近年来,以云计算、大数据、物联网、工业互联网为代表的新技术得到了快速应用,更多的传统能源、电力、交通基础设施、招投标平台联入网络,成为泛在的关键信息基础设施的有机组成。基础设施中系统的大规模集成、互联使得基础设施的脆弱性和安全威胁不再是简单的线性叠加。在有组织的、高强度攻击面前,关键信息基础设施面临着巨大挑战。新形势下的网络安全问题需要以复杂系统等理论和思路去破解,呼吁创新性的安全评价机制去给人们以信心。
作为第一个专门定向攻击现实关键基础设施的病毒,伊朗“震网”病毒事件已作为教科书般的案例让工控系统安全成为全球瞩目的焦点。为了应对日益增长的网络安全威胁,美国、欧盟等主要发达国家纷纷采取措施,从法律法规、发展战略、技术标准、管理体系等方面入手,加强国家关键信息基础设施的保护。“9·11”事件之后,美国强化了对关键信息基础设施的保护,建立了以国土安全部为主导、各部门之间职能分工明确、公私相互协作的关键信息基础设施保护组织体系。欧洲网络和信息安全局也为欧盟成员国的关键信息基础设施保护提供顶层设计和战略指导。
我国也高度重视关键信息基础设施的安全防护。习近平总书记在在网络安全和信息化工作座谈会上指出,“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标。我们必须深入研究,采取有效措施,切实做好国家关键信息基础设施安全防护。”
“重中之重”四个字突显了加快构建关键信息基础设施安全保障体系的重要性和紧迫性。在我国刚刚开展的电子招投标系统检测认证中,创新性地提出了以“系统认证”的手段对电子招投标系统运维安全的持续符合性进行评价,为关键信息基础设施的安全评价提供了宝贵的借鉴。我们可以大胆参考上述经验,以可信的信息技术产品和安全服务的审查为基石,以风险评估和系统综合防范能力检测为支撑,通过类似系统认证的安全评价机制向社会传递信任。作为依据,“急用先行”的关键信息基础设施保护框架、安全测评标准、检测认证模型、安全评价机制的研究工作需要力争在短时间内取得积极进展。
“重中之重”更为网信事业指明了下一步工作的着力点。创新是破解难题的“金钥匙”,我们期待以理论创新、评价机制创新为后盾,依托国家网络安全保障队伍,吸收关键信息基础设施运营机构和运营机构之外的自愿性力量,为新形势下关键信息基础保护体系的建立和完善贡献中国智慧。