一、关键信息基础设施安全保护是我国网络安全防护体系建设的重要组成部分
关键信息基础设施保护工作历来是各国网络安全保护工作的重点。自上世纪90年代起,美、欧等具有较强网络安全保障能力的国家和地区已将提高关键信息基础设施的安全性和可靠性作为一项长期工作,陆续发布了《增强关键基础设施网络安全》(美国总统第13636号行政令)《欧洲关键基础设施保护计划》《网络与信息安全指令》等一系列政策法规。
习近平总书记“4·19”讲话指示“加快构建关键信息基础设施安全保障体系”。《网络安全法》建立了关键信息基础设施保护制度,明确了关键信息基础设施运营者的安全责任。《密码法》则进一步要求运营者按照法律法规使用商用密码保护关键信息基础设施。自2014年起,《关于加强党政部门云计算服务网络安全管理的意见》《中央网信办关于印发<国家网络安全事件应急预案>的通知》《关键信息基础设施安全保护条例(征求意见稿)》《网络安全审查办法》等相继出台或公开征求意见,为关键信息基础设施安全防护体系建设夯实了政策法规基础。
二、关键信息基础设施安全防护标准为关键信息基础设施安全防护体系的建设提供了重要的技术支撑
随着网络攻击技术的快速发展和攻击工具自动化程度的不断提高,我国关键信息基础设施安全防护形式严峻,面临的安全风险日益突出。一是关键信息基础设施行业特点显著,各行业安全防护能力差异明显,安全防护体系建设任务重、难度大。二是针对关键信息基础设施的攻击不仅能导致网络安全事件,还能进一步破坏物理基础设施安全,危害国家安全。三是对于有组织、大规模的攻击行为,关键信息基础设施运营者难以仅依靠自身安全能力开展有效防护,需通过国家层面的安全态势、威胁信息共享机制,形成联防联控,实现有效应对措施。
针对关键信息基础设施保护领域的主要安全风险和安全需求,全国信息安全标准化技术委员会推动研制了包括《关键信息基础设施网络安全保护基本要求(报批稿)》《关键信息基础设施安全控制措施(报批稿)》《关键信息基础设施安全检查评估指南(报批稿)》等7项重点急需国家标准,明确了运营者开展网络安全保护工作的最低要求,提出了安全控制措施,并对检查评估工作的开展给出指导,为关键信息基础设施保护工作奠定良好标准基础。
三、积极开展重点标准应用推广,加快关键信息基础设施安全标准体系建设,助力安全防护能力提升
目前,包括基本要求、安全控制措施、检查评估指南等关键信息基础设施防护领域的基础共性标准均已推进至报批稿阶段,技术内容较为成熟,应积极开展标准试点应用工作,在应用过程中发现问题、解决问题,提升标准技术条款的适用性和先进性,确保相关标准有用、好用、管用。同时,随着关键信息基础设施识别认定工作在各行业的开展,围绕安全防护、检测预警、事件处置、新技术应用以及行业领域等进一步完善关键信息基础设施标准体系建设工作,推动相关标准形成合力,为关键信息基础设施防护体系建设提供有效支撑。(作者:孙彦,中国电子技术标准化研究院工程师)