習(xí)總書記在2016年網(wǎng)絡(luò)安全和信息化工作座談會(huì)上指出����,“關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞����,是網(wǎng)絡(luò)安全的重中之重�����,也是可能遭到重點(diǎn)攻擊的目標(biāo)”��。因此,關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)制度與適用于一般網(wǎng)絡(luò)運(yùn)營(yíng)者的保護(hù)制度相比��,理應(yīng)有新的思路和要求����,否則如何貫徹和落實(shí)總書記關(guān)于“采取有效措施,切實(shí)做好國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)”的重要指示和要求���。
在筆者看來����,中央網(wǎng)信辦日前發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》(以下簡(jiǎn)稱“《條例》”)對(duì)這個(gè)“新的思路和要求”給出了清晰的回答——即以風(fēng)險(xiǎn)管理的思想對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作給予了全面���、科學(xué)�����、先進(jìn)的統(tǒng)籌設(shè)計(jì)���。以下從四個(gè)方面分別論述。
一���、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的邏輯起點(diǎn)是資產(chǎn)的重要性
有效、完整地識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施,是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的邏輯起點(diǎn)�����。對(duì)此����,《條例》第18條延續(xù)《網(wǎng)絡(luò)安全法》的規(guī)定,采用了“資產(chǎn)重要性”作為判斷關(guān)鍵信息基礎(chǔ)設(shè)施的標(biāo)準(zhǔn)����,即“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露����,可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生���、公共利益的�,應(yīng)當(dāng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍”��。
這樣的判斷標(biāo)準(zhǔn)�,符合國(guó)際通行慣例。以新近的域外立法為例��,2015年7月25日正式生效的德國(guó)“網(wǎng)絡(luò)安全法”(IT Security Act)將關(guān)鍵基礎(chǔ)設(shè)施定義為,“對(duì)公眾至關(guān)重要”且一旦“崩潰或受損”�����,將導(dǎo)致“對(duì)大量用戶造成顯著的供應(yīng)短缺”的設(shè)施�����。為進(jìn)一步識(shí)別關(guān)鍵基礎(chǔ)設(shè)施的范圍�,德國(guó)內(nèi)政部分別于2016年5月和2017年6月頒布法令,劃定了能源��、信息技術(shù)和通信��、水和食品��、健康�����、金融和保險(xiǎn)���、運(yùn)輸和交通等行業(yè)和領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施范圍�。上述兩項(xiàng)法令仍然以“資產(chǎn)重要性”作為判斷的標(biāo)準(zhǔn):即首先分行業(yè)���、領(lǐng)域確定關(guān)鍵業(yè)務(wù)���;其次,識(shí)別對(duì)關(guān)鍵業(yè)務(wù)來說必需的支撐設(shè)施類型����;再次:法令按照行業(yè)、領(lǐng)域就關(guān)鍵業(yè)務(wù)和支撐設(shè)施類型設(shè)定臨界值(threshold values)��,高于臨界值的關(guān)鍵業(yè)務(wù)和支撐設(shè)施就劃入關(guān)鍵基礎(chǔ)設(shè)施的范圍�。例如,對(duì)臨床醫(yī)療領(lǐng)域��,臨界值是每年接受的住院病人數(shù)量�。
