错综复杂,关键信息基础设施中的一部分作为大国重器或民生之本,更不能受他人所控,我们要努力探索出一条独立自主的“关基保护”之路。
为更有效地进行关基保护建设,多年来,融安网络坚持自主可控可信的基本战略,从“一个中心,三重防护”的视角出发,提出人、技术、管理并重的设计思路,构建由技术体系、管理体系、运营体系组成的新安全体系。以对关基领域的工业控制系统最小化影响的基本原则;辅以可靠性高的工业级硬件;全面、准确、快速的工业协议深度解析,为上层全面的网络安全态势感知提供基础保障;白名单机制可以满足工业控制系统高可靠性、稳定性、业务连续性的严格要求。
并且,提供全流程的工控企业网络安全运营体系,帮助企业建立自身组织机构,健全管理制度,提升应急处理能力。从局部整改到整体规划建设,利用全天候全方位感知网络安全态势,常态开展渗透测试、实战攻防演练,有效对抗黑客攻击,加强网络安全宣传和培训。
数字世界安全先行,融安网络作为工控安全技术领军企业,已经为电力、油气管道、智能制造、轨道交通、智慧水务等大量重点行业客户提供定制化的解决方案,积累了很多实践中的关基保护经验,成长为保护数字经济安全平稳运行的中坚力量。融安网络有能力为网络运营者提供防范有组织、实力强的攻击;切实提升安全保障能力,保障关基设施安全、稳定、连续运行。
关键信息基础设施是国家数字经济稳定运行的基石,是经济社会的神经中枢,也是国家网络安全的重中之重,2021年将是“关基保护”的元年,《条例》的正式实行将是“关基保护”的重要里程碑。
《条例》作为国家网络安全领域的重要法规,其本身的制定和发布也经历了4年多的漫长过程,是我们国家对探索关基设施保护的具体实践的总结,汇集了相关部门“实践出真知”的智慧结晶,其具体立法过程详见下图:
2017年颁布的《网络安全法》提出对关基设施的保护需求轮廓,在等级保护的基础上实施重点保护,但没有明确何为重点,也没有具体指导如何落地。这次条例的颁布阐明了这个问题。本次《条例》分6个章节共51条,对总体目标、关键信息基础设施的认定、运营者责任义务、保障和促进、法律责任等方面给出了明确的指导和要求。
关键条例解读
《条例》第二条对关键信息基础设施的认定为:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”
解读
——可以看到关基设施的范围广泛,涵盖了我国工业生产和居民生活的重要方面,直接关乎市民群众的切身利益,同样很多工业控制系统也被列入关基保护范围,例如能源生产、交通运输、市政设施、国防科技工业、大型装备制造等。各单位按照《条例》和等级保护2.0要求切实做好网络安全保护,能显著提升我国抵御内外部敌对势力网络攻击的水平。
第四条 关键信息基础设施安全保护坚持综合协调、分工负责、依法保护,强化和落实关键信息基础设施运营者(以下简称运营者)主体责任,充分发挥政府及社会各方面的作用,共同保护关键信息基础设施安全。
解读
——明确了各方综合协调、分工负责、依法保护的原则和方针,同时进一步落实运营者的主体责任。
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
解读
——国家层面统筹关基保护工作,采取相应措施监测、防御、处置网络安全风险和威胁,同时对破坏关基设施的行为进行依法严惩,重视程度进一步提升。
第七条 对在关键信息基础设施安全保护工作中取得显著成绩或者作出突出贡献的单位和个人,按照国家有关规定给予表彰。
解读
——首次在网络安全相关法律条文中明确提出对单位和个人给予表彰。对于单位的网络安全建设评价,无疑有了更加公平的考核机制,赏罚分明,更能激发个人和单位在关基保护建设中的积极性,主动性。
第九条 保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则,并报国务院公安部门备案。
制定认定规则应当主要考虑下列因素:
(一)网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;
(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;
(三)对其他行业和领域的关联性影响。
解读
——相应的保护部门负责制定本行业关基设施的认定规则,类似于GB/T22240-2020等级保护定级指南的思路,主要考虑“关键核心业务的重要程度”、“遭到破坏后可能带来的危害程度”以及“对其他行业和领域的关联性影响”三大要素确认关基设施的认定。认定完成后,同样需要到公安部门进行备案。
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
解读
——各重点单位应按照“谁主管、谁负责;谁运营、谁负责”的原则,承诺依法落实网络安全技术措施,确保“三同步”原则得以落实。目前来看,多数关键信息基础设施的运营者未采取“三同步”原则,通常在系统投运后或即将投运时才会考虑网络安全的规划建设,甚至很多企业领导人认为网络安全建设是费力不讨好的额外工作。《条例》此处的明确规定,将大大改善当前生产业务建设与安全建设不匹配的环境氛围,带来即重生产又重安全的关基建设思维。
第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
解读
