云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
媒体报道
工业安全视角看《关键信息基础设施安全保护条例》
原文:
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
第三十二条 国家采取措施,优先保障能源、电信等关键信息基础设施安全运行。能源、电信行业应当采取措施,为其他行业和领域的关键信息基础设施安全运行提供重点保障。
说明:《条例》中规定的关键信息基础设施范围指出的能源、交通、水利、国防科技工业等重要行业和领域,覆盖了电力、核电、煤炭、油气、新能源、铁路、公路、水路、民航、水库、水电站大坝、农村水电等10余个涉及工业控制系统的场景;尤其提出能源行业的优先保障、重点保障,说明工业控制系统安全在关键信息基础设施保障中的重要程度。
原文:
第五条 国家对关键信息基础设施实行重点保护,采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治危害关键信息基础设施安全的违法犯罪活动。任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全。
第六条 运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求,在网络安全等级保护的基础上,采取技术保护措施和其他必要措施,应对网络安全事件,防范网络攻击和违法犯罪活动,保障关键信息基础设施安全稳定运行,维护数据的完整性、保密性和可用性。
第十五条 专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作,履行下列职责:
(六)履行个人信息和数据安全保护责任,建立健全个人信息和数据安全保护制度;
第十八条 关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者应当按照有关规定向保护工作部门、公安机关报告。发生关键信息基础设施整体中断运行或者主要功能故障、国家基础信息以及其他重要数据泄露、较大规模个人信息泄露、造成较大经济损失、违法信息较大范围传播等特别重大网络安全事件或者发现特别重大网络安全威胁时,保护工作部门应当在收到报告后,及时向国家网信部门、国务院公安部门报告。
说明:《条例》明确关键信息基础设施重点保护,采用“监测、防御、处理”的手段抵御网络安全风险和威胁,工业控制系统作为关键信息基础设施的重要部分,在“一个中心,三重防护”的防御思维上,建立监测预警、态势感知平台,形成立体、多元、全面的保障体系。随着工业控制系统的互联互通,工业互联网的发展,工业数据安全也将在《条例》的指导下,围绕数据分类分级、数据脱敏、数据代理、数据防泄露、数据加密等工业数据管理和技术方法,提升工业数据安全保护能力。
原文:
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
第十三条 运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者的主要负责人对关键信息基础设施安全保护负总责,领导关键信息基础设施安全保护和重大网络安全事件处置工作,组织研究解决重大网络安全问题。
说明:当下工业控制系统存在大量的系统之前未按照“三同步”原则进行建设,导致整改难、维护难、升级难的困扰,严重阻碍了工业升级和数字化改造。《条例》“三同步”的明确提出,对后期工业控制系统安全建设有着重大指导意义,并且明确指出运营者对网络安全保护责任,强调组织的意义和领导责任制,工业控制系统安全的主体责任也将逐步明确。
原文:
第二十三条 国家网信部门统筹协调有关部门建立网络安全信息共享机制,及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息,促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。
第二十四条 保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。
说明:工业控制系统漏洞逐年增多,涉及的品牌、范围、影响程度都是跨网络、跨系统、跨业务,《条例》安全信息的共享机制的提出,可以有力地统一运营者、厂商、集成商、监管单位对网络安全威胁、漏洞、事件的认识,结合运行状况监测、安全态势、预警通报的技术手段,使运营者可以有更多的方法进行安全防范工作。
原文:
第三十五条 国家采取措施,鼓励网络安全专门人才从事关键信息基础设施安全保护工作;将运营者安全管理人员、安全技术人员培训纳入国家继续教育体系。
第三十六条 国家支持关键信息基础设施安全防护技术创新和产业发展,组织力量实施关键信息基础设施安全技术攻关。
说明:
工业控制系统安全作为跨学科、跨领域的复合型安全技术,更需要在复杂的业务场景中进行技术创新和人才培养,《条例》将人员培训纳入继续教育体系,是对该领域人才产生的促进;建设工业控制系统安全实验室与实训平台可为高校、研究部门提供对工控安全学习和研究的良好环境,提高专项人才的培养。
原文:
第五章 法律责任(参见全文)
说明:
该章节从安全事件报告、安全产品、服务、检查等多维度明确了违反《条例》行为的处罚事项,突出强化了各类主体责任,并与《网络安全法》相关处罚保持一致,使关键信息基础设施保护工作形成闭环。