日前,新加坡公布了其《網(wǎng)絡(luò)安全法案(草案)》��。在該法案中�,關(guān)鍵信息基礎(chǔ)設(shè)施被定義為“支撐國(guó)家所依賴的基礎(chǔ)服務(wù)(essential services)的持續(xù)供給所必要的計(jì)算機(jī)或計(jì)算機(jī)系統(tǒng)”,其中��,基礎(chǔ)服務(wù)是指“一旦喪失或受損��,即會(huì)對(duì)國(guó)家安全�、國(guó)防����、外交關(guān)系��、經(jīng)濟(jì)�����、公共健康���、公共安全或者公共秩序造成嚴(yán)重削弱”的服務(wù)����?����?梢?��,新加坡同樣遵循了“資產(chǎn)重要性”這個(gè)識(shí)別標(biāo)準(zhǔn)��。
既然關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)國(guó)家����、社會(huì)、民眾如此重要�����,對(duì)其的保護(hù)等級(jí)顯然應(yīng)該更高�。從此角度來看�����,等保制度非常契合�,因?yàn)槠滹@著特征即是根據(jù)“資產(chǎn)的重要性”來劃分等級(jí),并根據(jù)等級(jí)要求運(yùn)營(yíng)者建立相匹配的安全保護(hù)能力����。也正因?yàn)槿绱耍毒W(wǎng)絡(luò)安全法》和《條例》共同規(guī)定�����,關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)應(yīng)以網(wǎng)絡(luò)安全等級(jí)保護(hù)制度為基礎(chǔ)�。
但與此同時(shí),《網(wǎng)絡(luò)安全法》和《條例》還規(guī)定了應(yīng)當(dāng)“在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上���,實(shí)行重點(diǎn)保護(hù)”����。如何理解所謂的“重點(diǎn)保護(hù)”,構(gòu)成了本文余下部分的主要內(nèi)容�。
二、對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)保護(hù)需要通過風(fēng)險(xiǎn)管理來統(tǒng)籌
事實(shí)上����,在“4·19”講話中,習(xí)總書記針對(duì)風(fēng)險(xiǎn)管理對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要意義做出了非常系統(tǒng)的論述����。通過風(fēng)險(xiǎn)管理來統(tǒng)籌對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的各方面保護(hù)工作,正是對(duì)其實(shí)行“重點(diǎn)保護(hù)”的最主要內(nèi)容之一��。
一套完整的風(fēng)險(xiǎn)管理流程�����,大致由四個(gè)步驟組成:第一是識(shí)別風(fēng)險(xiǎn)�;第二是評(píng)估風(fēng)險(xiǎn);第三是應(yīng)對(duì)風(fēng)險(xiǎn)�;第四步是持續(xù)不斷地監(jiān)控環(huán)境和風(fēng)險(xiǎn)的變化。這四個(gè)步驟構(gòu)成反饋循環(huán)(feedback loop)以不斷提升組織管理風(fēng)險(xiǎn)的水平�����。
首先,識(shí)別風(fēng)險(xiǎn)��、評(píng)估風(fēng)險(xiǎn)�,對(duì)網(wǎng)絡(luò)安全工作,乃至于關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)����,具有先導(dǎo)性的意義。習(xí)總書記指出����,“知己知彼�,才能百戰(zhàn)不殆”;“維護(hù)網(wǎng)絡(luò)安全�,首先要知道風(fēng)險(xiǎn)在哪里,是什么樣的風(fēng)險(xiǎn)��,什么時(shí)候發(fā)生風(fēng)險(xiǎn)”���;“沒有意識(shí)到風(fēng)險(xiǎn)是最大的風(fēng)險(xiǎn)”�,無法識(shí)別風(fēng)險(xiǎn)的后果只能是“誰進(jìn)來了不知道���、是敵是友不知道���、干了什么不知道”��。
其次�����,風(fēng)險(xiǎn)有內(nèi)部風(fēng)險(xiǎn)�、外部風(fēng)險(xiǎn)的區(qū)分���。按照習(xí)總書記的話來說�,識(shí)別�、評(píng)估內(nèi)部風(fēng)險(xiǎn),能夠“摸清家底”��、“找出漏洞”����、“通報(bào)結(jié)果”、“督促整改”���。識(shí)別��、認(rèn)識(shí)外部風(fēng)險(xiǎn)�����,能讓我們知道什么時(shí)候“人家用的是飛機(jī)大炮����,我們這里還用大刀長(zhǎng)矛”。
