两会提案丨关于落实《网络安全法》,完善细化网络安全责任制的提案
时间:2023年03月07日 来源:安天
本文为全国政协委员、安天集团创始人肖新光在2023年全国两会提交的《关于落实<网络安全法>,完善细化网络安全责任制的提案》全文。
关于落实《网络安全法》,完善细化网络安全责任制的提案(征求意见稿)
全国政协委员 肖新光
一、背景
十八大以来,我国网络安全治理能力不断提升。《网络安全法》的颁布施行,确立了网络安全责任法理依据。为达成工作要求,落实执行效果,建议主管部门围绕落实《网络安全法》进一步细化网络安全责任体系。
二、问题
一是责任机制层次不够清晰。网络安全是一个极为复杂的治理体系,不同政企机构所建设运营的信息系统承载着海量客户信息。这些系统和数据资产与国家安全、社会治理安全、政企机构安全和公民个人安全四个层次息息相关。因此网络安全责任机制不应单纯是建设运营单位的责任机制。目前网络安全责任制的实际落实,更偏重于“谁建设、谁负责,谁运营、谁负责”的主体责任机制,并未明确四个风险层次间的责任界面。政企机构缺少层次化的风险分析指引,综合协同机制有所不足。
二是责任机制的覆盖范围仍存盲区。从目前责任机制落实来看,基于事件驱动的问责动作较多,但对于推动网络安全与信息化同步规划、同步建设、同步运营全生命周期提升的全过程责任覆盖还不够。与此同时,网络安全水平高度依赖于网信产品,特别是应用开发商的自身安全水平。当前我国网信行业整体代码安全工程能力普遍较差,产品带有严重缺陷和漏洞部署到用户现场情况屡见不鲜,很多厂商不能履行快速修复已知漏洞义务。研发场景和软件分发链安全能力差,易于被攻击者入侵,预埋后门木马。上述都是政企机构遭遇网络入侵的重要原因,但目前没有配套的联动问责机制。
三是责任机制缺少综合支撑要素。大部分网络安全事件并非是事故,而是攻击者施加于被攻击目标的恶意行为活动。在这些事件中遭受攻击损失的机构兼具责任者和受害者的双重角色。既需要督促追责、整改检查,也需要辅助帮扶,包括增加预算保障等。一般性政企机构的投入能力和技术水平,很难单独支撑对抗高水平国家级的网络威胁攻击。如果只有问责机制,而没有免责、激励和赋能机制,政企机构一方面没有能力发现隐蔽性很强的高级持续性威胁,另一方面出于避责心理,采用瞒报掩盖方式应对网络攻击,影响了网络安全事件的强制性报告制度的落实,影响了网络安全威胁的整体有效感知和威胁情报的快速共享。
三、建议
针对以上问题,提出如下建议:
一是完善层次化风险与责任分析体系。建议主管部门围绕重要信息系统和关键信息基础设施,完善共性方法指引,依托敌情想定和模拟推演等方式,梳理重要信息系统和关键信息基础设施遭遇攻击向国家安全、社会治理安全和公民个人安全的外溢风险,以风险后果视角重新分析网络安全规划和投入的合理性。量化分析规划投入的差距和短板,基于共性和弹性安全能力建设,专项投入支持等方式,弥补重要信息系统和关键信息基础设施运营方的安全投入不足。
二是压实“关口前移,防患于未然”的工作要求,提升责任制覆盖度。建议相关部门组织细化,下沉赋能,对运营关键信息基础设施的政企机构的敌情想定构建、网络安全规划建设情况进行前置检查指导,细化IT供应链网络安全的整体要求、工作机制和流程规范。建立对安全事件有直接责任的网信供应商的关联问责机制。对供应商代码安全能力低下,研发生产环境安全防护投入不足,严重漏洞不及时通报用户并修复,以及提供云、APP等服务关联导致客户资产损失等情况予以追责。鼓励基础安全能力嵌入信息产品,实现安全基因的原生融合。
三是将网络安全问责机制、奖励机制、帮扶赋能机制有机结合。问责机制作为事后惩治手段,对未落实工作要求导致数据泄漏、系统失陷、造成风险损失的,依法追究。同时鼓励积极作为、扎实投入的导向。对高水平建设、规划、运营安全能力的,实施奖励。对按照高水平完成相关能力建设、按照高要求持续安全运营的政企机构,因遭受国家级高水平攻击造成损失的,适度免责。对发现带有国家和地缘安全背景网络攻击时第一时间上报,发现高价值威胁线索,捕获有价值信息的,提供奖励。