今年7月,第十二届全国人大常委会第十五次会议初次审议的《中华人民共和国网络安全法(草案)》(简称“《草案》”)正式公布,并向社会公开征求意见。
天融信高级副总裁刘辉先生在接受赛迪网记者采访时表示,《草案》对关键信息基础设施的范围进行了定义和列举,在第十七条基础上加强了相应的防护要求,明确了相关安全责任和法律责任,并对安全评估作出了要求,总体而言比较完整。不过需要注意的是,虽然综合第十条和二十八条等条款基本上覆盖了安全防护的各个方面,但对于关键信息基础设施的物理运行环境方面没有明确规定。
关键信息基础设施多种多样,在形态结构上不仅包含了传统的计算模式,还包含了例如云、移动互联、物联网等新形态,这给《草案》规定的落地带来了极大的挑战。
刘辉认为,由于关键信息基础设施运行安全的重要性及复杂性,因此非常有必要成立一支由网信办牵头,公安部、工信部等主管单位为主并联合专业机构和厂商组成的专门机构来检查相关规定的落实情况。
网络安全在国内已经发展多年,在传统网络安全测评方面已有若干相关第三方测评机构对关键信息基础设施进行安全测评,但是对于云计算等新型形态目前还没有成熟的规范标准,因此还没有足够合格的第三方专业机构来完成对关键信息基础设施的安全风险进行检测评估。
当前互联网迅猛发展,人们越来越依赖于各类关键信息基础设施,因此其重要性愈发明显,对其安全性上的改进应尽快形成一个相对的完成时间表,从而避免由于关键信息基础安全问题所带来负面影响。
本次所公布的《草案》里对安全预警信息发布的有效性没有作具体要求,安全预警信息应该根据不同预警信息的级别对不同时效性有不同的要求。预警级别较高的信息需要保证在第一时间让网络安全管理人员收到相关信息,通知方式可以采用手机短信、电话等等。另外,虽然《草案》里没有对“应该看到的人”作具体界定,但一般指对信息系统负有直接管理责任的相关人员。如果想要检测安全应急预案的有效性,需要定期严格按照安全应急预案的规定要求进行演练,并及时发现预案中的不足进行改进。
在《草案》里所提到的“对网络通信采取限制等临时措施”这条法规引起了人们的广泛关注,刘辉在回答记者的提问时表示,这条法规的启动条件应该是指,在严重危害公众利益和国家安全且短期内无法通过有效技术手段避免危害的进一步扩大时方可启动相关临时措施。刘辉强调应该建立完整的启动评估机制和审核机制,只有进行充分评估并通过上级领导审核之后才可启动相关措施,进而保障该措施不被“滥用”。