再次��,風(fēng)險(xiǎn)管理對(duì)網(wǎng)絡(luò)安全工作的統(tǒng)籌安排����、資源分配具有全局性、基礎(chǔ)性的指導(dǎo)意義�����。習(xí)總書記指出��,“網(wǎng)絡(luò)安全是相對(duì)的而不是絕對(duì)的�。沒有絕對(duì)安全�,要立足基本國(guó)情保安全,避免不計(jì)成本追求絕對(duì)安全��,那樣不僅會(huì)背上沉重負(fù)擔(dān),甚至可能顧此失彼”����。因此,在資源約束下�,如何判斷輕重緩急,如何做到科學(xué)高效地分配網(wǎng)絡(luò)安全力量���,風(fēng)險(xiǎn)管理是最好的指南����。習(xí)總書記說�����,通過識(shí)別和評(píng)估風(fēng)險(xiǎn)��,我們才能“有本清清楚楚的賬”——即“哪些方面要重兵把守����、嚴(yán)防死守,哪些方面由地方政府保障����、適度防范��,哪些方面由市場(chǎng)力量防護(hù)”���。
實(shí)際上,風(fēng)險(xiǎn)管理不僅是網(wǎng)絡(luò)安全����,更是整個(gè)國(guó)家安全工作的基本指導(dǎo)之一?����!秶?guó)家安全法》在第四章“國(guó)家安全制度”中專門用兩節(jié)的篇幅(“情報(bào)信息”和“風(fēng)險(xiǎn)預(yù)防�����、評(píng)估和預(yù)警”)來對(duì)國(guó)家安全的風(fēng)險(xiǎn)管理做出詳細(xì)規(guī)定�����。
如果用一句話來總結(jié)�,堅(jiān)持風(fēng)險(xiǎn)管理的思想���,能夠在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作中超越“所保護(hù)的資產(chǎn)重要性”單一的判定維度����,超越根據(jù)等級(jí)建設(shè)“底線式、靜態(tài)式”安全能力的合規(guī)思路���,實(shí)現(xiàn)有效掌握“攻防兩端能力”對(duì)比變化����,科學(xué)高效分配有限的安全資源和力量����,進(jìn)而在動(dòng)態(tài)對(duì)抗博弈中贏得主動(dòng),達(dá)到實(shí)質(zhì)性的安全效果����。
三、《條例》中以風(fēng)險(xiǎn)管理為統(tǒng)籌的具體設(shè)計(jì)體現(xiàn)
《條例》中貫徹風(fēng)險(xiǎn)管理的思想主要體現(xiàn)在以下幾個(gè)方面���。
一是《條例》落實(shí)了習(xí)總書記要求建立的“全天候全方位網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系”����。第六章“監(jiān)測(cè)預(yù)警���、應(yīng)急處置和檢測(cè)評(píng)估”的第36�、37條分別要求國(guó)家網(wǎng)信部門、國(guó)家行業(yè)主管或監(jiān)管部門分別建立國(guó)家層面���、行業(yè)和領(lǐng)域?qū)用娴谋O(jiān)測(cè)預(yù)警體系和信息通報(bào)制度�����,及時(shí)開展網(wǎng)絡(luò)安全信息的匯總�����、分析研判和通報(bào)工作����。此外����,第38條還要求國(guó)家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)建立政府、企業(yè)�����、研究機(jī)構(gòu)之間的網(wǎng)絡(luò)安全信息共享機(jī)制����。《條例》通過建立橫跨公私部門���、層次豐富���、縱橫交錯(cuò)的網(wǎng)絡(luò)安全信息共享網(wǎng)絡(luò),最終達(dá)到綜合運(yùn)用各方面掌握的數(shù)據(jù)資源����,更好感知網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢(shì)的效果。
