《网络安全法》建立了关键信息基础设施安全保护制度,其中第三章近三分之一的内容用来规范网络运行安全,法令从国家、行业、运营者三个层面,分别规定了国家职能部门、行业主管部门及运营企业等各相关方在关键信息基础设施安全保护方面的责任与义务。明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
同时,《网络安全法》第三十一条明确表示, 鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
此外,《网络安全法》还规定:境外的个人或者组织从事攻击、侵入、干扰、破坏等危害中华人民共和国关键信息基础设施的活动,造成严重后果的,依法追求法律责任。
万事俱备,什么样的信息基础设施属于“关键”范畴,哪些企业属于关键信息基础设施运营者?目前尚未出台配套规定。
国家网信办网络安全协调局负责人赵泽良表示,纵观各国情况,具体明确关键信息基础设施相当复杂,是一个在实践中不断完善、不断调整的过程。目前国家网信办正会同有关部门抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。
据了解,关键信息基础设施保护办法有望近期公开征求意见。
为什么关键信息基础设施保护工作如此重要?
关键信息基础设施:指的是那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。
E安全为大家举个例子:
面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,他们都是关键信息基础设施。这些系统一旦发生网络安全事故,可能影响重要行业正常运行,严重危害国计民生、公共利益和国家安全。
随着网络技术与各个行业的交互越来越多,目前网络技术几乎可以覆盖人类生活的各个直接的或者间接层面,关键信息基础设施一方面顺应时代的发展不断与自动化、网络技术相结合,另一方面也不得不面临网络安全威胁的挑战。
工控系统也是关键信息基础设施的重要涵盖领域,随着工业控制系统从过去的密闭的系统走向开放,国家实行互联网+的战略以及两化融合,都使过去的工业控制系统走向了开放和互联。那么系统的安全的边界和过去相比就明显的扩大了,我国安全方面的受攻击的程度和可能性越来越大。
举个例子来说,俄20年前的网络工具仍能对基础设施发起网络攻击。
E安全再给大家举几个例子,请看近年针对关键信息基础设施发起的高级持续性威胁典型案例
2010年,伊朗核设施遭到Stuxnet的攻击,导致伊朗纳坦兹的浓缩铀工厂的20%离心机报废。
2011年的Duqu病毒,虽然从表面攻击行为上看,该病毒主要是收集系统密码、盗取系统文件以及抓取桌面截图,但是实际上Duqu能够窃取目标基础设施系统中的所有信息。
2012年的Flame病毒是一种专门针对政府、工业或企业等关键基础设施的病毒。与Duqu病毒相比,Flame病毒更加复杂,且具有更强的隐蔽性。
2014年的Havex是一种专门用来感染SCADA系统中的控制软件的恶意软件,攻击了欧美地区的一千多家能源企业。黑客们可以通过Havex成功访问到能源行业系统。
2015 年 12 月 23 日,乌克兰能源部门电力网络受到BlackEnergy攻击,导致伊万诺-弗兰科夫斯克州数十万户大停电。
2016年6月,卡巴斯基实验室发现了Operation Choul网络攻击。该攻击影响了30多个国家,其目标是窃取重要商业数据。
2016年10月恶意软件攻击造成美国东海岸网络瘫痪,导致Twitter、亚马逊、华尔街日报等数百个重要网站无法访问,美国主要公共服务、社交平台、民众网络服务瘫痪。据了解,黑客入侵、控制了全世界十多万台智能硬件设备,组成了僵尸网络,对美国互联网域名解析服务商DYN进行DDoS攻击,导致了这场灾难。
2017年WannaCry勒索病毒全球爆发、不少中国高校受损严重,都是关键信息基础设施遭到破坏的典型案例。
关键信息基础设施的大致分类
以上的这些典型的安全事件案例表明,关键信息基础设施与公众的衣食住行息息相关。主要可以划分为以下三类:
一、公众服务:如党政机关网站、企事业单位网站、新闻网站等;
二、民生服务:包括金融、电子政务、公共服务等;
三、基础生产:能源、水利、交通、数据中心、电视广播等。
企业电力一直排在关键信息基础设施的重中之重,原因在于现代社会,几乎所有的人类生活都与电有关,手机、办公电脑、电梯、空调、充电汽车、互联网生存等等,如果某一个区域突然发生大面积的停电事故,那么造成的影响与破坏力是可以想见的。
如何保护关键信息基础设施
保护国家关键信息基础设施需要结合现有情况,并借鉴成功案例定标比超。保卫国家关键基础设施,要把标尺应对在防御对手的攻击,控制、渗透、窃秘上。
公安部网络安全保卫局处长,信息安全等级保护方面的专家 郭启全对网络安全法当中关键基础设施保护的解读是:
关键信息基础设施不仅仅是需要重要行业部门、信息安全企业、专家,除此之外,必须依靠国家的武装力量,军队、警察去保卫,然后才是保护,而这些工作都需要国家提供一定的财力、物力、人力、装备去保障。
保卫、保护、保障三者缺一不可。
关键信息基础设施安全保护需要依赖哪些因素?
