《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》一周年 “關(guān)鍵軟件”安全可信立根基
發(fā)布時(shí)間:2022-10-09 瀏覽次數(shù):2971次 作者:麒麟軟件
2021年9月�����,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(以下簡稱《條例》)正式實(shí)施�。在落實(shí)《條例》過程中�,必須要補(bǔ)齊關(guān)鍵軟件供應(yīng)鏈可信賴的這一短板。銀河麒麟等自主創(chuàng)新產(chǎn)品以及開放麒麟等根社區(qū)的建設(shè)�����,保證了關(guān)鍵產(chǎn)品的源代碼和供應(yīng)鏈可信�����、可查���、可控����,并已獲得大規(guī)模應(yīng)用驗(yàn)證���,將有效支撐用戶單位落實(shí)條例規(guī)定����。
關(guān)鍵信息基礎(chǔ)設(shè)施是關(guān)乎國家安全的命門所在?���!稐l例》的頒布實(shí)施是產(chǎn)業(yè)呼喚安全保障需求的政策呼應(yīng),是落實(shí)我國《中華人民共和國網(wǎng)絡(luò)安全法》等頂層規(guī)劃的重要組成部分���。
近年來一系列針對關(guān)鍵信息基礎(chǔ)設(shè)施的安全事件���,引發(fā)了各國對關(guān)鍵信息基礎(chǔ)設(shè)施安全的關(guān)注,世界主要信息化發(fā)達(dá)國家紛紛加大投入�����,出臺相關(guān)法律法規(guī)�,積極強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施安全防護(hù)。
這些法律法規(guī)圍繞以下層面�����,對關(guān)鍵基礎(chǔ)設(shè)施的信息化工作提出了全新的安全要求��,有效提升了關(guān)基行業(yè)應(yīng)對攻擊的能力,也為我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)提供了參考����。一是加強(qiáng)了關(guān)基設(shè)施的風(fēng)險(xiǎn)識別要求;二是要求關(guān)基機(jī)構(gòu)遭到攻擊時(shí)必須及時(shí)上報(bào)�;三是強(qiáng)化了針對關(guān)基設(shè)施攻擊事件的處理和打擊;第四點(diǎn)也是最重要的一點(diǎn)�,是強(qiáng)化了關(guān)基設(shè)施的供應(yīng)鏈管理,特別是提出了“關(guān)鍵軟件”的概念��,要求提升“關(guān)鍵軟件”供應(yīng)鏈的安全性和完整性���。
我國的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》,也強(qiáng)調(diào)了可信任的技術(shù)供給能力�����。除了傳統(tǒng)的能力���、網(wǎng)絡(luò)可信任��,復(fù)雜多變的國際形勢也要求我們必須做到供應(yīng)鏈的可信任�。除了“關(guān)鍵軟件”供應(yīng)鏈可靠����,更強(qiáng)調(diào)從操作系統(tǒng)到中間件數(shù)據(jù)庫�����,乃至芯片和整機(jī)及上層應(yīng)用軟件的全產(chǎn)品����、全場景的供應(yīng)鏈可信任����。《條例》中涵蓋的關(guān)基設(shè)施種類各種各樣��,需要配套的基礎(chǔ)軟硬件����、安全防護(hù)和檢測等整體技術(shù)體系的供應(yīng)鏈都要做到安全可信賴。同時(shí)�����,《條例》也創(chuàng)造性的指出了關(guān)基建設(shè)幾個(gè)重要實(shí)踐執(zhí)行要點(diǎn)����,從識別認(rèn)定�、安全防護(hù)���、預(yù)警監(jiān)測到應(yīng)急處置的各環(huán)節(jié)需要執(zhí)行的重點(diǎn)內(nèi)容和關(guān)鍵步驟���,為我國關(guān)基設(shè)施的保護(hù)提供了從法規(guī)、理論�����、標(biāo)準(zhǔn)規(guī)范到實(shí)踐應(yīng)用的全方位政策指導(dǎo)����。
從目前實(shí)踐情況看���,我國關(guān)基行業(yè)已經(jīng)開始有效落實(shí)《條例》相關(guān)內(nèi)容�����,梳理業(yè)務(wù)條線�����。在標(biāo)識�����、響應(yīng)���、對應(yīng)等層級做了有效提升����。但在關(guān)鍵軟件的可信賴上�����,還存在一個(gè)較大風(fēng)險(xiǎn):我國關(guān)基領(lǐng)域關(guān)鍵軟件大部分依賴進(jìn)口�,在源代碼和供應(yīng)鏈的可信賴度上,無法做到美國這樣100%可信可控���。因此����,在落實(shí)《條例》過程中���,必須要補(bǔ)齊關(guān)鍵軟件供應(yīng)鏈可信賴的這一短板��。我國目前在操作系統(tǒng)等關(guān)鍵軟件領(lǐng)域��,已經(jīng)具備了銀河麒麟等自主創(chuàng)新產(chǎn)品���,并開始推動開放麒麟等根社區(qū)建設(shè)���。這些措施,保證了關(guān)鍵產(chǎn)品的源代碼和供應(yīng)鏈可信�、可查、可控����,符合關(guān)基條例相關(guān)要求。上述產(chǎn)品已經(jīng)在電力等關(guān)基核心控制系統(tǒng)領(lǐng)域獲得大規(guī)模應(yīng)用驗(yàn)證��,可有效支撐用戶單位落實(shí)條例規(guī)定���。
《條例》施行一周年以來,是我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)不斷取得務(wù)實(shí)進(jìn)展的一年���,更是我國基礎(chǔ)軟硬件產(chǎn)業(yè)深入關(guān)基行業(yè)支撐應(yīng)用的一年��。安全技術(shù)不斷進(jìn)步�����,行業(yè)應(yīng)用逐步深入�,我國的關(guān)鍵軟件和關(guān)基行業(yè)的綁定越來越密切,更將成為拉動網(wǎng)絡(luò)安全產(chǎn)業(yè)邁向高質(zhì)量發(fā)展的重要引擎���。
本文選自《中國信息安全》2022年第9期���,作者為麒麟軟件副總裁李震寧
來 源 | 市場與政府事務(wù)部
審 核 | 市場與政府事務(wù)部
