作者：崔聰聰 中國網(wǎng)絡(luò )空間安全協(xié)會(huì )法律與公共政策專(zhuān)業(yè)委員會(huì )秘書(shū)長(cháng)

 

　　網(wǎng)絡(luò )社會(huì )，國家安全、經(jīng)濟繁榮以及人民福祉嚴重地依賴(lài)“關(guān)鍵信息基礎設施”這一復雜的動(dòng)態(tài)巨系統。關(guān)鍵信息基礎設施的戰略性和基礎性地位使其成為大國之間網(wǎng)絡(luò )安全博弈的焦點(diǎn)，也是今后“網(wǎng)絡(luò )戰”的重點(diǎn)攻擊目標。近年來(lái)，關(guān)鍵信息基礎設施面臨的安全威脅在急劇增加，針對關(guān)鍵信息基礎設施的新型攻擊和破壞手段層出不窮。關(guān)鍵信息基礎設施安全關(guān)涉國家核心利益，完善關(guān)鍵信息基礎設施保護法律體系，全面提升關(guān)鍵信息基礎設施安全保障能力和保護水平，是全面建成小康社會(huì )、實(shí)現“兩個(gè)一百年”奮斗目標和中華民族偉大復興中國夢(mèng)的重要保障。

 

　　一、完善關(guān)鍵信息基礎設施保護法律體系的必要性

 

　　互聯(lián)網(wǎng)本身的脆弱性與關(guān)鍵信息基礎設施持續安全穩定運行的高要求存在尖銳矛盾。關(guān)鍵信息基礎設施間的相互關(guān)聯(lián)與耦合，在提升社會(huì )整體協(xié)同與運作效率的同時(shí)，也面臨著(zhù)惡意攻擊、自然災害破壞引發(fā)的連鎖反應，可能造成跨部門(mén)、跨區域的大面積基礎設施受損或癱瘓并引發(fā)相應的服務(wù)中斷與缺失。這種脆弱性與傳統的威脅交織在一起成為網(wǎng)絡(luò )社會(huì )新型危機的根源。

 

　　金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎設施是經(jīng)濟社會(huì )運行的神經(jīng)中樞，是網(wǎng)絡(luò )安全的重中之重。近年來(lái)，一系列針對關(guān)鍵信息基礎設施特別是工業(yè)系統和金融系統的破壞性攻擊被曝光：烏克蘭停電事件，沙特Shamoon2.0事件，孟加拉央行被竊事件，美國亞特蘭大市政府和印度電力公司遭勒索軟件攻擊事件等。同時(shí)，伴隨云計算、大數據、物聯(lián)網(wǎng)、人工智能等新技術(shù)的快速應用，關(guān)鍵信息基礎設施的脆弱性和安全威脅呈現快速增長(cháng)態(tài)勢，高級定向威脅、武器化的勒索蠕蟲(chóng)、利用物聯(lián)網(wǎng)形成的超大規模僵尸網(wǎng)絡(luò )，使得攻擊成本不斷下降，攻擊能力卻成幾何級增長(cháng)，關(guān)鍵信息基礎設施面臨著(zhù)巨大挑戰。在未來(lái)幾年中，針對能源、交通、制造、金融、通信等領(lǐng)域的關(guān)鍵信息基礎設施破壞性攻擊仍將持續加劇，安全生產(chǎn)事故，甚至是安全生產(chǎn)災難，隨時(shí)都有可能大規模爆發(fā)。

 

　　當前，我國關(guān)鍵信息基礎設施面臨的安全形勢非常復雜，網(wǎng)絡(luò )運營(yíng)者安全防護能力十分欠缺，工控系統安全隱患非常突出，黨政機關(guān)網(wǎng)站被不法分子攻擊篡改嚴重，個(gè)人信息和數據泄露實(shí)踐頻繁發(fā)生，網(wǎng)絡(luò )安全威脅的隱蔽性導致網(wǎng)絡(luò )運營(yíng)者遭受重大損害時(shí)才發(fā)現補救。2017年5月永恒之藍勒索病毒事件，公安、石油、教育等機構發(fā)生感染，導致部分關(guān)鍵業(yè)務(wù)停擺，彰顯了關(guān)鍵信息基礎設施的脆弱。在大量不可預知的安全風(fēng)險和隱患面前，我國網(wǎng)絡(luò )關(guān)鍵信息基礎設施面臨的安全形勢極其嚴峻。

