本文作者:sukai

网络安全设计与等级保护(网络安全等级保护研究)

sukai 04-25 94

  日前,社会各界高度关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序。对此,关键信息基础设施起到了至关重要的基础作用。基础设施是指社会经济运转所严重依赖的产品、服务、系统和资产总和,包括公路、铁路、机场、通讯、水电煤气等公共设施,即俗称的基础建设,同时也包括教育、科技、医疗卫生、体育、文化等社会事业即社会性基础设施。一旦这些设施遭到破坏,会对国家安全、经济稳定和公众安全产生严重影响。

  在“互联网+”时代,关键信息基础设施互联互通是未来的发展趋势,但如果网络安全保障缺失,也会引发各种严重的安全问题,使关键信息基础设施面临着来自内部和外部的各种网络安全风险。

  互联网安全领域及相关行业对于如何促进关键信息基础设施的建设和保护问题给予高度重视,众多境内外媒体对此进行了跟踪报道和积极评论。

促进关键信息基础设施建设和保护媒体报道情况

  关键信息基础设施的定义

网络安全设计与等级保护(网络安全等级保护研究)

  关键信息基础设施,可以从两个方面理解:一个是信息基础设施中的关键部分,通常包括电信网络、广播电视网络、域名系统、电子签名认证系统等;另一个是关键基础设施中的信息部分,即我们通常所说的重要信息系统。实际上,这两个方面的融合度已经越来越高。

  在互联网高度发展的今天,信息系统成为基础设施系统运行的重要支撑。一旦关键基础设施的信息系统受到破坏,将产生严重危害。因此,信息基础设施的建设、运行、维护,都需要充分考虑安全方面的因素。

  除此之外,《网络安全法》的实施,奠定了关键信息基础设施安全保护制度的基础。国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。同时,确立了关键信息基础设施重要数据跨境传输的规则。运营者在境内收集和产生的个人信息和重要数据应当在境内存储。因业务需要,需向境外提供的,按规定进行安全评估。

  关键信息基础设施的建设与保护

  关于关键信息基础设施安全保护中的关键问题,应该主要考虑从其遭到破坏对国计民生产生的影响来分析。从宏观层面来讲,关键信息基础设施的建设和保护应着重从以下几个方面来进行促进和加强。

关键信息基础设施建设与保护的三个方面

  1、业务连续能力

  业务连续能力是关键信息基础设施安全保护中需要解决的首要问题。由于关键信息基础设施的“关键”在于国计民生对其的高度依赖关系,因此需要关键信息基础设施具备“不间断可靠供给”的能力。

  因此,《中华人民共和国网络安全法》充分认识到了业务连续能力对于关键信息基础设施的重要性,第二十七、二十八条两条从规划建设、使用管理、人员配置、容灾备份、应急处置等多个方面做出规定,来规范关键信息基础设施的业务连续能力。

  2、自主可控能力

  自主可控能力一向被认为是保障网络安全、信息安全的基本前提。然而,自主可控设备目前还不能完全覆盖我国关键信息基础设施建设和运行管理的要求,关键信息基础设施的部分设备和部件短期难以摆脱依赖进口的局面。为此,《网络安全法》在第十九条中对网络关键设备和网络安全专用产品的认证检测提出了要求,在第二十九条和第三十条对关键信息基础设施采购网络产品做出了保密和安全审查方面的要求。

  3、数据安全

  由于传统关键基础设施普遍性的信息化、网络化趋势,关键信息基础设施集中承载着越来越多的敏感数据,这些数据事关社会稳定和国家安全。随着大数据、云计算、移动互联网等技术的发展,数据的价值得到了大幅度提升,这一方面促进了社会经济发展,另一方面也诱发了越来越多的数据安全问题,尤其是各类重要信息系统中的敏感数据,成为网络黑客和间谍机构的重要攻击目标。为此,《网络安全法》除对网络数据安全问题(第十七条、第二十二条)和公民个人信息保护(第三十四条至第三十九条)做了一般性规定之外,还在第三十一条中对关键信息基础设施运营者收集的公民个人信息等重要数据的出境存储加以限制。然而,关键基础设施所承载的重要数据绝不仅限于公民个人信息,还有相当部分的数据需要限制出境存储,建议《网络安全法》在后续修订中能够对这一部分加以补充完善。

  综上所述,《网络安全法》对于关键信息基础设施安全保护中涉及的业务连续能力、自主可控能力、数据安全等关键问题均给予了足够关注,做出了一些原则性的规定。作为一部以宏观指导为主要目的的法律,《网络安全法》不可能关注过多的细节,建议以这部法律为基础制定的后续相关法规条例和技术规范能够根据实际操作的需要进行进一步细化。

  4、各国关键信息基础设施与保护的相关政策

  关键信息基础设施安全是网络空间安全的命脉所在,纵观世界各国的网络安全相关立法,关键信息基础设施安全都是非常重要的内容。中国在网络安全方面的法律制定虽然滞后于其他一些国家,但是《网络安全法》的实施在关键信息基础设施的建设和保护上起到积极的作用。

  以下是美国、英国、德国等一些国家,对于国家关键信息基础设施建设与保护实施的相关政策:

各国关键信息基础设施建设与保护相关政策

  《网络安全法》的实施成为我国网络空间法治建设的重要里程碑,它不仅确立了安全在整个信息系统建设中的核心和关键地位,而且对保护国家、社会以及个人信息安全方面也起到了积极作用。

  此外,《网络安全法》在关键信息基础设施的运行安全、建立网络安全监测预警与应急处置制度等方面都做出了明确的规定。因此,各行业需要严格贯彻落实《网络安全法》相关条款,为我国关键信息基础设施网络安全建设和保护保驾护航。

  热点推荐

阅读
分享