关键信息基础设施安全保障是关乎国家安全的战略优先事项,也是我国网络安全工作的重中之重。近日,国家互联网信息办公室会同国家发展改革委等十二个部门联合发布《网络安全审查办法》,是落实《网络安全法》要求、构建国家网络安全审查工作机制的重要举措,是确保关键信息基础设施供应链安全的关键手段,更是保障国家安全、经济发展和社会稳定的现实需要。
从全球来看,开展网络安全审查成为各国防范关键基础设施安全风险的通用做法。
近年来,全球范围内针对关键信息基础设施的网络攻击行为不断攀升,涉及金融、医疗卫生、交通、能源、工业控制等领域,影响范围广泛、程度严重。2019年2月,全球知名安全企业赛门铁克发布报告称,2018年全球供应链网络攻击暴增78%,且2019年仍在持续扩大增长。这类攻击瞄准和利用第三方产品的安全漏洞或脆弱环节,通过入侵和感染联网设备、重要系统,造成设备破坏、系统崩溃、敏感数据丢失等后果,以实现对关键信息基础设施的破坏性打击。美国工控安全厂商Dragos发布报告称,北美电力、石油、天然气等能源基础设施部门都处于威胁之中,针对设备制造商、第三方服务提供商等的供应链攻陷成为主要攻击手段。
为加强对关键信息基础设施和重要信息系统的保护,确保信息产品和服务安全性,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度。通过开展网络安全审查,预判和检查产品及服务投入使用后可能带来的网络安全风险,防范因供应链产品安全漏洞引发的安全事件,从源头上消除安全隐患。具体措施包括设立审查机构、完善法律法规、制定评估标准、开展第三方认证等,对于关键产品例如政府机构、交通、电力等领域的产品,从技术构成、安全性能、配套服务、交付方法等方面开展全面审查,排查安全风险和漏洞,降低安全隐患可能带来的风险。
对我国而言,《网络安全审查办法》是强化关键信息基础设施安全防护的适时之举。
伴随5G、工业互联网、大数据中心、云计算等新一代数字基础设施规模化建设和应用,越来越多重要信息系统将承载与国家安全和经济发展密切相关的核心业务和海量数据,但目前关键领域系统设备的网络安全状况仍有待改善。有关机构针对国内主流电力厂商的产品摸底测试发现,涉及28个厂商、70余个型号的产品中均发现了中高危漏洞,可能造成服务中断、信息泄露等。国家工业信息安全发展研究中心调查发现,很多知名工控厂商提供的设备中存在安全漏洞,其中中高危漏洞占较大比例,一旦被攻击入侵,将可能造成生产停滞、断水断电、重大经济损失等后果。
面对日益严峻的网络安全形势,开展严格的安全审查防堵安全漏洞和隐患,是现阶段防范安全风险的适时之举。此次,多部门联合出台《网络安全审查办法》,一是明确和细化了我国网络安全审查的具体要求,为关键信息基础设施运营者申报审查提供了指引。二是构建起了多部门协同配合的组织体系,为关键系统设备上线运行及服务采购设立了严格的安全门槛。三是建立了网络安全产品和服务安全风险预判机制,从识别威胁、化解风险的角度,推动安全关口前移,强化供应链安全风险管控,提升网络安全保障水平。
可以说,《网络安全审查办法》的发布实施,将为我国关键信息基础设施的持续稳定运行筑起一道安全底线,将在维护国家安全、经济发展和社会稳定方面持续发挥关键作用。(作者:尹丽波,国家工业信息安全发展研究中心主任)