 

　　黨的十八大以來(lái)，以習近平同志為核心的黨中央高度重視關(guān)鍵信息基礎設施安全保護工作，就加強關(guān)鍵信息基礎設施安全保護做出了一系列重大決策部署。在中央網(wǎng)絡(luò )安全和信息化領(lǐng)導小組第一次會(huì )議上，習近平總書(shū)記指出要完善關(guān)鍵信息基礎設施保護等法律法規。在網(wǎng)絡(luò )安全和信息化工作座談會(huì )上，習近平總書(shū)記明確要求“加快構建關(guān)鍵信息基礎設施安全保障體系”。為維護國家網(wǎng)絡(luò )空間主權和國家安全、社會(huì )公共利益，全國人大常委會(huì )于2016年11月7日通過(guò)了《網(wǎng)絡(luò )安全法》，專(zhuān)設關(guān)鍵信息基礎設施運行安全一節，構建起以信息共享為基礎，事前預防、事中控制、事后恢復與懲治的關(guān)鍵信息基礎設施保護體系。

 

　　在《網(wǎng)絡(luò )安全法》正式實(shí)施后不久全國人大常委會(huì )就《網(wǎng)絡(luò )安全法》和《全國人民代表大會(huì )常務(wù)委員會(huì )關(guān)于加強網(wǎng)絡(luò )信息保護的決定》貫徹實(shí)施情況開(kāi)展執法檢查。實(shí)施情況報告指出，圍繞關(guān)鍵信息基礎設施法律實(shí)施、監督檢查、應急響應、技術(shù)手段、人才培養等方面，各有關(guān)部門(mén)開(kāi)展了大量工作，提升了行業(yè)網(wǎng)絡(luò )安全防護水平，但是，關(guān)鍵信息基礎設施安全保護仍存在以下問(wèn)題：（1）網(wǎng)絡(luò )安全態(tài)勢感知平臺建設滯后；（2）容災備份體系建設總體滯后；（3）重要工業(yè)控制企業(yè)的設備和控制系統國產(chǎn)化程度有待提高；（4）應急預案流于形式。在測試的120個(gè)關(guān)鍵信息基礎設施中，共存在30個(gè)安全漏洞，包括高危漏洞13個(gè)。此外，問(wèn)題還涉及網(wǎng)絡(luò )安全意識有待增強、配套法律法規有待完善、管理部門(mén)權責劃分需進(jìn)一步界定和協(xié)調、網(wǎng)絡(luò )安全基礎性工作仍需夯實(shí)等幾個(gè)方面。

 

　　因此，迫切需要在習近平新時(shí)代中國特色社會(huì )主義思想的指引下，遵循總體國家安全觀(guān)，以建設網(wǎng)絡(luò )強國為目標，加快制定關(guān)鍵信息基礎設施安全保護條例等法律法規，防控重大網(wǎng)絡(luò )安全風(fēng)險，確保國家網(wǎng)絡(luò )空間長(cháng)治久安。

 

　　二、關(guān)鍵信息基礎設施安全保護法律體系的理念和思路

 

