關鍵信息基礎設施安全保障是關乎國家安全的戰略優先事項,也是我國網絡安全工作的重中之重。近日,國家互聯網信息辦公室會同國家發展改革委等十二個部門聯合發佈《網絡安全審查辦法》,是落實《網絡安全法》要求、構建國家網絡安全審查工作機制的重要舉措,是確保關鍵信息基礎設施供應鏈安全的關鍵手段,更是保障國家安全、經濟發展和社會穩定的現實需要。
從全球來看,開展網絡安全審查成為各國防範關鍵基礎設施安全風險的通用做法。
近年來,全球範圍內針對關鍵信息基礎設施的網絡攻擊行為不斷攀升,涉及金融、醫療衛生、交通、能源、工業控制等領域,影響範圍廣泛、程度嚴重。2019年2月,全球知名安全企業賽門鐵克發佈報告稱,2018年全球供應鏈網絡攻擊暴增78%,且2019年仍在持續擴大增長。這類攻擊瞄準和利用第三方產品的安全漏洞或脆弱環節,通過入侵和感染聯網設備、重要系統,造成設備破壞、系統崩潰、敏感數據丟失等後果,以實現對關鍵信息基礎設施的破壞性打擊。美國工控安全廠商Dragos發佈報告稱,北美電力、石油、天然氣等能源基礎設施部門都處於威脅之中,針對設備製造商、第三方服務提供商等的供應鏈攻陷成為主要攻擊手段。
為加強對關鍵信息基礎設施和重要信息系統的保護,確保信息產品和服務安全性,美國、英國、德國、澳大利亞、俄羅斯等國已紛紛建立網絡安全審查制度。通過開展網絡安全審查,預判和檢查產品及服務投入使用後可能帶來的網絡安全風險,防範因供應鏈產品安全漏洞引發的安全事件,從源頭上消除安全隱患。具體措施包括設立審查機構、完善法律法規、制定評估標準、開展第三方認證等,對於關鍵產品例如政府機構、交通、電力等領域的產品,從技術構成、安全性能、配套服務、交付方法等方面開展全面審查,排查安全風險和漏洞,降低安全隱患可能帶來的風險。
對我國而言,《網絡安全審查辦法》是強化關鍵信息基礎設施安全防護的適時之舉。
伴隨5G、工業互聯網、大數據中心、雲計算等新一代數字基礎設施規模化建設和應用,越來越多重要信息系統將承載與國家安全和經濟發展密切相關的核心業務和海量數據,但目前關鍵領域系統設備的網絡安全狀況仍有待改善。有關機構針對國內主流電力廠商的產品摸底測試發現,涉及28個廠商、70餘個型號的產品中均發現了中高危漏洞,可能造成服務中斷、信息洩露等。國家工業信息安全發展研究中心調查發現,很多知名工控廠商提供的設備中存在安全漏洞,其中中高危漏洞佔較大比例,一旦被攻擊入侵,將可能造成生產停滯、斷水斷電、重大經濟損失等後果。
面對日益嚴峻的網絡安全形勢,開展嚴格的安全審查防堵安全漏洞和隱患,是現階段防範安全風險的適時之舉。此次,多部門聯合出臺《網絡安全審查辦法》,一是明確和細化了我國網絡安全審查的具體要求,為關鍵信息基礎設施運營者申報審查提供了指引。二是構建起了多部門協同配合的組織體系,為關鍵系統設備上線運行及服務採購設立了嚴格的安全門檻。三是建立了網絡安全產品和服務安全風險預判機制,從識別威脅、化解風險的角度,推動安全關口前移,強化供應鏈安全風險管控,提升網絡安全保障水平。
可以說,《網絡安全審查辦法》的發佈實施,將為我國關鍵信息基礎設施的持續穩定運行築起一道安全底線,將在維護國家安全、經濟發展和社會穩定方面持續發揮關鍵作用。
來源:網信中國
-end-
▼