二是《條例》第40條要求國(guó)家行業(yè)主管部門或監(jiān)管部門定期組織對(duì)本行業(yè)��、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)以及運(yùn)營(yíng)者履行安全保護(hù)義務(wù)的情況���,進(jìn)行抽查檢測(cè)����。與以往“合規(guī)打勾式”的安全抽查�����、檢測(cè)有本質(zhì)不同的是��,行業(yè)主管部門或監(jiān)管部門在日常工作中不僅掌握了本行業(yè)�、本領(lǐng)域的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)態(tài)勢(shì)�����,還通過國(guó)家網(wǎng)信部門建立的監(jiān)測(cè)預(yù)警體系掌握了全國(guó)范圍內(nèi)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����,因此在安全抽查和檢測(cè)中���,必定能有效地指導(dǎo)����、督促運(yùn)營(yíng)者及時(shí)發(fā)現(xiàn)問題��,并提出與當(dāng)前風(fēng)險(xiǎn)態(tài)勢(shì)相稱的安全防護(hù)措施��。因此���,通過主管或監(jiān)管部門定期的抽查檢測(cè)�,對(duì)風(fēng)險(xiǎn)的感知能夠具體化為實(shí)際的�����、與外界情況變化相匹配的安全防護(hù)要求,進(jìn)而落到實(shí)處�。
三是《條例》第39條規(guī)定了國(guó)家網(wǎng)信部門指導(dǎo)協(xié)調(diào)有關(guān)部門組織跨行業(yè)、跨地域的網(wǎng)絡(luò)安全應(yīng)急演練����,同時(shí)行業(yè)主管或監(jiān)管部門定期組織演練����,以提升本行業(yè)、本領(lǐng)域的網(wǎng)絡(luò)安全事件應(yīng)對(duì)和災(zāi)難恢復(fù)能力���。同上���,在全面掌握時(shí)刻變化的風(fēng)險(xiǎn)態(tài)勢(shì)基礎(chǔ)上開展的應(yīng)急演練,無疑能夠最大程度上避免“拍腦袋”的情況�����,使得演練具有直接的針對(duì)性�、時(shí)效性。
綜合這三方面來看�,《條例》將在全國(guó)范圍內(nèi)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施建立立體、交叉的網(wǎng)絡(luò)安全態(tài)勢(shì)感知體系��,并通過政府部門的抽查、檢測(cè)����、演練等動(dòng)作,將對(duì)風(fēng)險(xiǎn)的實(shí)時(shí)感知和分析轉(zhuǎn)變?yōu)閯?dòng)態(tài)����、有針對(duì)性的安全防護(hù)要求。從這個(gè)方面來看�����,《條例》第23�、24條規(guī)定的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的安全保護(hù)義務(wù),應(yīng)從風(fēng)險(xiǎn)管理的角度加以理解�,而且根據(jù)風(fēng)險(xiǎn)態(tài)勢(shì)的變化適時(shí)調(diào)整安全防護(hù)策略,應(yīng)是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者安全保護(hù)義務(wù)的題中之義�。
而且通過《條例》的上述制度安排,政府部門對(duì)風(fēng)險(xiǎn)的感知能夠在識(shí)別風(fēng)險(xiǎn)和評(píng)估風(fēng)險(xiǎn)環(huán)節(jié)�����,就及時(shí)注入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者自行開展的風(fēng)險(xiǎn)管理中���,不僅能夠避免運(yùn)營(yíng)者“只見樹木不見森林”����,還能有效避免運(yùn)營(yíng)者為發(fā)展業(yè)務(wù),故意選擇性地忽視面臨的風(fēng)險(xiǎn)�。
四、風(fēng)險(xiǎn)管理的理念與國(guó)際實(shí)踐接軌
通過風(fēng)險(xiǎn)管理來統(tǒng)籌對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)工作����,實(shí)際上也是美國(guó)�、歐盟等國(guó)家和區(qū)域最新的網(wǎng)絡(luò)安全立法、政策�����、標(biāo)準(zhǔn)的核心理念�����。
