本文转自【光明网-《光明日报》】;
【资政场】
作者:周 辉(中国社会科学院习近平新时代中国特色社会主义思想研究中心特约研究员、法学研究所网络与信息法研究室副主任)
随着以数字化、网络化、智能化为代表的新一代信息技术在经济社会各领域的广泛应用,公共通信和信息服务、能源、交通、水利、金融、公共服务等重要行业和领域的关键信息基础设施,已经成为经济社会运行的神经中枢,其安全保护成为网络安全防护的重中之重。在全球网络攻击范围不断扩大、影响越发严重的背景下,许多国家和地区先后通过立法对现有的关键信息基础设施保护策略进行调整和完善,强化关键信息基础设施保护责任,推进供应链安全保障。立足新形势、把握新趋势,有必要进一步推进关键信息基础设施保护立法和监管,增强塑造网络安全态势的能力和水平。
关键信息基础设施保护面临新形势
关键信息基础设施保护当前所面临的挑战是多方位、多角度的:既有来自网络空间内的“线上”安全威胁,也有来自现实中的“线下”安全威胁;既要考虑到自然灾害等意外事故,也要考虑国际关系变化、供应链切断等突发事件。关键信息基础设施安全事件引发的危害,不再局限于网络通信受损、数据泄露,而是会进一步扩散蔓延,导致能源电力、公共服务、医疗卫生、交通运输等传统行业的连锁反应,影响国家安全。
第一,关键信息基础设施运营者在安全保护体系内的角色越发突出。关键信息基础设施运营者不仅需要不断强化安全保护措施、制定安全预案和完善安全保护制度,还需要与公安、网信部门等进行更加紧密的沟通配合,以应对不断变化的安全风险。据了解,一些国家已经或正在对其国内类似主体施加更多义务要求,例如要求关键基础设施运营者在规定期限内向指定部门报告网络事件和勒索软件攻击;拓展责任主体的范围、提出更加具体的安全措施要求,并允许进行更严格的监管和执法;要求关键网络系统运营者在规定期限内制定安全保护方案并报送监管部门。
第二,网络弹性成为关键信息基础设施防护的重点。网络弹性建设的重点不是事前的风险防控,而是事中事后的应对和恢复,要求运营者具备将网络安全事件的影响降到最低,并在事件发生后以最小代价和最短时间恢复核心业务正常运行的能力。我国数字经济发展势头强劲、网民规模和网络基础设施建设水平均居世界前列,一旦关键信息基础设施受到网络安全事件影响而不能及时恢复,造成的损失不可估量。网络弹性建设已成为国际社会关键信息基础设施防护的重要实践方向。例如欧盟2022年起草的《网络弹性法案》以及近期通过的《数字运营韧性法》和《关于恢复关键基础设施复原力指令》,均包含提高关键实体或其网络软硬件的网络弹性的内容,要求确保关键实体能够预防、抵抗破坏性事件并及时恢复。部分国家还主动规划和实施网络弹性建设计划,包括发布指南、协助运营者进行风险评估和模拟安全演练等,其目的是提高跟踪、快速响应和防御网络攻击的能力,帮助本国关键信息基础设施运营者评估和提升网络弹性水平。