關(guān)鍵信息基礎(chǔ)設(shè)施安全保障是關(guān)乎國(guó)家安全的戰(zhàn)略優(yōu)先事項(xiàng),,也是我國(guó)網(wǎng)絡(luò)安全工作的重中之重。近日,,國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同國(guó)家發(fā)展改革委等十二個(gè)部門聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》,,是落實(shí)《網(wǎng)絡(luò)安全法》要求、構(gòu)建國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制的重要舉措,,是確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全的關(guān)鍵手段,,更是保障國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定的現(xiàn)實(shí)需要,。
從全球來看,,開展網(wǎng)絡(luò)安全審查成為各國(guó)防范關(guān)鍵基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)的通用做法。
近年來,,全球范圍內(nèi)針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊行為不斷攀升,,涉及金融、醫(yī)療衛(wèi)生,、交通,、能源、工業(yè)控制等領(lǐng)域,影響范圍廣泛,、程度嚴(yán)重,。2019年2月,全球知名安全企業(yè)賽門鐵克發(fā)布報(bào)告稱,,2018年全球供應(yīng)鏈網(wǎng)絡(luò)攻擊暴增78%,且2019年仍在持續(xù)擴(kuò)大增長(zhǎng),。這類攻擊瞄準(zhǔn)和利用第三方產(chǎn)品的安全漏洞或脆弱環(huán)節(jié),,通過入侵和感染聯(lián)網(wǎng)設(shè)備、重要系統(tǒng),,造成設(shè)備破壞,、系統(tǒng)崩潰、敏感數(shù)據(jù)丟失等后果,,以實(shí)現(xiàn)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的破壞性打擊,。美國(guó)工控安全廠商Dragos發(fā)布報(bào)告稱,北美電力,、石油,、天然氣等能源基礎(chǔ)設(shè)施部門都處于威脅之中,針對(duì)設(shè)備制造商,、第三方服務(wù)提供商等的供應(yīng)鏈攻陷成為主要攻擊手段,。
為加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)的保護(hù),確保信息產(chǎn)品和服務(wù)安全性,,美國(guó),、英國(guó)、德國(guó),、澳大利亞,、俄羅斯等國(guó)已紛紛建立網(wǎng)絡(luò)安全審查制度。通過開展網(wǎng)絡(luò)安全審查,,預(yù)判和檢查產(chǎn)品及服務(wù)投入使用后可能帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),,防范因供應(yīng)鏈產(chǎn)品安全漏洞引發(fā)的安全事件,從源頭上消除安全隱患,。具體措施包括設(shè)立審查機(jī)構(gòu),、完善法律法規(guī)、制定評(píng)估標(biāo)準(zhǔn),、開展第三方認(rèn)證等,,對(duì)于關(guān)鍵產(chǎn)品例如政府機(jī)構(gòu)、交通,、電力等領(lǐng)域的產(chǎn)品,,從技術(shù)構(gòu)成、安全性能、配套服務(wù),、交付方法等方面開展全面審查,,排查安全風(fēng)險(xiǎn)和漏洞,降低安全隱患可能帶來的風(fēng)險(xiǎn),。
對(duì)我國(guó)而言,,《網(wǎng)絡(luò)安全審查辦法》是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的適時(shí)之舉。
伴隨5G,、工業(yè)互聯(lián)網(wǎng),、大數(shù)據(jù)中心、云計(jì)算等新一代數(shù)字基礎(chǔ)設(shè)施規(guī)?;ㄔO(shè)和應(yīng)用,,越來越多重要信息系統(tǒng)將承載與國(guó)家安全和經(jīng)濟(jì)發(fā)展密切相關(guān)的核心業(yè)務(wù)和海量數(shù)據(jù),但目前關(guān)鍵領(lǐng)域系統(tǒng)設(shè)備的網(wǎng)絡(luò)安全狀況仍有待改善,。有關(guān)機(jī)構(gòu)針對(duì)國(guó)內(nèi)主流電力廠商的產(chǎn)品摸底測(cè)試發(fā)現(xiàn),,涉及28個(gè)廠商、70余個(gè)型號(hào)的產(chǎn)品中均發(fā)現(xiàn)了中高危漏洞,,可能造成服務(wù)中斷,、信息泄露等。國(guó)家工業(yè)信息安全發(fā)展研究中心調(diào)查發(fā)現(xiàn),,很多知名工控廠商提供的設(shè)備中存在安全漏洞,,其中中高危漏洞占較大比例,一旦被攻擊入侵,,將可能造成生產(chǎn)停滯,、斷水?dāng)嚯姟⒅卮蠼?jīng)濟(jì)損失等后果,。
面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì),,開展嚴(yán)格的安全審查防堵安全漏洞和隱患,是現(xiàn)階段防范安全風(fēng)險(xiǎn)的適時(shí)之舉,。此次,,多部門聯(lián)合出臺(tái)《網(wǎng)絡(luò)安全審查辦法》,一是明確和細(xì)化了我國(guó)網(wǎng)絡(luò)安全審查的具體要求,,為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者申報(bào)審查提供了指引,。二是構(gòu)建起了多部門協(xié)同配合的組織體系,為關(guān)鍵系統(tǒng)設(shè)備上線運(yùn)行及服務(wù)采購(gòu)設(shè)立了嚴(yán)格的安全門檻,。三是建立了網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)安全風(fēng)險(xiǎn)預(yù)判機(jī)制,,從識(shí)別威脅、化解風(fēng)險(xiǎn)的角度,,推動(dòng)安全關(guān)口前移,,強(qiáng)化供應(yīng)鏈安全風(fēng)險(xiǎn)管控,,提升網(wǎng)絡(luò)安全保障水平。
可以說,,《網(wǎng)絡(luò)安全審查辦法》的發(fā)布實(shí)施,,將為我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施的持續(xù)穩(wěn)定運(yùn)行筑起一道安全底線,將在維護(hù)國(guó)家安全,、經(jīng)濟(jì)發(fā)展和社會(huì)穩(wěn)定方面持續(xù)發(fā)揮關(guān)鍵作用,。(作者:尹麗波,國(guó)家工業(yè)信息安全發(fā)展研究中心主任)