2021年9月,《关键信息基础设施安全保护条例》(以下简称《条例》)正式实施。在落实《条例》过程中,必须要补齐关键软件供应链可信赖的这一短板。银河麒麟等自主创新产品以及开放麒麟等根社区的建设,保证了关键产品的源代码和供应链可信、可查、可控,并已获得大规模应用验证,将有效支撑用户单位落实条例规定。
关键信息基础设施是关乎国家安全的命门所在。《条例》的颁布实施是产业呼唤安全保障需求的政策呼应,是落实我国《中华人民共和国网络安全法》等顶层规划的重要组成部分。
近年来一系列针对关键信息基础设施的安全事件,引发了各国对关键信息基础设施安全的关注,世界主要信息化发达国家纷纷加大投入,出台相关法律法规,积极强化关键基础设施安全防护。
这些法律法规围绕以下层面,对关键基础设施的信息化工作提出了全新的安全要求,有效提升了关基行业应对攻击的能力,也为我国关键信息基础设施保护提供了参考。一是加强了关基设施的风险识别要求;二是要求关基机构遭到攻击时必须及时上报;三是强化了针对关基设施攻击事件的处理和打击;第四点也是最重要的一点,是强化了关基设施的供应链管理,特别是提出了“关键软件”的概念,要求提升“关键软件”供应链的安全性和完整性。
我国的《关键信息基础设施安全保护条例》,也强调了可信任的技术供给能力。除了传统的能力、网络可信任,复杂多变的国际形势也要求我们必须做到供应链的可信任。除了“关键软件”供应链可靠,更强调从操作系统到中间件数据库,乃至芯片和整机及上层应用软件的全产品、全场景的供应链可信任。《条例》中涵盖的关基设施种类各种各样,需要配套的基础软硬件、安全防护和检测等整体技术体系的供应链都要做到安全可信赖。同时,《条例》也创造性的指出了关基建设几个重要实践执行要点,从识别认定、安全防护、预警监测到应急处置的各环节需要执行的重点内容和关键步骤,为我国关基设施的保护提供了从法规、理论、标准规范到实践应用的全方位政策指导。
从目前实践情况看,我国关基行业已经开始有效落实《条例》相关内容,梳理业务条线。在标识、响应、对应等层级做了有效提升。但在关键软件的可信赖上,还存在一个较大风险:我国关基领域关键软件大部分依赖进口,在源代码和供应链的可信赖度上,无法做到美国这样100%可信可控。因此,在落实《条例》过程中,必须要补齐关键软件供应链可信赖的这一短板。我国目前在操作系统等关键软件领域,已经具备了银河麒麟等自主创新产品,并开始推动开放麒麟等根社区建设。这些措施,保证了关键产品的源代码和供应链可信、可查、可控,符合关基条例相关要求。上述产品已经在电力等关基核心控制系统领域获得大规模应用验证,可有效支撑用户单位落实条例规定。
《条例》施行一周年以来,是我国关键信息基础设施安全保护不断取得务实进展的一年,更是我国基础软硬件产业深入关基行业支撑应用的一年。安全技术不断进步,行业应用逐步深入,我国的关键软件和关基行业的绑定越来越密切,更将成为拉动网络安全产业迈向高质量发展的重要引擎。
本文选自《中国信息安全》2022年第9期,作者为麒麟软件副总裁李震宁
来 源 | 市场与政府事务部
审 核 | 市场与政府事务部