以风险治理的思想统筹设计关键信息基础设施保护工作
在2016年4月19日在网络安全和信息化工作座谈会上,习近平总书记指出,“关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。因此,关键信息基础设施的安全保护制度与适用于一般网络运营者的保护制度相比,理应有新的思路和要求,否则如何贯彻和落实总书记关于“采取有效措施,切实做好国家关键信息基础设施安全防护”的重要指示和要求。
在笔者看来,《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《条例》”)对这个“新的思路和要求”给出了清晰的回答——即以风险治理的思想对关键信息基础设施保护工作给予了全面、科学、先进的统筹设计。以下从三个方面分别论述。
一、为什么关键信息基础设施的保护需要通过风险治理来统筹
在“4·19”讲话中,习近平总书记对风险治理做出了非常系统的论述。首先,识别风险、认识风险,对网络安全工作,乃至于关键信息基础设施的保护,具有先导性的意义。总书记指出,“知己知彼,才能百战不殆”;“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险”;“没有意识到风险是最大的风险”,无法识别风险的后果只能是“谁进来了不知道、是敌是友不知道、干了什么不知道”。
其次,风险有内部风险、外部风险的区分。按照总书记的话来说,识别、认识内部风险,能够“摸清家底”、“找出漏洞”、“通报结果”、“督促整改”。识别、认识外部风险,能让我们知道什么时候“人家用的是飞机大炮,我们这里还用大刀长矛”。
再次,风险治理对网络安全工作的统筹安排、资源分配具有全局性、基础性的指导意义。总书记指出,“网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼”。因此,在资源约束下,如何判断轻重缓急,如何做到科学高效地分配网络安全力量,风险治理是最好的指南。总书记说,通过识别和认识风险,我们才能“有本清清楚楚的账”——即“哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护”。
事实上,风险治理不仅是网络安全,更是整个国家安全工作的基本指导之一。《国家安全法》在第四章“国家安全制度”中专门用两节的篇幅(“情报信息”和“风险预防、评估和预警”)来对国家安全的风险治理做出详细规定。
如果用一句话来总结,坚持风险治理的思想,能够在关键信息基础设施保护工作中超越“所保护的资产重要性”单一的判定维度,超越“静态底线式”的安全合规,实现有效掌握“攻防两端能力”对比变化,科学高效分配有限的安全资源和力量,进而在动态对抗博弈中赢得主动,达到动态优化式的安全保障效果。
二、《条例》中以风险治理为统筹的具体设计体现
《条例》中贯彻风险治理的思想主要变现在以下几个方面。一是《条例》落实了总书记要求建立的“全天候全方位网络安全态势感知体系”。第六章“监测预警、应急处置和检测评估”的第36、37条分别要求国家网信部门、国家行业主管或监管部门分别建立国家层面、行业和领域层面的监测预警体系和信息通报制度,及时开展网络安全信息的汇总、分析研判和通报工作。此外,第38条还要求国家网信部门统筹协调建立政府、企业、研究机构之间的网络安全信息共享机制。《条例》通过建立横跨公私部门、层次丰富、纵横交错的网络安全信息共享网络,最终达到综合运用各方面掌握的数据资源,更好感知网络安全风险态势的效果。
二是《条例》第40条要求国家行业主管部门或监管部门定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况进行抽查检测。与以往“合规打勾式”的安全抽查、检测有本质不同的是,行业主管部门或监管部门在日常工作中不仅掌握了本行业、本领域的网络安全风险态势,还通过国家网信部门建立的监测预警体系掌握了全国范围内的网络安全风险,因此在安全抽查和检测中,必定能对有效地指导、督促运营者及时发现问题,并提出与当前风险态势相称的安全防护措施。因此,通过主管或监管部门定期的抽查检测,对风险的感知能够具体化为实际的、与外界情况变化相匹配的安全防护要求,并进而落到实处。
三是《条例》在第39条规定了国家网信部门指导协调有关部门组织跨行业、跨地域的网络安全应急演练,同时行业主管或监管部门定期组织演练,以提升本行业、本领域的网络安全事件应对和灾难恢复能力。同上,在全面掌握时刻变化的风险态势基础上开展的应急演练,无疑能够最大程度上避免“拍脑袋”的情况,使得演练具有直接的针对性、时效性。
综合这三方面来看,《规定》将在全国范围内针对关键信息基础设施建立立体、交叉的网络安全态势感知体系,并通过政府部门的抽查、检测、演练等动作,将对风险的实时感知和分析转变为动态、有针对性的安全防护要求。从这个方面来看,《条例》第23、24条规定的关键信息基础设施运营者的安全保护义务,应从风险治理的角度加以理解,而且根据风险态势的变化适时调整安全防护策略,应是关键信息基础设施运营者安全保护义务的题中之义。
三、风险治理的理念与国际实践接轨
通过风险治理来统筹对关键信息基础设施的安全保护工作,实际上也是美国、欧盟等国家和区域最新的网络安全立法、政策、标准的核心理念。
美国前总统奥巴马于2013年颁布的行政令13636号《提升关键基础设施的网络安全》(“Improving Critical InfrastructureCybersecurity”)明确要求美国国家标准与技术研究院(NIST)制定以风险管理为基础的“网络安全框架”(Cybersecurity Framework)作为保护美国关键基础设施的核心措施之一。目前,NIST制定的“网络安全框架”得到了美国多个监管部门的青睐,例如美国证监会(SEC)、美国联邦贸易委员会(FTC)、国土安全部、能源部等均向其监管对象推荐以风险治理为核心的“网络安全框架”。
在欧盟,于2016年通过的专门针对“基础性”的网络和信息系统的《网络和信息安全指令》(NIS Directive)就提倡建立一种“风险管理文化”:“基础性”网络和信息系统的运营者应开展风险评估,并采取与所面临风险“相称”(appropriate to)或“成比例”(proportionate to)的安全措施。同样于2016年通过的《通用数据保护条例》(GDPR)第32条规定了个人信息控制者的安全保护义务:在考虑所持有的“数据的本质属性”、最先进的安全保护措施以及实施成本的前提下,个人信息控制者应采取与其面临的安全风险相称的技术和管理措施。
事实上,已有不少专家学者指出,虽然美国和欧盟在法律体系上存在显著差异,但是应对网络安全问题的路径(approaches)正在逐渐趋同,即均以风险管理为核心,敦促运营者时刻根据不断变化的网络风险来调整所采取的安全防护措施。
正如2016年12月美国前总统奥巴马成立的美国网络安全促进委员会的报告所指出:全球的各个网络物理系统(cyber and physical systems)正日益变得趋同、相互连接、相互依赖、超越国界,这就意味着网络安全需要在包括国际、国家、组织、个人等各个层次中协调实现。近来爆发的Wannacry、Petya病毒即是最好的例证。而随着《条例》将风险治理确立为统筹关键信息基础设施保护的指针,中、美、欧在关键信息基础设施保护方面开展国际合作具备了共同的语言和共同的基础。
总之,关键信息基础设施保护是在网络安全等级保护制度的基础上,实行重点保护,其不仅对关键信息基础设施运营者提出了新的安全保护义务,更重要的是要求国家网信部门、主管或监管部门主动掌握安全风险态势,并以此引领具体保护工作。关键信息基础设施保护旨在形成以风险治理为核心、多方联动、可持续提升的安全保障体系,以更好地应对网络空间日益严峻的安全形势,切实保障国家安全、国计民生和公共利益。