美國(guó)前總統(tǒng)奧巴馬于2013年頒布的行政令13636號(hào)《提升關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全》(“Improving Critical Infrastructure Cybersecurity”)明確要求美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定以風(fēng)險(xiǎn)管理為基礎(chǔ)的“網(wǎng)絡(luò)安全框架”(Cybersecurity Framework)作為保護(hù)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施的核心措施之一����。目前,NIST制定的“網(wǎng)絡(luò)安全框架”得到了美國(guó)多個(gè)監(jiān)管部門的青睞���,例如美國(guó)證監(jiān)會(huì)�����、美國(guó)聯(lián)邦貿(mào)易委員會(huì)�����、國(guó)土安全部���、能源部等均向其監(jiān)管對(duì)象推薦以風(fēng)險(xiǎn)管理為核心的“網(wǎng)絡(luò)安全框架”�����。
在歐盟���,于2016年通過的專門針對(duì)“基礎(chǔ)性”的網(wǎng)絡(luò)和信息系統(tǒng)的《網(wǎng)絡(luò)和信息安全指令》(NIS Directive)就提倡建立一種“風(fēng)險(xiǎn)管理文化”:“基礎(chǔ)性”網(wǎng)絡(luò)和信息系統(tǒng)的運(yùn)營(yíng)者應(yīng)開展風(fēng)險(xiǎn)評(píng)估,并采取與所面臨風(fēng)險(xiǎn)“相稱”(appropriate to)或“成比例”(proportionate to)的安全措施�。同樣于2016年通過的《通用數(shù)據(jù)保護(hù)條例》(GDPR)第32條規(guī)定了個(gè)人信息控制者的安全保護(hù)義務(wù):在考慮所持有的“數(shù)據(jù)的本質(zhì)屬性”、最先進(jìn)的安全保護(hù)措施以及實(shí)施成本的前提下���,個(gè)人信息控制者應(yīng)采取與其面臨的安全風(fēng)險(xiǎn)相稱的技術(shù)和管理措施�����。
事實(shí)上����,已有不少專家學(xué)者指出,雖然美國(guó)和歐盟在法律體系上存在顯著差異��,但是應(yīng)對(duì)網(wǎng)絡(luò)安全問題的路徑(approaches)正在逐漸趨同��,即均以風(fēng)險(xiǎn)管理為核心����,敦促運(yùn)營(yíng)者時(shí)刻根據(jù)不斷變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)來調(diào)整所采取的安全防護(hù)措施。
正如2016年12月美國(guó)前總統(tǒng)奧巴馬成立的美國(guó)網(wǎng)絡(luò)安全促進(jìn)委員會(huì)的報(bào)告所指出:全球的各個(gè)網(wǎng)絡(luò)物理系統(tǒng)(cyber and physical systems)正日益變得趨同����、相互連接�、相互依賴、超越國(guó)界�����,這就意味著網(wǎng)絡(luò)安全需要在包括國(guó)際���、國(guó)家����、組織、個(gè)人等各個(gè)層次中協(xié)調(diào)實(shí)現(xiàn)��。近來爆發(fā)的Wannacry���、NotPetya病毒即是最好的例證�。而隨著《條例》將風(fēng)險(xiǎn)管理確立為統(tǒng)籌關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的指針����,中、美�����、歐在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面開展國(guó)際合作具備了共同的語言和共同的基礎(chǔ)���。
總之�����,關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上�,實(shí)行重點(diǎn)保護(hù)����。其不僅對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提出了新的安全保護(hù)義務(wù)����,更重要的是要求國(guó)家網(wǎng)信部門����、主管或監(jiān)管部門主動(dòng)掌握安全風(fēng)險(xiǎn)態(tài)勢(shì),并以此引領(lǐng)具體保護(hù)工作��。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)旨在形成以風(fēng)險(xiǎn)管理為核心����、多方聯(lián)動(dòng)、可持續(xù)提升的安全保障體系����,以更好地應(yīng)對(duì)網(wǎng)絡(luò)空間日益嚴(yán)峻的安全形勢(shì),切實(shí)保障國(guó)家安全�����、國(guó)計(jì)民生和公共利益�。
0531-67800866