首先,关键信息基础设施需要落实国家等级保护制度。
另外,要有保卫、保护、保障,在此基础上提高行动能力,包括情报侦查能力,打击能力,反治能力、威慑能力、追踪溯源、综合防御、态势感知、数据获取。
网络安全企业在积极保护关键信息基础设施的同时,网络安全产业正迎来发展的新一轮良好时机,网络安全法在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都做出了明确的规定。因此可以预见,相关企业,尤其是关键信息基础设施的运行企业,在今后一段时期内,会不断加大在安全领域的投入。
各国对关键信息基础设施相关政策进度如何?
中国在网络安全方面的法律制定滞后于别国,尤其在关键信息基础设施上,明显进度较慢。
《网络安全法》对关键信息基础设施定义比较宽泛,但覆盖全面。就关键基础设施来说,70%、80%都是跟工业系统相关联的,已经进入工业4.0时代的德国,在关键信息基础设施的保护上,可以让我们借鉴的地方比较多。
德国
2015年7月10日,德国议会通过《德国网络安全法》,其重点是加强对关键信息基础设施的保护力度,明确了“关键基础设施”运营者的责任、扩大网络监管权、确定网络安全报告制度和增设电信运营商的义务 。该法明确凡是涉及水资源、能源、通信、医疗、交通、金融、保险等与德国民众日常生活紧密相关的行业或企业均属于关键基础设施的保护范围。
德国此前就出台的《战略》,就对“关键基础设施”的范围进行了界定,但其仅仅是德国内政部发布的发展纲要,不具有法律效力。之后出台的《德国网络安全法》吸收了《战略》中关于“关键基础设施”的定义,在此基础上还明确“关键基础设施”运营者的法律责任。
纵览各国关键信息基础设施配套网络安全法规建设-E安全
《德国网络安全法》为关键基础设施的运营商设置了两项具体的报告义务:
一项是最低网络安全标准报告义务:另一项是网络安全事件动态报告义务。
最低网络安全标准报告义务:指《德国网络安全法》中规定的所有关键基础设施的运营商应当根据本部门实际情况,在规定的时间内向联邦信息安全办公室(BSI)上交一份网络安全方面报告,该报告主要内容是本单位为应对网络攻击而安装相关系统的情况。
网络安全事件动态报告义务:电信运营商应当主动收集、储存用户的通信业务信息,且储存周期不应少于6个月。警方为了侦查犯罪的需要可以从电信运营商处依法获取这些数据。此外,为了保证用户的数据信息不被非法使用,《德国网络安全法》规定,当电信运营商的链接或数据信息被泄漏或滥用时,电信运营商负有及时通知本单位客户的义务。
美国
美国早在1996年就已经对关键基础设施定义了八个范围。
之后2002年,美国的国土安全部才成立,同时, 国土安全部的工作职责就包括保护关键基础设施的安全。
2006年,美国能源部对工业控制系统进行了细致的规划和保护,在2011年又新增了更多的安全保护条款。
纵览各国关键信息基础设施配套网络安全法规建设-E安全
2010年,美国《国家网络基础设施保护法案2010》规定,国会应在网络基础设施保护领域设置“安全线”,以保障美国的网络基础设施安全,并在政府和私营部门之间建立起网络防御联盟的伙伴关系,促进私营部门和政府之间关于网络威胁和最新技术信息的信息共享。《网络空间作为国有资产保护法案2010》授权国土安全部对国家机构的IT系统进行维护监管,规定总统可宣布进入紧急网络状态,并强制私营业主对关键IT系统采取补救措施,以保护国家的利益。
2013年奥巴马政府制定《提高关键基础设施的网络安全》,同时要求关键基础设施要具有恢复力的文件也随之出台。2014年第一个全面指导性文件“关键基础设施网络安全框架规范”出台。
英国
英国早期的互联网立法,侧重保护关键性信息基础设施,随着网络的不断发展,后期在英国加强信息基础设施保护的同时,也开始强调网络信息的安全。
2007年2月1日英国国家基础设施保护中心(简称CPNI)正式成立,它是一家为英国企业和组织的基础设施提供安全咨询保护的英国政府部门,由前英国国家基础设施安全协调中心和英国国家安全咨询中心合并而来。其职责是减少英国基础设施被恐怖主义破坏和其他威胁,保护英国基本服务安全(通信,应急服务,能源,金融,食品,政府,医疗,交通和水务)。
澳大利亚
澳大利亚政府通过不断完善信息安全有关法规标准、推动政府部门相互协作、关键基础信息保护等工作,逐步构建起较为完整的信息安全保障体系。
