媒體報(bào)道

首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2021 > 正文

工業(yè)安全視角看《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》

閱讀量：次

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》甫一推出，各方解讀紛紛出爐，安恒信息也多角度進(jìn)行了關(guān)注和解讀，本文將立足工業(yè)互聯(lián)網(wǎng)領(lǐng)域?qū)l例進(jìn)行關(guān)注，厘清思路是為了更好地抓住重心，指導(dǎo)實(shí)干。

關(guān)鍵信息基礎(chǔ)設(shè)施范圍認(rèn)定，重點(diǎn)突出

原文：

第二條本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

第三十二條國(guó)家采取措施，優(yōu)先保障能源、電信等關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行。能源、電信行業(yè)應(yīng)當(dāng)采取措施，為其他行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全運(yùn)行提供重點(diǎn)保障。

說明：《條例》中規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施范圍指出的能源、交通、水利、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域，覆蓋了電力、核電、煤炭、油氣、新能源、鐵路、公路、水路、民航、水庫(kù)、水電站大壩、農(nóng)村水電等10余個(gè)涉及工業(yè)控制系統(tǒng)的場(chǎng)景；尤其提出能源行業(yè)的優(yōu)先保障、重點(diǎn)保障，說明工業(yè)控制系統(tǒng)安全在關(guān)鍵信息基礎(chǔ)設(shè)施保障中的重要程度。

更高安全防護(hù)要求，強(qiáng)化數(shù)據(jù)安全

原文：

第五條國(guó)家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)，采取措施，監(jiān)測(cè)、防御、處置來源于中華人民共和國(guó)境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊、侵入、干擾和破壞，依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動(dòng)。任何個(gè)人和組織不得實(shí)施非法侵入、干擾、破壞關(guān)鍵信息基礎(chǔ)設(shè)施的活動(dòng)，不得危害關(guān)鍵信息基礎(chǔ)設(shè)施安全。

第六條運(yùn)營(yíng)者依照本條例和有關(guān)法律、行政法規(guī)的規(guī)定以及國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求，在網(wǎng)絡(luò)安全等級(jí)保護(hù)的基礎(chǔ)上，采取技術(shù)保護(hù)措施和其他必要措施，應(yīng)對(duì)網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)攻擊和違法犯罪活動(dòng)，保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，維護(hù)數(shù)據(jù)的完整性、保密性和可用性。

第十五條專門安全管理機(jī)構(gòu)具體負(fù)責(zé)本單位的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作，履行下列職責(zé)：

（六）履行個(gè)人信息和數(shù)據(jù)安全保護(hù)責(zé)任，建立健全個(gè)人信息和數(shù)據(jù)安全保護(hù)制度；

第十八條關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)生重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)重大網(wǎng)絡(luò)安全威脅時(shí)，運(yùn)營(yíng)者應(yīng)當(dāng)按照有關(guān)規(guī)定向保護(hù)工作部門、公安機(jī)關(guān)報(bào)告。發(fā)生關(guān)鍵信息基礎(chǔ)設(shè)施整體中斷運(yùn)行或者主要功能故障、國(guó)家基礎(chǔ)信息以及其他重要數(shù)據(jù)泄露、較大規(guī)模個(gè)人信息泄露、造成較大經(jīng)濟(jì)損失、違法信息較大范圍傳播等特別重大網(wǎng)絡(luò)安全事件或者發(fā)現(xiàn)特別重大網(wǎng)絡(luò)安全威脅時(shí)，保護(hù)工作部門應(yīng)當(dāng)在收到報(bào)告后，及時(shí)向國(guó)家網(wǎng)信部門、國(guó)務(wù)院公安部門報(bào)告。

說明：《條例》明確關(guān)鍵信息基礎(chǔ)設(shè)施重點(diǎn)保護(hù)，采用“監(jiān)測(cè)、防御、處理”的手段抵御網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅，工業(yè)控制系統(tǒng)作為關(guān)鍵信息基礎(chǔ)設(shè)施的重要部分，在“一個(gè)中心，三重防護(hù)”的防御思維上，建立監(jiān)測(cè)預(yù)警、態(tài)勢(shì)感知平臺(tái)，形成立體、多元、全面的保障體系。隨著工業(yè)控制系統(tǒng)的互聯(lián)互通，工業(yè)互聯(lián)網(wǎng)的發(fā)展，工業(yè)數(shù)據(jù)安全也將在《條例》的指導(dǎo)下，圍繞數(shù)據(jù)分類分級(jí)、數(shù)據(jù)脫敏、數(shù)據(jù)代理、數(shù)據(jù)防泄露、數(shù)據(jù)加密等工業(yè)數(shù)據(jù)管理和技術(shù)方法，提升工業(yè)數(shù)據(jù)安全保護(hù)能力。

