當前位置：安全 → 行業動態 → 正文

從網絡安全法草案看關鍵信息基礎設施安全

責任編輯：editor007 |來源：企業網D1Net 2016-06-29 20:50:34 本文摘自：CCTIME飛象網

長期以來，社會各界十分關注網絡安全，強烈要求依法加強網絡空間治理，規范網絡信息傳播秩序，懲治網絡違法犯罪，使網絡空間清朗起來。全國人大代表也提出許多議案、建議，呼吁出臺網絡安全相關立法。為適應國家網絡安全工作的新形勢新任務，落實黨中央的要求，回應人民群眾的期待，十二屆全國人大常委會把制定網絡安全方面的立法列入立法工作計劃中。

十二屆全國人大常委會第十五次會議初次審議《中華人民共和國網絡安全法（草案）》。草案共7章68條。關于保障網絡產品和服務安全，草案規定網絡產品和服務提供者不得設置惡意程序，及時向用戶告知安全缺陷、漏洞等風險，持續提供安全維護服務等；關于保障網絡數據安全，草案要求網絡運營者采取數據分類、重要數據備份和加密等措施，防止網絡數據被竊取或者篡改；關于保障網絡信息安全，草案明確了網絡運營者處置違法信息的義務，賦予有關主管部門處置違法信息、阻斷違法信息傳播的權力。

在經過近一年的向社會公開征求意見后，十二屆全國人大常委會第二十一次會議將再次審議《中華人民共和國網絡安全法（草案）》。二審擬增加多項促進網絡安全的支持措施，在維護網絡安全的同時，促進發展。

6月27日十二屆全國人大常委會第二十一次會議召開會議，會議聽取了全國人大法律委員會副主任委員張海陽作的關于網絡安全法草案修改情況的匯報。草案二審稿進一步強化國家的責任和公民、組織的義務，加強關鍵信息基礎設施保護，協同推進網絡安全與發展，切實維護國家網絡主權、安全和發展利益。

針對擬加強對關鍵信息基礎設施及其數據的安全保護，二審稿規定，國家對一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

國家關鍵基礎設施關系到國計民生的方方面面，基礎設施是指為社會生產和居民生活提供公共服務的物質工程設施，是用于保證國家或地區社會經濟活動正常進行的公共服務系統。它是社會賴以生存發展的一般物質條件。基礎設施不僅包括公路、鐵路、機場、通訊、水電煤氣等公共設施，即俗稱的基礎建設，而且包括教育、科技、醫療衛生、體育、文化等社會事業即社會性基礎設施。

在互聯網高度發展的今天，信息系統成為基礎設施系統運行的重要支撐。一旦關鍵基礎設施的信息系統受到破壞，將產生嚴重危害。因此，信息基礎設施的建設、運行、維護，都需要充分考慮安全方面的因素。

美國政府在國家信息安全戰略層面已經展開相關的頂層設計，以風險管理為核心，在基于生命周期和流程的框架方法指導下，將安全防護體系框架分為識別、保護、檢測、響應和恢復五個層面。

安全體系的建設不是靜態的，而是動態螺旋上升，需要根據威脅態勢的發展來實時調整、實施相關的安全策略。

美國由于大量的重要基礎設施（如交通，電力，供水，通信）是私營企業，企業講究收益，政府無法強制，因此，美國發布了提升關鍵基礎設施網絡空間安全框架《Framework for Improving Critical Infrastructure Cybersecurity》，將政府的優秀經驗，提供給企業。同時，DHS通過CMaaS的延伸，開發了免費的云掃描服務給企業使用，稱為國家網絡安全評估和技術服務National Cybersecurity Assessment and Technical Services (NCATS) 項目，協助企業提升自身的安全水平。政府通過示范效應，產業提倡，免費服務，獎懲激勵等手段，尤其是通過紅藍對抗方式模擬演練，協助企業查找自身弱點，有針對性的建設。

該框架強調用業務驅動引導網絡安全活動，將網絡安全風險作為組織風險管理流程的一部分。框架包括三個部分：框架核心（Framework Core）、框架對齊結果（Framework Profile）及框架執行層級（Framework Implementation Tiers）。框架引用了國際認可的網絡安全標準，對海外組織也適用，國際合作亦可以此為指導增強關鍵基礎設施的網絡安全。

編者注：