當(dāng)今世界正經(jīng)歷百年未有之大變局���,大國間戰(zhàn)略博弈日趨激烈,大國競爭深刻影響世界治理格局�,網(wǎng)絡(luò)空間成為國家對抗的前沿領(lǐng)域。另一方面�����,關(guān)鍵信息基礎(chǔ)設(shè)施作為重要的戰(zhàn)略資源�,是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞,其安全穩(wěn)定運(yùn)行關(guān)系國計民生����、公共利益和國家安全,日益發(fā)揮著基礎(chǔ)性��、全局性���、支撐性作用���。隨著國際戰(zhàn)略格局的演變��,圍繞關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻防已成為網(wǎng)絡(luò)空間高烈度對抗的主戰(zhàn)場��,關(guān)鍵信息基礎(chǔ)設(shè)施的安全問題已成為各國網(wǎng)絡(luò)安全的重中之重��。
從全球看��,針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊事件時有發(fā)生�����,部分網(wǎng)絡(luò)攻擊事件的國家背景凸顯�����。如�,2010年伊朗核設(shè)施遭“震網(wǎng)”病毒攻擊����、2015年烏克蘭電力系統(tǒng)遭網(wǎng)絡(luò)攻擊等事件、“棱鏡門”事件曝光多國政府����、科研機(jī)構(gòu)和企業(yè)被網(wǎng)絡(luò)入侵以及2020年末曝光的“太陽風(fēng)”網(wǎng)絡(luò)攻擊事件等����。時任美國總統(tǒng)特朗普也公開承認(rèn)2018年中期選舉時允許相關(guān)部門對俄羅斯發(fā)動網(wǎng)絡(luò)攻擊�����。美國實(shí)施網(wǎng)絡(luò)威懾戰(zhàn)略���,開展“防御前置”行動,將網(wǎng)絡(luò)監(jiān)控和攻擊的觸角伸入目標(biāo)國家的關(guān)鍵網(wǎng)絡(luò)��。國家行為體的介入���,使網(wǎng)絡(luò)攻擊的性質(zhì)發(fā)生了重大變化���,圍繞國家信息關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)、威懾與反制成為大國對抗的重要手段���,國家安全的重要領(lǐng)域����。
“關(guān)保”是指關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)�。《網(wǎng)絡(luò)安全法》第三十一條:國家對提供公共通信�、廣播電視傳輸?shù)确⻊?wù)的基礎(chǔ)信息網(wǎng)絡(luò),能源�����、交通��、水利�、金融等重要行業(yè)和供電、供水���、供氣���、醫(yī)療衛(wèi)生、社會保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng)����,軍事網(wǎng)絡(luò),設(shè)區(qū)的市級以上國家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò)�,用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或者管理的網(wǎng)絡(luò)和系統(tǒng)(以下稱關(guān)鍵信息基礎(chǔ)設(shè)施),實(shí)行重點(diǎn)保護(hù)�。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)辦法由國務(wù)院制定����。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(2021年7月30日國務(wù)院令第745號公布�,2021年9月1日起施行)第二條規(guī)定:本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施,是指公共通信和信息服務(wù)�����、能源�、交通�、水利、金融����、公共服務(wù)、電子政務(wù)�、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全�、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施��、信息系統(tǒng)等。
2017年7月10日���,國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》����;2019至2021年����,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》連續(xù)三年納入國家立法計劃;2021年4月27日����,經(jīng)國務(wù)院第133次常務(wù)會議通過;2021年7月30日�����,國務(wù)院總理李克強(qiáng)簽署中華人民共和國國務(wù)院令第745號公布�����,自2021年9月1日起施行�。
《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第五條規(guī)定:國家對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù),采取措施���,監(jiān)測����、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡(luò)安全風(fēng)險和威脅��,保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施免受攻擊��、侵入�����、干擾和破壞���,依法懲治危害關(guān)鍵信息基礎(chǔ)設(shè)施安全的違法犯罪活動。
