日前頒布的《關鍵信息基礎設施安全保護條例》(以下簡稱《關基保護條例》)對事關“國家安全、國計民生、公共利益的重要網絡設施、信息系統”,提出了除網絡安全等級保護制度之外的增強性安全要求和安全措施。貫穿于其中的增強性要求和措施的一條主線,是主體責任與綜合共治相配合的理念,即《關基保護條例》第四條所提出的:“關鍵信息基礎設施安全保護堅持綜合協調、分工負責、依法保護,強化和落實關鍵信息基礎設施運營者(以下簡稱關基運營者)主體責任,充分發揮政府及社會各方面的作用,共同保護關鍵信息基礎設施安全”。本文將簡析《關基保護條例》在落實綜合共治方面的相關制度設計,并著重從網絡安全信息共享的角度進行闡釋和分析,以彰顯《關基保護條例》所秉持的先進理念。
一、《關基保護條例》重點設計了綜合共治的制度路徑
《關基保護條例》對關基安全保護的綜合共治,有著豐富的制度設計。除了對關基運營者提出了相對于一般運營者更高的安全責任義務之外,還在多個方面建立了制度性途徑,要求保護工作部門、國家網信部門、國務院公安部門,與關基運營者一道,直接參與到關基的日常保護工作之中。
具體來說,一是人員方面,第十四條規定對關基安全管理機構負責人和關鍵崗位人員進行安全背景審查時,“公安機關、國家安全機關應當予以協助”。二是在產品和服務方面,第十九條規定運營者“采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查”。三是應急演練。第二十五條規定,保護工作部門應建立健全本行業、本領域的網絡安全事件應急預案,當定期組織應急演練。四是事件應對處置中的技術支持與協助,體現在第二十五規定中,關基的保護工作部門在指導運營者做好網絡安全事件應對處置時,“根據需要組織提供技術支持與協助”;第二十九條規定,國家網信部門、電信部門、公安部門“應當根據保護工作部門的需要,及時提供技術支持和協助”。
二、網絡安全信息共享是綜合共治的突出體現
除了上述四方面,綜合共治的另外一個突出體現即是網絡安全信息共享。首先是關基運營者的信息上報義務,按照第十五條,關基運營者所建立的專門安全管理機構應“按照規定報告網絡安全事件和重要事項”;第十七條規定,運營者開展網絡安全檢測和風險評估時,應當“按照保護工作部門要求報送情況”;第十八條進一步要求,“發生重大網絡安全事件或者發現重大網絡安全威脅時,運營者應當按照有關規定向保護工作部門、公安機關報告”;第二十一條還規定,如果“運營者發生合并、分立、解散等情況,應當及時報告保護工作部門”。
其次是部門檢查檢測、監測機制。其具體體現在兩個方面:一是第二十六和二十七條所要求的國家網信部門、國務院公安部門和保護工作部門主動組織網絡安全檢查檢測,目的主動發現關鍵信息基礎設施存在的網絡安全漏洞、管理問題、技術缺陷等,并就此提出改進措施,指導運營者整改安全隱患,完善安全措施。二是第二十四條要求保護工作部門應當建立“本行業、本領域”的關基網絡安全監測制度,以便“及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢”。
再次是各部門之間的信息共享制度。第十八條規定,對于特別重大的網絡安全事件或網絡安全威脅,例如“關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等”,保護工作部門“應當在收到報告后,及時向國家網信部門、國務院公安部門報告”。第二十三條要求“國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享”。
最后是保護工作部門的信息預警制度。在通過前述規定實現網絡安全信息收集和共享之后,《關基保護條例》第二十四條要求保護工作部門應當建立“本行業、本領域”的關基網絡安全預警制度,以便“預警通報網絡安全威脅和隱患,指導做好安全防范工作”。
三、網絡安全信息共享對關基安全保護具有重要意義
《關基保護條例》之所以花如此多的筆墨在行業、領域乃至國家層面,圍繞著關鍵信息基礎設施保護構建網絡安全信息共享機制,其最直接的意義是為了能夠“全天候全方位感知網絡安全態勢”。在全面的網絡安全態勢感知的指引下,關基運營者首先能夠識別風險、認識風險。習近平總書記指出,“知己知彼,才能百戰不殆”;“維護網絡安全,首先要知道風險在哪里,是什么樣的風險,什么時候發生風險”;“沒有意識到風險是最大的風險”,無法識別風險的后果只能是“誰進來了不知道、是敵是友不知道、干了什么不知道”。對于內部風險,網絡安全態勢感知能夠讓關基運營者“摸清家底”、“找出漏洞”、“通報結果”、“督促整改”; 對于外部風險,網絡安全態勢感知能夠讓關基運營者知道什么時候“人家用的是飛機大炮,我們這里還用大刀長矛”。
其次,全面的網絡安全態勢感知對網絡安全工作的統籌安排、資源分配具有全局性、基礎性的指導意義。總書記指出,“網絡安全是相對的而不是絕對的。沒有絕對安全,要立足基本國情保安全,避免不計成本追求絕對安全,那樣不僅會背上沉重負擔,甚至可能顧此失彼”。因此,在資源約束下,如何判斷輕重緩急,如何做到科學高效地分配網絡安全力量,全面的網絡安全態勢感知是最好的指南。總書記說,通過識別和認識風險,我們才能“有本清清楚楚的賬”——即“哪些方面要重兵把守、嚴防死守,哪些方面由地方政府保障、適度防范,哪些方面由市場力量防護”。
從前述網絡安全信息共享的四方面制度中不難看拿出,參與到信息共享,對單個運營者來說,能對攻擊者有更多、更深的了解,縮短對網絡攻擊的反應時間;能夠效仿別的運營者部署的行之有效的安全措施,提高總體安全水平。與此同時,政府部門參與到安全信息共享中去,把自己掌握的情況通過共享網絡做到快速、廣泛發布,通過信息共享,達到調動、協調全社會實現實時的群防群治,提高網絡安全治理的效果。
此外,政府部門、運營者、網絡安全服務提供者等各主體間更大程度的安全信息共享,意味著有更多的安全信息和數據被“生產”出來,并開始流通。安全大數據得以成為可能。政府部門能借此在宏觀層面,更全面地掌握威脅和安全防護方面的全局性情況,分析出未來可能的發展趨勢,為在國家層面制定戰略和行動計劃、開展專項行動,有針對性地協調各部門、各行業進行防護工作等打下堅實的基礎。
總之,全面的網絡安全信息共享機制能夠在關鍵信息基礎設施保護工作中超越“靜態底線式”的安全合規,實現有效掌握“攻防兩端能力”對比變化,科學高效分配有限的安全資源和力量,進而在動態對抗博弈中贏得主動,達到動態優化式的安全保障效果。
四、結語
如前文分析,《關基保護條例》的科學之處在于清晰地認識到關基保護的核心關鍵之一在于公私緊密合作;在此方面中外莫不如是。同時由于我國國情因素,地區、部門之間的協作也至關重要。因此,在綜合共治方面,《關基保護條例》提出了豐富且先進的制度設計:一方面在關基安全保護的重要節點,部門通過自身的資源和能力直接賦能運營者。另一方面通過網絡安全信息上報、收集、共享等,并通過預警機制,“點滴之中”直接指導、提升運營者的日常安全保護工作。兩個方面相結合,做到了對關基運營和安全的全覆蓋。就此,我們有理由相信《關基保護條例》的科學設計為提升關基安全保護水平奠定了堅實基礎。(完)