安全保護(hù)與安全建設(shè)“三同步”，強(qiáng)調(diào)“主體責(zé)任”

原文：

第十二條安全保護(hù)措施應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃、同步建設(shè)、同步使用。

第十三條運(yùn)營(yíng)者應(yīng)當(dāng)建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制，保障人力、財(cái)力、物力投入。運(yùn)營(yíng)者的主要負(fù)責(zé)人對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)負(fù)總責(zé)，領(lǐng)導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和重大網(wǎng)絡(luò)安全事件處置工作，組織研究解決重大網(wǎng)絡(luò)安全問題。

說明：當(dāng)下工業(yè)控制系統(tǒng)存在大量的系統(tǒng)之前未按照“三同步”原則進(jìn)行建設(shè)，導(dǎo)致整改難、維護(hù)難、升級(jí)難的困擾，嚴(yán)重阻礙了工業(yè)升級(jí)和數(shù)字化改造?！稐l例》“三同步”的明確提出，對(duì)后期工業(yè)控制系統(tǒng)安全建設(shè)有著重大指導(dǎo)意義，并且明確指出運(yùn)營(yíng)者對(duì)網(wǎng)絡(luò)安全保護(hù)責(zé)任，強(qiáng)調(diào)組織的意義和領(lǐng)導(dǎo)責(zé)任制，工業(yè)控制系統(tǒng)安全的主體責(zé)任也將逐步明確。

建立安全信息共享機(jī)制，完善運(yùn)行監(jiān)測(cè)、安全態(tài)勢(shì)、預(yù)警通報(bào)策略

原文：

第二十三條國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門建立網(wǎng)絡(luò)安全信息共享機(jī)制，及時(shí)匯總、研判、共享、發(fā)布網(wǎng)絡(luò)安全威脅、漏洞、事件等信息，促進(jìn)有關(guān)部門、保護(hù)工作部門、運(yùn)營(yíng)者以及網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等之間的網(wǎng)絡(luò)安全信息共享。

第二十四條保護(hù)工作部門應(yīng)當(dāng)建立健全本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警制度，及時(shí)掌握本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行狀況、安全態(tài)勢(shì)，預(yù)警通報(bào)網(wǎng)絡(luò)安全威脅和隱患，指導(dǎo)做好安全防范工作。

說明：工業(yè)控制系統(tǒng)漏洞逐年增多，涉及的品牌、范圍、影響程度都是跨網(wǎng)絡(luò)、跨系統(tǒng)、跨業(yè)務(wù)，《條例》安全信息的共享機(jī)制的提出，可以有力地統(tǒng)一運(yùn)營(yíng)者、廠商、集成商、監(jiān)管單位對(duì)網(wǎng)絡(luò)安全威脅、漏洞、事件的認(rèn)識(shí)，結(jié)合運(yùn)行狀況監(jiān)測(cè)、安全態(tài)勢(shì)、預(yù)警通報(bào)的技術(shù)手段，使運(yùn)營(yíng)者可以有更多的方法進(jìn)行安全防范工作。

鼓勵(lì)技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展，提倡人才專項(xiàng)培養(yǎng)

原文：

第三十五條國(guó)家采取措施，鼓勵(lì)網(wǎng)絡(luò)安全專門人才從事關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作；將運(yùn)營(yíng)者安全管理人員、安全技術(shù)人員培訓(xùn)納入國(guó)家繼續(xù)教育體系。

第三十六條國(guó)家支持關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)技術(shù)創(chuàng)新和產(chǎn)業(yè)發(fā)展，組織力量實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全技術(shù)攻關(guān)。

說明：

工業(yè)控制系統(tǒng)安全作為跨學(xué)科、跨領(lǐng)域的復(fù)合型安全技術(shù)，更需要在復(fù)雜的業(yè)務(wù)場(chǎng)景中進(jìn)行技術(shù)創(chuàng)新和人才培養(yǎng)，《條例》將人員培訓(xùn)納入繼續(xù)教育體系，是對(duì)該領(lǐng)域人才產(chǎn)生的促進(jìn)；建設(shè)工業(yè)控制系統(tǒng)安全實(shí)驗(yàn)室與實(shí)訓(xùn)平臺(tái)可為高校、研究部門提供對(duì)工控安全學(xué)習(xí)和研究的良好環(huán)境，提高專項(xiàng)人才的培養(yǎng)。

細(xì)化法律懲罰，強(qiáng)化責(zé)任制

原文：

第五章法律責(zé)任（參見全文）

說明：

該章節(jié)從安全事件報(bào)告、安全產(chǎn)品、服務(wù)、檢查等多維度明確了違反《條例》行為的處罰事項(xiàng)，突出強(qiáng)化了各類主體責(zé)任，并與《網(wǎng)絡(luò)安全法》相關(guān)處罰保持一致，使關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作形成閉環(huán)。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>