《关键信息基础设施安全保护条例》于近日公布,围绕保障关键信息基础设施安全,维护网络安全。该条例将于2021年9月1日起施行。
明确关键信息基础设施的范围
第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。保障关键信息基础设施的安全,对于维护国家网络安全、网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和公民合法权益都具有十分重大的意义。
本条涉及的重要行业和领域的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门。同时秉承“谁运营、谁负责;谁主管、谁负责”的原则,对运营者的主体责任、保护部门的监督管理责任,也有社会各方面的协同配合和监督责任有明确细化的规定和要求。
建设安全的关键信息基础设施
第十二条 安全保护措施应当与关键信息基础设施同步规划、同步建设、同步使用。
在规划关键信息基础设施时就要考虑到安全,安全是整体规划的必要组成部分。也就是,不仅要保障关键信息基础设施的安全,而且从源头建设安全的关键信息基础设施。
第十七条 运营者应当自行或者委托网络安全服务机构对关键信息基础设施每年至少进行一次网络安全检测和风险评估,对发现的安全问题及时整改,并按照保护工作部门要求报送情况。
关键信息基础设施经济社会运行的神经中枢,需要不间断的、连续的保持业务运行,因此连续能力是保障关键信息基础设的关键。通过每年的安全检测和风险评估,对关键信息基础设进行全面的“体检”,发现各类潜在攻击和未知威胁,将威胁扼杀在早期或萌芽状态,将风险防范的关口前移,从而进一步提升整体的安全性。
第十九条 运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查。
“自主可控”是关键信息基础设施安全的前提。在现状和需求下,自主可控的实现需要循序渐进:首先实现安全产品的自主可控,进而实现安全保障的自主可控,最后实现设施与应用的自主可控。
顶象助力关键信息基础设施安全
顶象是一家以大规模风险实时计算技术为核心的业务安全公司,旨在帮助客户构建自主可控的风险安全体系,实现业务可持续的增长。作为CNNVD(国家信息安全漏洞库)、CICSVD(国家工业信息安全漏洞库)重要技术支撑单位,顶象是工信部、人保部、共青团中央等12个部门主办“2020年全国工业互联网安全技术技能大赛”的出题方和裁判员,并获得“突出贡献奖”荣誉称号。
基于多年安全技术研究、业务安全攻防实战经验,顶象推出了完全自主知识产权的安全智能防护系统,拥有漏洞挖掘、未知威胁发现、风险预测感知、威胁欺骗诱捕、主动安全防御能力,为石油石化、能源电力、轨道交通、智能制造等工业领域提供覆盖全生命周期的安全体系。 