“關(guān)�����!庇蓢揖W(wǎng)信部門統(tǒng)籌協(xié)調(diào)�;國務(wù)院公安部門負(fù)責(zé)指導(dǎo)監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作;國務(wù)院電信主管部門和其他有關(guān)部門依照本條例和有關(guān)法律��、行政法規(guī)的規(guī)定�,在各自職責(zé)范圍內(nèi)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)和監(jiān)督管理工作����;省級人民政府有關(guān)部門依據(jù)各自職責(zé)對關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)施安全保護(hù)和監(jiān)督管理����。
網(wǎng)絡(luò)空間的“時”與“勢”深刻影響關(guān)鍵信息基礎(chǔ)設(shè)施的安全。密碼作為網(wǎng)絡(luò)空間安全保障和信任機(jī)制構(gòu)建的核心技術(shù)與基礎(chǔ)支撐����,是國家安全的重要戰(zhàn)略資源,也是國家實(shí)現(xiàn)安全可控信息技術(shù)體系彎道超車的重要突破口�。
近年來,國內(nèi)密碼應(yīng)用形勢并不樂觀����。一是應(yīng)用不廣泛;二是應(yīng)用不規(guī)范��;三是密碼應(yīng)用不安全�。為解決當(dāng)前密碼應(yīng)用存在的突出問題,國家頒布實(shí)施了《網(wǎng)絡(luò)安全法》��、《密碼法》�����、《網(wǎng)絡(luò)安全審查辦法》、《國家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》等一系列法律法規(guī)��,對密碼應(yīng)用安全性評估提出要求���,希望通過密碼應(yīng)用安全性評估促進(jìn)商用密碼的使用和管理規(guī)范��。
“密評”是指商用密碼應(yīng)用安全性評估���。《中華人民共和國密碼法》(2020年1月1日起實(shí)施)所述的密碼�����,是指采用特定變換的方法對信息等進(jìn)行加密保護(hù)�、安全認(rèn)證的技術(shù)、產(chǎn)品和服務(wù)���。商用密碼用于保護(hù)不屬于國家秘密的信息���!吨腥A人民共和國密碼法》第二十七條規(guī)定:法律�、行政法規(guī)和國家有關(guān)規(guī)定要求使用商用密碼進(jìn)行保護(hù)的關(guān)鍵信息基礎(chǔ)設(shè)施����,其運(yùn)營者應(yīng)當(dāng)使用商用密碼進(jìn)行保護(hù)�,自行或者委托商用密碼檢測機(jī)構(gòu)開展商用密碼應(yīng)用安全性評估��。商用密碼應(yīng)用安全性評估應(yīng)當(dāng)與關(guān)鍵信息基礎(chǔ)設(shè)施安全檢測評估���、網(wǎng)絡(luò)安全等級測評制度相銜接�,避免重復(fù)評估����、測評。
《商用密碼應(yīng)用安全性評估管理辦法(試行)》(2017年4月22日起施行)《信息系統(tǒng)密碼應(yīng)用基本要求》(GM/T 0054-2018 )
商用密碼應(yīng)用安全性評估的對象包括:基礎(chǔ)信息網(wǎng)絡(luò)�����、重要信息系統(tǒng)���、重要工業(yè)控制系統(tǒng)���、面向社會服務(wù)的政務(wù)信息系統(tǒng)。
關(guān)鍵信息基礎(chǔ)設(shè)施����、網(wǎng)絡(luò)安全等級保護(hù)第三級及以上的信息系統(tǒng)����,密碼應(yīng)用安全性評估每年至少一次���。
對采用商用密碼技術(shù)��、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)����,對其密碼應(yīng)用的合規(guī)性��、正確性��、有效性進(jìn)行評估��。
-
密碼算法�����、密碼協(xié)議���、密鑰管理�、密碼產(chǎn)品和服務(wù)使用正確�;
-
系統(tǒng)中采用標(biāo)準(zhǔn)的密碼算法、協(xié)議���、密鑰管理�,按照國家和行業(yè)標(biāo)準(zhǔn)進(jìn)行正確的設(shè)計和實(shí)現(xiàn)���;
-
自定義密碼協(xié)議���、密鑰管理機(jī)制的設(shè)計和實(shí)現(xiàn)正確����,符合標(biāo)準(zhǔn)要求����;
-
密碼保障系統(tǒng)建設(shè)改造過程中密碼產(chǎn)品和服務(wù)的部署和應(yīng)用正確;
商用密碼應(yīng)用安全性評估主要從:總體要求、物理和環(huán)境��、網(wǎng)絡(luò)和通信��、設(shè)備和計算��、應(yīng)用和數(shù)據(jù)��、密鑰管理以及安全管理七個方面進(jìn)行評估��。
依據(jù)國家不斷完善的法規(guī)政策�����,網(wǎng)信部門統(tǒng)籌協(xié)調(diào)�,公安機(jī)關(guān)和各保護(hù)部門協(xié)同監(jiān)管和指導(dǎo),以及社會安全服務(wù)機(jī)構(gòu)的大力支持��,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者主體責(zé)任的落實(shí)����,密碼應(yīng)用安全性評估的促進(jìn),我國網(wǎng)絡(luò)空間保護(hù)能力一定會提升到一個新的高度��,達(dá)到一個新的水平。