　　相對安全觀(guān)告訴我們，任何網(wǎng)絡(luò )系統都不能夠實(shí)現百分之百的安全?；诰W(wǎng)絡(luò )攻擊的低成本性、隱蔽性以及影響范圍廣等特征，僅僅依靠事后懲治顯然不能對網(wǎng)絡(luò )攻擊和各種破壞活動(dòng)起到有效的威懾作用。關(guān)鍵信息基礎設施一旦癱瘓或被摧毀，國家的經(jīng)濟和社會(huì )福祉乃至國家安全都會(huì )受到致命影響。因此，網(wǎng)絡(luò )風(fēng)險防控遠比事后懲治和打擊重要。網(wǎng)絡(luò )安全風(fēng)險的客觀(guān)性和風(fēng)險導致?lián)p害的不可逆性，要求關(guān)鍵信息基礎設施安全保護法律體系的構建應以網(wǎng)絡(luò )安全風(fēng)險防控作為制度設計的出發(fā)點(diǎn)和落腳點(diǎn)，從發(fā)現和隔離網(wǎng)絡(luò )安全風(fēng)險、控制和降低網(wǎng)絡(luò )安全風(fēng)險引發(fā)的損害、科學(xué)合理分配網(wǎng)絡(luò )安全風(fēng)險引發(fā)的損失的整個(gè)流程構建一整套包括監測、預警、響應、控制以及應急恢復等在內的關(guān)鍵信息基礎設施安全保護制度體系，確保關(guān)鍵信息基礎設施的安全穩定運行。

 

　?。ㄒ唬╋L(fēng)險評估

 

　　風(fēng)險由資產(chǎn)、威脅、脆弱性三要素構成。其中，對網(wǎng)絡(luò )運營(yíng)者而言只有脆弱性是可控的。來(lái)自網(wǎng)絡(luò )系統內部的脆弱性往往表現為安全漏洞。風(fēng)險評估作為實(shí)現關(guān)鍵信息基礎設施安全縱深防御的前提，其主要作用就是準確地評估關(guān)鍵信息基礎設施存在的主要安全隱患和潛在風(fēng)險，風(fēng)險評估結果是關(guān)鍵信息基礎設施安全防護與監控策略的基礎。風(fēng)險評估應貫穿于關(guān)鍵信息基礎設施的整個(gè)生命周期，即從設備的采購、運行、維護、報廢階段分別進(jìn)行，但不同階段的重點(diǎn)應有所不同。

 

　?。ǘB(tài)勢感知

 

　　態(tài)勢感知是發(fā)現和隔離網(wǎng)絡(luò )安全風(fēng)險、應對網(wǎng)絡(luò )安全威脅的有效措施。網(wǎng)絡(luò )安全的整體性、動(dòng)態(tài)性、開(kāi)放性，使傳統的圍墻式防御思維無(wú)法應對變化多端的新安全形勢，必須落實(shí)全天候全方位感知網(wǎng)絡(luò )安全態(tài)勢的工作要求，在傳統的安全防御能力之上疊加上新的基于持續監測和及時(shí)響應處置的安全能力，也就是態(tài)勢感知能力。

 

　　提高態(tài)勢感知、應急響應和恢復能力，在強化運營(yíng)者自身收集、分析網(wǎng)絡(luò )安全信息能力的同時(shí)，需要建立完善的網(wǎng)絡(luò )安全信息共享機制。網(wǎng)絡(luò )安全信息共享不僅有助于理解現實(shí)的安全狀況、風(fēng)險與潛在威脅，還能從整體上把握安全態(tài)勢，借助海量數據實(shí)時(shí)發(fā)現網(wǎng)絡(luò )攻擊行為，并且有效、快速地進(jìn)行安全預警和安全防御，將損害降至最低。

 

　?。ㄈ╋L(fēng)險分配

 

　　風(fēng)險分配是風(fēng)險處置流程的重要環(huán)節，是防控網(wǎng)絡(luò )安全風(fēng)險的重要措施，但網(wǎng)絡(luò )安全風(fēng)險分配制度尚未引起我們足夠的重視，實(shí)務(wù)界和理論界都鮮有提及。網(wǎng)絡(luò )安全風(fēng)險分配機制的積極作用在于防止網(wǎng)絡(luò )運營(yíng)者不當轉嫁網(wǎng)絡(luò )安全風(fēng)險引發(fā)的損失，促使其提升防控網(wǎng)絡(luò )安全風(fēng)險的積極性。以數據泄露為例，由于缺乏公平合理的風(fēng)險分配機制，導致網(wǎng)絡(luò )運營(yíng)者將本應由自身承擔的損失不當轉嫁給了用戶(hù)，其結果是網(wǎng)絡(luò )運營(yíng)者沒(méi)有增加成本、采用最新網(wǎng)絡(luò )安全技術(shù)防止數據泄露的積極性，層出不窮的數據泄露事件也就在所難免。

