《中华人民共和国网络安全法》(以下简称《网络安全法》)于2015年6月、2016年6月两次通过全国人大常委会审议,并完成向社会公开征求意见。2016年11月7日全国人大常委会表决通过《网络安全法》,我国网络安全领域较早部综合性、框架性法律正式出台。
《网络安全法》明确提出关键信息基础设施概念,并采用较大篇幅全面规定了关键信息基础设施的安全管理、安全保护、安全检查等内容,为关键信息基础设施安全保护工作提供了重要法律依据。水利行业属于重要基础行业,拥有众多信息系统和水利工程控制系统,其中不乏关键信息基础设施。一直以来,水利部高度重视水利行业网络安全,特别是关键信息基础设施网络安全,相关工作也常抓不懈,取得了一定成效,但由于对关键信息基础设施的界定范围和要求不够明晰,还存在不少薄弱环节。《网络安全法》的出台,在界定范围、明确要求、分清责任等方面为水利关键信息基础设施安全保护工作提供了重要法律依据。
一、界定了水利关键信息基础设施范围
水利关键信息基础设施安全保护的前提条件是界定保护对象。长期以来,关键信息基础设施提得很多,但是没有一个权威、准确的定义,严重影响了相关工作的开展。
《网络安全法》规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。
依据《网络安全法》和中央网信办要求,水利部明确界定了水利关键信息基础设施的范围,“支撑水利面向公众提供网络信息服务和支撑水利枢纽运行及管控、长距离输水管控、城市水源地管控等水利关键业务正常运转,遭受破坏将对国家政治、经济、科技、社会、国防、环境以及人民生命财产等造成严重损失的重要信息系统和重要水利工程控制系统”均为水利关键信息基础设施。在此基础上,水利部于2016年组织开展水利行业关键信息基础设施网络安全检查,对水利行业关键信息基础设施开展全面摸底调查,目前已梳理形成《水利关键信息基础设施名录》(初稿)。
二、明确了水利关键信息基础设施安全保护要求
《网络安全法》规定“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏”,同时也明确提出了网络安全审查制度、风险评估制度,还将监测预警和应急处置作为维护网络安全的重要内容进行了规定。基于上述要求,水利行业将在监测预警、安全防护、应急响应、监督检查等方面进一步加强水利关键信息基础设施安全保护。
1、建设可内外协同、上下互通的主动监测预警能力
建设水利部、流域机构、省级单位三级互联互通的网络安全态势感知系统,综合来自国家网络安全相关主管机构、外部威胁情报服务提供商、第三方开源情报源等外部威胁情报资源以及来自于各级单位安全管理中心的内部安全隐患和受攻击事件等数据,利用大数据等新技术,挖掘与分析可能面临的网络安全风险或正在发生的网络安全事件,并及时预警,以便相关单位及时采取应对措施。
2、建设可对抗有组织攻击的纵深防御能力
以关键信息基础设施保护为重点,以等级保护工作为基础,以推进安全可控为保障,以统一网络信任体系、统一安全管理为支撑,构建水利网络安全纵深防御体系,切实提升抵御有组织网络攻击的能力。
3、建设可快速恢复业务的应急处置能力
建立健全水利网络安全事件应急响应和恢复工作机制,健全应急响应组织机构,完善应急预案并加强演练,提高水利行业应对突发网络安全事件的组织指挥和应急处置能力。
4、建设可持续改进的监督检查能力
建立健全水利网络安全监督检查机制,通过定期的安全检查、日常的自检自查,及时发现网络安全隐患和薄弱环节,及时进行改进,促进水利网络安全持续发展。
三、厘清了水利关键信息基础设施安全保护责任
作为一个非垂直管理的行业,水利关键信息基础设施安全保护职责一直不是十分明确,特别是网络安全职能部门在关键信息基础设施安全保护中的角色定位不清晰。《网络安全法》明确规定了国家网信部门、行业关键信息基础设施安全保护工作职能部门、关键信息基础设施运行单位的责任分工。据此,进一步明确了水利关键信息基础设施安全保护各方职责,各单位设立“一把手”负责的网络安全领导机构,统筹协调本单位及下级单位关键信息基础设施安全保护工作,领导机构下设办公室,作为关键信息基础设施安全保护职能部门,承担领导小组日常工作;各水利关键信息基础设施主管单位,具体负责所管理关键信息基础设施的网络安全建设与管理工作,并接受国家网信部门、关键信息基础设施安全保护职能部门的监督检查。
四、进一步推进水利关键信息基础设施安全保护
水利部将以《网络安全法》出台为契机,进一步推进水利关键信息基础设施安全保护,近期重点开展以下工作:一是正式发布《水利关键信息基础设施名录》,在水利行业关键信息基础设施摸底调查的基础上,进一步分析、梳理,形成《水利关键信息基础设施名录》并正式印发,为水利关键信息基础设施安全保护工作奠定基础;二是出台水利关键信息基础设施安全保护指导意见,明确水利关键信息基础设施安全保护指导思想、总体目标、工作重点、职责分工、经费保障等;三是制定水利关键信息基础设施安全保护标准,根据国家相关标准规范要求,结合水利实际情况,制定水利关键信息基础设施网络安全建设指南,指导各单位开展工作;四是建立健全水利关键信息基础设施网络安全事件应急响应体系,组织制定和完善应急预案并定期开展演练;五是强化水利关键信息基础设施安全保护监督检查,形成制度化、规范化的网络安全监督检查长效机制。(水利部网络安全与信息化领导小组办公室、水利信息中心 蔡阳、詹全忠)