2001年,澳大利亚发布政府信息安全行动计划“保护国家信息基础设施政策”,对澳大利亚关键基础设施进行保护。之后相继出台了信息安全管理体系标准、澳大利亚联邦政府IT安全手册、IT安全管理的信息技术指南等一系列信息安全标准。
2009年11月23日,澳大利亚政府发布《国家信息安全战略》,其中详细描述了澳大利亚政府将如何保护关键基础设施等使之免受网络威胁的具体内容。
印度
2000年是印度内阁议会通过了《信息技术法》,并于2000年8月15日正式生效,以规范电子商务活动,防范与打击针对计算机和网络犯罪。
随后,印度在2006年和2008年两次修订对人民必不可少的生活设施以及关键信息基础设施造成破坏的行为,以及未经授权侵入或访问因国家安全或外交关系原因采取了访问限制手段的信息、数据或计算机数据库的行为。
日本
2011年日本《刑法》修正后,在消灭垃圾邮件、计算机病毒以及保护网民隐私信息方面进行明确规定,要求网络运营商原则上保存用户30天上网和通信记录,根据必要还可以再延长30天。
2014年11月6日,日本国会众议院表决通过《网络安全基本法》,规定电力、金融等重要社会基础设施运营商、网络相关企业、地方自治体等有义务配合网络安全相关举措或提供相关情报,以加强日本政府与民间力量在网络安全领域联动协调能力,更好应对网络攻击。
结语
网络安全企业在积极保护关键信息基础设施的同时,网络安全产业正迎来发展的新一轮良好时机,网络安全法在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都做出了明确的规定。因此可以预见,相关企业,尤其是关键信息基础设施的运行企业,在今后一段时期内,会不断加大在安全领域的投入。
【几枚横炮】
除了在关键基础设施方面有“大动作”,还突出哪些方面的政策优势?
网络安全教育
作为法律实效保障的核心逻辑之一,民众对《网络安全法》的认识水平和接受程度高低是决定网安法贯彻实施的广度和程度的重要基础条件。
纵览各国关键信息基础设施配套网络安全法规建设-E安全
2017年春,联合国正式启动网络安全与网络犯罪教育计划(Education for Justice,E4J项目),其根本宗旨便是提升各层次主体的安全与法治认知水平,为网络安全和网络犯罪治理提供必要的软环境。不同的受众对于立法文本有着不同的关注点。
《网络安全法》第19条将会促进各级人民政府及其有关部门深入组织开展经常性的网络安全宣传教育,并指导、督促有关单位做好网络安全宣传教育工作,大众传播媒介也将会有针对性地面向社会进行网络安全宣传教育。
《网络安全法》第20条的规定将会促进企业以及高等学校、职业学校等教育培训机构开展网络安全相关教育与培训,采取多种方式培养网络安全人才,促进网络安全人才交流。
活动预告:
2016-2017赛季信息安全铁人三项赛华东赛区比赛和“安恒杯”“攻防之星”校企论坛将于6月6日至6月1日在浙江警察学院(浙江杭州市滨江区滨文路555号)举行。
信息安全铁人三项赛是一项面向大学生的公益性科技类竞赛,由中国信息产业商会信息安全产业分会发起主办,通过整合信息安全产业资源对接高校,为大学生提供一个进行信息安全技术创新、深入产业行业应用以及扩展安全视野的平台,推动校企合作模式的信息安全人才培养,从而实现信息安全优秀人才的培养和选拨渠道。
大赛强调贴近实战,以信息安全典型行业应用场景为大赛环境,重点检验参赛学生面对真实环境下的信息安全工程能力和攻防技术能力。
大赛强调企业与高校的联合,通过校企对接的企业导师加学生战队的模式,将企业资源纳入到高校的信息安全相关专业人才培养中,并实现人才从高校到企业的无缝对接。信息安全铁人三项赛必须是以学校团队名义参赛,原则上一个学校只能有一支队伍参赛,每个队由不多于4名在校全日制本专科学生组成。为了充分利用信息安全产业资源促进高校人才培养,每个信息安全铁人三项赛参赛队伍配置一名学校导师和1名企业导师。
信息安全铁人三项赛为区域选拔赛和全国总决赛,全国分为华北、东北、西北、西南、华南、华中、华东等七个赛区,每个赛区选拔赛可根据情况设置赛区资格赛。每个赛区选拔优秀队伍参加年度总决赛,原则上分赛区的总成绩前三名及各单项冠军队伍进总决赛,具体各赛区晋级总决赛的名额每年由组委会根据情况进行发布。
本文转自d1net(转载)