 

　　信息技術(shù)的廣泛應用增加了人類(lèi)的風(fēng)險，但網(wǎng)絡(luò )安全風(fēng)險問(wèn)題仍要依靠技術(shù)進(jìn)步來(lái)解決。網(wǎng)絡(luò )安全風(fēng)險多數是由網(wǎng)絡(luò )技術(shù)不完善引起的，網(wǎng)絡(luò )安全風(fēng)險分配應以促進(jìn)網(wǎng)絡(luò )安全技術(shù)進(jìn)步為出發(fā)點(diǎn)，依照可控性、可預見(jiàn)性規則，將網(wǎng)絡(luò )安全風(fēng)險分配給最有能力控制和預防風(fēng)險的一方——網(wǎng)絡(luò )運營(yíng)者，促使其及時(shí)采用網(wǎng)絡(luò )安全技術(shù)的最新成果，以防范、控制網(wǎng)絡(luò )安全風(fēng)險。這一過(guò)程可描述為：風(fēng)險發(fā)生——網(wǎng)絡(luò )運營(yíng)者承擔風(fēng)險，增加成本——為了降低成本，要求有更新、功能更強的網(wǎng)絡(luò )安全技術(shù)——上述需求反饋于市場(chǎng)——市場(chǎng)提供新的網(wǎng)絡(luò )安全技術(shù)。

 

　　三、關(guān)鍵信息基礎設施安全保護法律體系的核心要素

 

　?。ㄒ唬┍Ｗo客體（對象）

 

　　科學(xué)確定關(guān)鍵信息基礎設的保護客體是對其進(jìn)行保護的前提。將關(guān)涉國家安全、國計民生和公共利益的網(wǎng)絡(luò )設施、信息系統納入保護客體，目前已取得廣泛共識，但數字資產(chǎn)能否納入關(guān)鍵信息基礎設施的范疇，尚存爭議。僅將關(guān)鍵信息基礎設施定義為信息系統、網(wǎng)絡(luò )設施或應用軟件，已不能適應越來(lái)越嚴峻復雜的網(wǎng)絡(luò )安全風(fēng)險和威脅。美國2001年《愛(ài)國者法案》以及2009年《國家基礎設施保護計劃》，加拿大和澳大利亞等國的相關(guān)立法，經(jīng)濟合作與發(fā)展組織2008年《關(guān)于關(guān)鍵信息基礎設施保護建議》等，均將數字資產(chǎn)納入關(guān)鍵信息基礎設施的保護范圍。關(guān)鍵信息基礎設施往往存儲著(zhù)大量敏感數據，這些數據一旦泄露將危害國家安全。技術(shù)變革以及威脅變化勢必帶來(lái)安全觀(guān)念的變革，關(guān)鍵信息基礎設施的范疇也將處于動(dòng)態(tài)變化之中。鑒于數據資產(chǎn)在一國經(jīng)濟建設、國防建設和社會(huì )發(fā)展中的作用，應將數字資產(chǎn)納入關(guān)鍵信息基礎設施的保護客體（對象）。

 

　?。ǘ┞鋵?shí)和強化主體責任

 

