值此条例颁布一周年之际,六方云与光明网网络安全频道、中国信息协会信息安全专业委员会,共同举办了“推进落实《关键信息基础设施安全保护条例》专题分享会”,邀请产、学、研领域的一线专家、学者进行“六方会谈”,围绕条例颁布一年来的感受和经验展开了分享,安全419创始人张毅也受邀参与本次活动。
本次会议由中国信息安全杂志社原副社长、主编崔光耀主持。他认为结合当前的国内外形势,在《关基条例》发布一周年之际,应该对该《条例》一年来对整个行业带来的影响和变化,从管理、技术与应用等方面各界关注的问题进行分析,在网络安全相关法律法规基本健全的环境下,尤其应重点在落实上下功夫。
中国信息安全杂志社原副社长、主编 崔光耀
从五大方面进一步推进关键信息基础设施安全保护工作
中国信息协会信息安全专业委员会主任叶红表示,随着《关键信息基础设施安全保护条例》及《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》“三法一条例”的出台和实施,我国网络安全领域法律法规体系不断健全和完善。
中国信息协会信息安全专业委员会主任叶红
她指出,《条例》颁布一周年以来,我国关键信息基础设施领域的网络安全保护取得了一定成果。比如国家层面出台相关标准、办法及配套法规,同时相关关键领域及行业在工作中的安全意识进一步提升,人才结构及组织机构进一步健全。
叶红对如何进一步夯实关键信息基础设施安全保护、保障国家网络安全,结合自身工作进行了经验分享:
一是不断健全关键信息基础设施保护体系,完善配套的标准、制度;
二是关键信息基础设施安全保护主管单位要强化对相关工作的监督检查,对既有网络系统的漏洞和弱点,以及相关行业和单位的安全环节作多角度监测;
三是加强技术的攻关和创新,支持网络安全产业发展,发现并解决新技术、新应用带来的新漏洞、新问题;
四是促进网络安全人才培养,持续推动相关专业人才的职业教育,打通人才进步通道,鼓励人才加入网络安全保障队伍;
五是加强对关键信息基础设施安全风险的预测及研判,可在网络安全研究中注重苗头性、倾向性、潜在性风险,做好预判提前布局防御措施。
推动建立关键信息基础设施安全保护计划
中国科学技术大学教授左晓栋以“关键信息基础设施安全保护各国政策演进及推进情况”为主题进行讨论。他认为,在关键信息基础设施安全保护推进过程中,部门职责协调是关键问题。法律要求,在等级保护制度的基础上对关键信息基础设施进行重点保护,需要精准做好“破题”工作。
中国科学技术大学教授 左晓栋
“建议组织制定关键信息基础设施安全保护计划,同时各部门之间应进一步加强协调,认真研究这项制度,明确其本质,并对其有更加清晰的定位,推动相关法律法规落地,让它成为维护国家安全的一个重要屏障。”左晓栋说。
《条例》与新技术、新应用产生的风险相伴而生,并要求防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。力图建构以网络安全信息共享机制为核心,不同主体共同参与网络安全关键信息基础设施保护工作的全方位生态系统。
分享会上,路云天网络安全研究院副院长王少杰围绕“关键信息基础设施保护需要关注的热点及趋势”发言。他表示,我国关键信息基础设施安全保护尚处于起步阶段,其安全保护理念、体系框架、最佳实践等尚需探索和研究。
路云天网络安全研究院副院长王少杰
“网络安全等级保护制度是关键信息基础设施安全保护的基础。”关键信息基础设施保护以防范安全威胁隐患、有效化解安全风险、保障业务应用的安全持续、稳定运行为目标,具备闭环管理动态化、能力迭代自动化、安全能力流程化、安全运营一体化等特征。关键信息基础设施保护需要在等级保护的基础上,增强其安全能力的动态性、自适应性和自提升性。王少杰说。
落实关基保护需要体系化合力建设
作为本次分享会的承办单位,六方云总裁李江力以“关基安全保护的技术支撑分析”为主题现场交流。他表示,当前,我国关键信息基础设施安全保护的相关规则正在逐步完善,但其落地实施不仅需要多部门共同协作、长期建设,也要求其自身全方位、成体系、有框架。
六方云总裁 李江力
李江力介绍,关键信息基础设施是数字经济时代社会运行的神经中枢,也是网络安全的重中之重。保障关键信息基础设施安全,对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。
他指出,当前我国关键信息基础设施安全保护的基本措施总结起来就是‘三化六防’。其中实战化、体系化、常态化是基本要求,六防指的是动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控,具体工作包含分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等六个环节,在实际工作中,需要多种技术来支撑这六个环节的工作。
“这六个环节中,每一个环节首先都需要制度保障,其次才是技术。”李江力认为,落实《关键信息基础设施安全保护条例》的这六个环节中,如果能做到一级级的探索节点、一步步的总结分析,最终可以形成统一的闭环。这样,保护系统安全的目的也就达到了。“当然,这个工程量很大,不仅包含了很多规章制度、技术手段和产品方案的协作,也需要各业务部门和众多企业的协作。”
我国的关键信息基础设施安全保护,要在《关键信息基础设施安全保护条例》基础上,还要推动安全设备生产商自我革新,充分调动全社会的积极力量,在建立起一套完整、科学、严密的制度框架基础上,落实责任、共商共建,将安全化为实体,将安心落到实处。
《条例》的发布是具有里程碑意义的一件大事,标志着关键基础设施保护工作步入新时代。这一年来,在国家的大力推动下,通过多方的共同努力,不断开创网络安全保护的新格局,对于保障和促进关基企业信息化发展,提升国家网络安全和关键基础设施保护能力,维护国家网络空间安全具有重要的意义。
李江力在发言的最后表示,未来,六方云作为一家长期专注于工业互联网安全的企业,将始终助力我国关键信息基础设施安全保护,并且期待与更多的网络安全产业的专家、学者、企业们共同学习和努力,一同推动中国网络安全产业发展。