政府正在大力推广国家网络安全框架(N2SF),该框架将根据重要性对公共机构的数据和信息系统进行分类。此举旨在放宽当前以物理网络隔离为核心的安全体系,从而推动人工智能在公共部门的广泛应用。
据业内消息,韩国互联网振兴院计划于本月启动一项约550亿韩元的N2SF示范与推广项目公开招募。该项目分为规模450亿韩元的“N2SF引入支持项目”和99亿韩元的“N2SF示范项目服务”两部分。
N2SF是一种下一代安全框架,它依据重要性将国家和公共机构的信息系统与数据划分为三个等级——机密、敏感和公开,并据此实施差异化的安全防护级别。
过去,工作网络与互联网之间的物理隔离是标准做法。但自去年国家情报院发布指南,允许对非机密或非敏感信息放宽隔离要求后,科学和信息通信技术部与韩国互联网振兴院便开始积极推进示范项目。
去年,政府已针对科学和信息通信技术部、行政安全部的两项新服务,以及四个现有公共机构的工作环境,进行了N2SF应用的设计与安全检查。今年,政府计划在示范基础上,重点推动该制度的广泛落地。
政府力推N2SF的背后,是公共部门对拓展人工智能应用的迫切需求。原有的物理隔离环境限制了工作网络对互联网、云计算及生成式人工智能的使用,而N2SF框架则允许在满足安全管控条件的前提下利用人工智能技术。
机构若想应用N2SF,首先需评估自身信息服务现状,将数据和系统按机密、敏感、公开三级分类。随后,需经过威胁识别、安全措施制定、适用性评估等步骤,最终向国家情报院申请安全审查。
为鼓励采用N2SF,政府已出台政策激励措施。国家情报院决定,从今年起将在网络安全状况评估中,为实施N2SF的机构增设加分项。此项评估结果部分会计入公共机构的经营管理绩效评分。
然而,现场有声音指出,制度引入过程中可能存在混乱风险。由于各机构需自行对数据和系统进行分类,若标准不明确,实施过程将面临困难。
此外,负责人员与预算的不足也被视为推广的障碍。安全业界认为,对海量数据进行逐一评估和定级并非易事,因此需要具体的标准与支持。
同时,如何与公共机构云安全规制——云安全认证制度的改革相协调,也是一个待解决的课题。政府正推动将云安全认证制度转为民间认证体系,并将公共云安全监管职能移交国家情报院,预计未来将就N2SF如何与之衔接展开讨论。
韩国互联网振兴院AI政府保护团队负责人权赫表示:“此前N2SF推广的最大障碍是缺乏可参考的案例。”他补充道:“基于去年和今年的示范项目,我们计划编制并分发案例集,以供公共机构和国内安全企业参考。”