　　主體責任要求關(guān)鍵信息基礎設施運營(yíng)者按照“誰(shuí)主管誰(shuí)負責、誰(shuí)運行誰(shuí)負責”的總體要求，落實(shí)“三同步”要求，設置專(zhuān)門(mén)安全管理機構和安全管理負責人，對安全機構負責人和關(guān)鍵崗位的人員進(jìn)行安全背景審查，對重要系統和數據庫進(jìn)行容災備份，嚴格執行網(wǎng)絡(luò )安全審查、個(gè)人信息和重要數據境內存儲及其出境安全評估的規定，按照規定對其網(wǎng)絡(luò )的安全性和可能存在的風(fēng)險進(jìn)行檢測評估，制定應急預案并組織演練等，確保關(guān)鍵信息基礎設施的運行安全。

 

　　與法律責任的事后懲罰性不同，關(guān)鍵信息基礎設施主體責任的特殊性著(zhù)眼于運營(yíng)者自身的積極性和主動(dòng)性。人財物投入是提升網(wǎng)絡(luò )安全保障能力的基礎，嚴格履行上述法定義務(wù)是能力提升的保障，同時(shí)考慮到機構企業(yè)的決策管理機制現狀，應當建立關(guān)鍵信息基礎設施運營(yíng)者的主要負責人負總責的“一把手負責制”，在保障人財物投入的同時(shí)，將上述法定義務(wù)內化于各項工作中，增強自身的強壯性以有效抵御網(wǎng)絡(luò )安全風(fēng)險。

 

　?。ㄈ┍O管體制

 

　　關(guān)鍵信息基礎設施關(guān)涉國家安全和社會(huì )公共利益，在強化主體責任的同時(shí)，應建立健全關(guān)鍵信息基礎設施安全監督管理體制。在確定關(guān)鍵信息基礎設施領(lǐng)導機構的基礎上，應依照《網(wǎng)絡(luò )安全法》的規定明確國家網(wǎng)信部門(mén)負責指導協(xié)調關(guān)鍵信息基礎設施安全保護工作，相關(guān)行業(yè)主管監管部門(mén)負責關(guān)鍵信息基礎設施的具體保護工作，國務(wù)院電信主管部門(mén)、公安部門(mén)和其他有關(guān)機關(guān)依法在各自職責范圍內負責關(guān)鍵信息基礎設施安全保護和監督管理工作。

 

　　整體安全觀(guān)和共同安全觀(guān)需要有完善高效的頂層協(xié)調機制，應充分發(fā)揮國家網(wǎng)信部門(mén)的指導和統籌協(xié)調職能。統籌協(xié)調有利于構建國家、部門(mén)、關(guān)鍵信息基礎設施運營(yíng)者以及社會(huì )各方面共同參與支持的安全保障體系。關(guān)鍵信息基礎設施保護涉及不同行業(yè)、領(lǐng)域，需要通過(guò)統籌協(xié)調充分發(fā)揮不同行業(yè)主管部門(mén)的積極性。通過(guò)統籌協(xié)調，合理分配網(wǎng)絡(luò )安全保護資源，集中國家力量和有限的資源，既做到全方位實(shí)施保護，又體現突出重點(diǎn)和保護重點(diǎn)。網(wǎng)絡(luò )安全風(fēng)險處置需要整體協(xié)作、提升效率，通過(guò)統籌協(xié)調，建立網(wǎng)絡(luò )安全信息共享機制、完善監測預警和應急體系，有利于從整體上防控關(guān)鍵信息基礎設施的網(wǎng)絡(luò )安全風(fēng)險，也有利于關(guān)鍵信息基礎設施遭受大規模攻擊后的集中應急處置。統籌協(xié)調有利于厘清政府與市場(chǎng)的關(guān)系，既發(fā)揮政府的主導作用，又充分發(fā)揮市場(chǎng)的能動(dòng)作用，通過(guò)網(wǎng)絡(luò )安全服務(wù)市場(chǎng)充分競爭、有效競爭，解決技術(shù)產(chǎn)業(yè)支撐能力不足的突出問(wèn)題。頻繁的“關(guān)鍵信息基礎設施安全檢查”可能會(huì )干擾企業(yè)的正常經(jīng)營(yíng)活動(dòng)，統籌協(xié)調有利于避免各行業(yè)部門(mén)采取不同的尺度、重復性的管理活動(dòng)，避免重復檢測、檢查問(wèn)題。

