AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
工業安全視角看《關鍵信息基礎設施安全保護條例》
原文:
第二條 本條例所稱關鍵信息基礎設施,是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。
第三十二條 國家采取措施,優先保障能源、電信等關鍵信息基礎設施安全運行。能源、電信行業應當采取措施,為其他行業和領域的關鍵信息基礎設施安全運行提供重點保障。
說明:《條例》中規定的關鍵信息基礎設施范圍指出的能源、交通、水利、國防科技工業等重要行業和領域,覆蓋了電力、核電、煤炭、油氣、新能源、鐵路、公路、水路、民航、水庫、水電站大壩、農村水電等10余個涉及工業控制系統的場景;尤其提出能源行業的優先保障、重點保障,說明工業控制系統安全在關鍵信息基礎設施保障中的重要程度。
原文:
第五條 國家對關鍵信息基礎設施實行重點保護,采取措施,監測、防御、處置來源于中華人民共和國境內外的網絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全。
第六條 運營者依照本條例和有關法律、行政法規的規定以及國家標準的強制性要求,在網絡安全等級保護的基礎上,采取技術保護措施和其他必要措施,應對網絡安全事件,防范網絡攻擊和違法犯罪活動,保障關鍵信息基礎設施安全穩定運行,維護數據的完整性、保密性和可用性。
第十五條 專門安全管理機構具體負責本單位的關鍵信息基礎設施安全保護工作,履行下列職責:
(六)履行個人信息和數據安全保護責任,建立健全個人信息和數據安全保護制度;
第十八條 關鍵信息基礎設施發生重大網絡安全事件或者發現重大網絡安全威脅時,運營者應當按照有關規定向保護工作部門、公安機關報告。發生關鍵信息基礎設施整體中斷運行或者主要功能故障、國家基礎信息以及其他重要數據泄露、較大規模個人信息泄露、造成較大經濟損失、違法信息較大范圍傳播等特別重大網絡安全事件或者發現特別重大網絡安全威脅時,保護工作部門應當在收到報告后,及時向國家網信部門、國務院公安部門報告。
說明:《條例》明確關鍵信息基礎設施重點保護,采用“監測、防御、處理”的手段抵御網絡安全風險和威脅,工業控制系統作為關鍵信息基礎設施的重要部分,在“一個中心,三重防護”的防御思維上,建立監測預警、態勢感知平臺,形成立體、多元、全面的保障體系。隨著工業控制系統的互聯互通,工業互聯網的發展,工業數據安全也將在《條例》的指導下,圍繞數據分類分級、數據脫敏、數據代理、數據防泄露、數據加密等工業數據管理和技術方法,提升工業數據安全保護能力。
原文:
第十二條 安全保護措施應當與關鍵信息基礎設施同步規劃、同步建設、同步使用。
第十三條 運營者應當建立健全網絡安全保護制度和責任制,保障人力、財力、物力投入。運營者的主要負責人對關鍵信息基礎設施安全保護負總責,領導關鍵信息基礎設施安全保護和重大網絡安全事件處置工作,組織研究解決重大網絡安全問題。
說明:當下工業控制系統存在大量的系統之前未按照“三同步”原則進行建設,導致整改難、維護難、升級難的困擾,嚴重阻礙了工業升級和數字化改造。《條例》“三同步”的明確提出,對后期工業控制系統安全建設有著重大指導意義,并且明確指出運營者對網絡安全保護責任,強調組織的意義和領導責任制,工業控制系統安全的主體責任也將逐步明確。
原文:
第二十三條 國家網信部門統籌協調有關部門建立網絡安全信息共享機制,及時匯總、研判、共享、發布網絡安全威脅、漏洞、事件等信息,促進有關部門、保護工作部門、運營者以及網絡安全服務機構等之間的網絡安全信息共享。
第二十四條 保護工作部門應當建立健全本行業、本領域的關鍵信息基礎設施網絡安全監測預警制度,及時掌握本行業、本領域關鍵信息基礎設施運行狀況、安全態勢,預警通報網絡安全威脅和隱患,指導做好安全防范工作。
說明:工業控制系統漏洞逐年增多,涉及的品牌、范圍、影響程度都是跨網絡、跨系統、跨業務,《條例》安全信息的共享機制的提出,可以有力地統一運營者、廠商、集成商、監管單位對網絡安全威脅、漏洞、事件的認識,結合運行狀況監測、安全態勢、預警通報的技術手段,使運營者可以有更多的方法進行安全防范工作。
原文:
第三十五條 國家采取措施,鼓勵網絡安全專門人才從事關鍵信息基礎設施安全保護工作;將運營者安全管理人員、安全技術人員培訓納入國家繼續教育體系。
第三十六條 國家支持關鍵信息基礎設施安全防護技術創新和產業發展,組織力量實施關鍵信息基礎設施安全技術攻關。
說明:
工業控制系統安全作為跨學科、跨領域的復合型安全技術,更需要在復雜的業務場景中進行技術創新和人才培養,《條例》將人員培訓納入繼續教育體系,是對該領域人才產生的促進;建設工業控制系統安全實驗室與實訓平臺可為高校、研究部門提供對工控安全學習和研究的良好環境,提高專項人才的培養。
原文:
第五章 法律責任(參見全文)
說明:
該章節從安全事件報告、安全產品、服務、檢查等多維度明確了違反《條例》行為的處罰事項,突出強化了各類主體責任,并與《網絡安全法》相關處罰保持一致,使關鍵信息基礎設施保護工作形成閉環。
