天畅信息:关保、密评 | 守护信息安全,筑牢网络安全防线
2022-8-18 0:00:00浏览量:687编辑:管理员来源:天畅
当今世界正经历百年未有之大变局,大国间战略博弈日趋激烈,大国竞争深刻影响世界治理格局,网络空间成为国家对抗的前沿领域。另一方面,关键信息基础设施作为重要的战略资源,是经济社会运行的神经中枢,其安全稳定运行关系国计民生、公共利益和国家安全,日益发挥着基础性、全局性、支撑性作用。随着国际战略格局的演变,围绕关键信息基础设施的网络攻防已成为网络空间高烈度对抗的主战场,关键信息基础设施的安全问题已成为各国网络安全的重中之重。
从全球看,针对关键信息基础设施的网络攻击事件时有发生,部分网络攻击事件的国家背景凸显。如,2010年伊朗核设施遭“震网”病毒攻击、2015年乌克兰电力系统遭网络攻击等事件、“棱镜门”事件曝光多国政府、科研机构和企业被网络入侵以及2020年末曝光的“太阳风”网络攻击事件等。时任美国总统特朗普也公开承认2018年中期选举时允许相关部门对俄罗斯发动网络攻击。美国实施网络威慑战略,开展“防御前置”行动,将网络监控和攻击的触角伸入目标国家的关键网络。国家行为体的介入,使网络攻击的性质发生了重大变化,围绕国家信息关键基础设施的保护、威慑与反制成为大国对抗的重要手段,国家安全的重要领域。
“关保”是指关键信息基础设施保护。《网络安全法》第三十一条:国家对提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统(以下称关键信息基础设施),实行重点保护。关键信息基础设施安全保护办法由国务院制定。
《关键信息基础设施安全保护条例》(2021年7月30日国务院令第745号公布,2021年9月1日起施行)第二条规定:本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
2017年7月10日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》;2019至2021年,《关键信息基础设施安全保护条例》连续三年纳入国家立法计划;2021年4月27日,经国务院第133次常务会议通过;2021年7月30日,国务院总理李克强签署中华人民共和国国务院令第745号公布,自2021年9月1日起施行。
《关键信息基础设施安全保护条例》第五条规定:国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。
“关保”由国家网信部门统筹协调;国务院公安部门负责指导监督关键信息基础设施安全保护工作;国务院电信主管部门和其他有关部门依照本条例和有关法律、行政法规的规定,在各自职责范围内负责关键信息基础设施安全保护和监督管理工作;省级人民政府有关部门依据各自职责对关键信息基础设施实施安全保护和监督管理。
网络空间的“时”与“势”深刻影响关键信息基础设施的安全。密码作为网络空间安全保障和信任机制构建的核心技术与基础支撑,是国家安全的重要战略资源,也是国家实现安全可控信息技术体系弯道超车的重要突破口。
近年来,国内密码应用形势并不乐观。一是应用不广泛;二是应用不规范;三是密码应用不安全。为解决当前密码应用存在的突出问题,国家颁布实施了《网络安全法》、《密码法》、《网络安全审查办法》、《国家政务信息化项目建设管理办法》等一系列法律法规,对密码应用安全性评估提出要求,希望通过密码应用安全性评估促进商用密码的使用和管理规范。
“密评”是指商用密码应用安全性评估。《中华人民共和国密码法》(2020年1月1日起实施)所述的密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。商用密码用于保护不属于国家秘密的信息。《中华人民共和国密码法》第二十七条规定:法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
《商用密码应用安全性评估管理办法(试行)》(2017年4月22日起施行)《信息系统密码应用基本要求》(GM/T 0054-2018 )
商用密码应用安全性评估的对象包括:基础信息网络、重要信息系统、重要工业控制系统、面向社会服务的政务信息系统。
关键信息基础设施、网络安全等级保护第三级及以上的信息系统,密码应用安全性评估每年至少一次。
对采用商用密码技术、产品和服务集成建设的网络和信息系统,对其密码应用的合规性、正确性、有效性进行评估。
-
密码算法、密码协议、密钥管理、密码产品和服务使用正确;
-
系统中采用标准的密码算法、协议、密钥管理,按照国家和行业标准进行正确的设计和实现;
-
自定义密码协议、密钥管理机制的设计和实现正确,符合标准要求;
-
密码保障系统建设改造过程中密码产品和服务的部署和应用正确;
商用密码应用安全性评估主要从:总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理以及安全管理七个方面进行评估。
依据国家不断完善的法规政策,网信部门统筹协调,公安机关和各保护部门协同监管和指导,以及社会安全服务机构的大力支持,关键信息基础设施运营者主体责任的落实,密码应用安全性评估的促进,我国网络空间保护能力一定会提升到一个新的高度,达到一个新的水平。