 

　?。ㄋ模┨嵘W(wǎng)絡(luò )安全意識

 

　　運營(yíng)單位的網(wǎng)絡(luò )安全意識欠缺是關(guān)鍵信息基礎設施面臨的最大風(fēng)險。雖然網(wǎng)絡(luò )安全已上升到國家安全高度，但對關(guān)鍵信息基礎設施安全的認識和行動(dòng)仍存在不平衡、不充分的現象，重事后補救而輕視事前預防，過(guò)多依賴(lài)技術(shù)手段而輕視管理手段，經(jīng)費投入與專(zhuān)業(yè)技術(shù)人員嚴重不足，教育培訓流于形式，口號多于行動(dòng)等等。眾多安全事件表明，人的網(wǎng)絡(luò )安全意識和能力的短板是不可忽視的安全風(fēng)險。通過(guò)開(kāi)展網(wǎng)絡(luò )安全專(zhuān)項教育和網(wǎng)絡(luò )安全知識培訓，使運營(yíng)單位深刻認識到關(guān)鍵信息基礎設施的關(guān)鍵地位和基礎性、全局性、支撐性作用，認識到保證關(guān)鍵信息基礎設施安全對于維護國家網(wǎng)絡(luò )空間主權和國家安全、保障經(jīng)濟社會(huì )健康發(fā)展、維護公共利益和保障公民人身和財產(chǎn)安全的重大意義，樹(shù)立并自覺(jué)踐行相對、動(dòng)態(tài)、整體、共同和開(kāi)放的網(wǎng)絡(luò )安全觀(guān)，全面摸清“家底”和安全保護狀況，排查網(wǎng)絡(luò )安全風(fēng)險，堵塞網(wǎng)絡(luò )安全漏洞，落實(shí)網(wǎng)絡(luò )安全責任，切實(shí)提高網(wǎng)絡(luò )安全防護意識，全面提高網(wǎng)絡(luò )安全保障能力和防護水平，堅決杜絕重大網(wǎng)絡(luò )安全事件的發(fā)生。

 

　　中國特色社會(huì )主義事業(yè)進(jìn)入新時(shí)代，黨和國家事業(yè)正在發(fā)生歷史性變化，網(wǎng)絡(luò )與政治、經(jīng)濟、文化、社會(huì )、軍事、外交等各個(gè)領(lǐng)域全面深度融合，以關(guān)鍵信息基礎設施安全為核心內容的網(wǎng)絡(luò )空間安全逐漸成為國家安全的核心要素。完善關(guān)鍵信息基礎設施安全保護法律體系，是貫徹習近平新時(shí)代中國特色社會(huì )主義法治思想、總體國家安全觀(guān)，推動(dòng)實(shí)施網(wǎng)絡(luò )強國戰略，推進(jìn)國家治理體系和治理能力現代化的重要舉措。在關(guān)鍵信息基礎設施安全保護頂層設計日臻完善的背景下，應盡快出臺《關(guān)鍵信息基礎設施安全保護條例》，并在《網(wǎng)絡(luò )安全法》和條例的框架內，推動(dòng)制定完善關(guān)鍵信息基礎設施認定、關(guān)鍵崗位和關(guān)鍵人員的安全背景審查、安全檢測和評估、網(wǎng)絡(luò )安全信息共享、網(wǎng)絡(luò )安全服務(wù)機構管理等制度規范和標準，與已經(jīng)出臺的《網(wǎng)絡(luò )產(chǎn)品和服務(wù)安全審查辦法（試行）》《國家網(wǎng)絡(luò )安全事件應急預案》《一流網(wǎng)絡(luò )安全學(xué)院建設示范項目管理辦法》等制度規范協(xié)同配合，共同保障關(guān)鍵信息基礎設施安全。