——进一步落实运营者的责任义务,确保人、财、物的投入满足关基设施网络安全建设的基本需求,同时挑明主要负责人地位与职责(负总责),对应前阵子公布的《党委(党组)网络安全工作责任制实施办法》,对于国有大型企业或国家机关单位,有异曲同工之处。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(一)建立健全网络安全管理、评价考核制度,拟订关键信息基础设施安全保护计划;
(二)组织推动网络安全防护能力建设,开展网络安全监测、检测和风险评估;
(三)按照国家及行业网络安全事件应急预案,制定本单位应急预案,定期开展应急演练,处置网络安全事件;
(四)认定网络安全关键岗位,组织开展网络安全工作考核,提出奖励和惩处建议;
(五)组织网络安全教育、培训;
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
(七)对关键信息基础设施设计、建设、运行、维护等服务实施安全管理;
(八)按照规定报告网络安全事件和重要事项。
解读
——此条目内容较多,我们一一来解。首先,要有专门的安全管理机构,呼应了第十三条的人力投入。此外,本条目的内容,也是对《网络安全法》第三十四条的呼应,这里要求关基设施的网络安全管理机构从制定计划、应急处置、考核评价、奖惩教育等八个方面履行相应职责。此外还强调应开展网络安全监测、检测和风险评估活动。
第十六条 运营者应当保障专门安全管理机构的运行经费、配备相应的人员,开展与网络安全和信息化有关的决策应当有专门安全管理机构人员参与。
解读
——再次强化人、财的投入应满足要求,并且给出建议:网络安全建设应有其管理机构的人员参与,很好的保障了安全建设与业务发展的交融,确保业务与安全能够共生共存,避免出现推倒重来的资源浪费情况。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
解读
——每年至少进行一次网络安全检测和风险评估,与《网络安全法》第三十八条内容相近。信息安全风险评估是加强信息安全保障体系建设和管理的关键环节,是信息安全建设的起点和基础。进行风险评估可以帮助运营者识别关基设施面临的网络安全风险,对于安全底子较弱的工业控制系统来说,更是不可或缺的。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
解读
——与《网络安全法》第三十五条相呼应,强调网络安全产品和服务的自主可控,可信。企业应采购具有完全自主知识产权的产品,不能对国家安全造成影响,否则将面临网络安全审查。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
解读
——与《网络安全法》第五十一条相呼应,强化保护部门的牵头职责:建立本行业的关基设施网络安全预警机制,并及时通报和预警,还要指导行业内的安全防范工作。企业应根据自身实际需求,采购满足要求的态势感知平台,做到每个层级生产设备安全状态的可视化,应覆盖网络内的所有设备。
第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。
能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
解读
——①能源、电信是现代人类社会保持正常运转的底层驱动力,国家层面更是非常重视。②能源、电信运营者应承担起安全运营责任,为其他行业提供驱动力。
第五章第三十九条至第四十九条 与《网络安全法》第六章相呼应,列举具体的处罚措施,从个人罚款到单位罚款,从行政处罚到刑事处罚,对应了国家网络安全活动中的各种违规、违法操作。对运营者、网信部门、公安机关、保护工作部门和其他第三方人员和单位都提出了相应的约束。
综合来看,《条例》多处与《网络安全法》和等级保护相关标准有多处共鸣,这些法规、标准相互结合,才能更好地肩负起保卫关基设施的重任。《条例》凸显国家对网络强国建设的思考与规划,各关基设施运营者应提高重视程度。
中国的互联网已经由消费互联网逐步进入到工业互联网的阶段,越来越多的智慧工厂和关基重要设施接入互联网,成为数字经济的新动能和经济支柱,高效率的同时面临高风险。当前国际网络安全形势错综复杂,关键信息基础设施中的一部分作为大国重器或民生之本,更不能受他人所控,我们要努力探索出一条独立自主的“关基保护”之路。
为更有效地进行关基保护建设,多年来,融安网络坚持自主可控可信的基本战略,从“一个中心,三重防护”的视角出发,提出人、技术、管理并重的设计思路,构建由技术体系、管理体系、运营体系组成的新安全体系。以对关基领域的工业控制系统最小化影响的基本原则;辅以可靠性高的工业级硬件;全面、准确、快速的工业协议深度解析,为上层全面的网络安全态势感知提供基础保障;白名单机制可以满足工业控制系统高可靠性、稳定性、业务连续性的严格要求。
并且,提供全流程的工控企业网络安全运营体系,帮助企业建立自身组织机构,健全管理制度,提升应急处理能力。从局部整改到整体规划建设,利用全天候全方位感知网络安全态势,常态开展渗透测试、实战攻防演练,有效对抗黑客攻击,加强网络安全宣传和培训。
数字世界安全先行,融安网络作为工控安全技术领军企业,已经为电力、油气管道、智能制造、轨道交通、智慧水务等大量重点行业客户提供定制化的解决方案,积累了很多实践中的关基保护经验,成长为保护数字经济安全平稳运行的中坚力量。融安网络有能力为网络运营者提供防范有组织、实力强的攻击;切实提升安全保障能力,保障关基设施安全、稳定、连续运行。
