依法保护关键信息基础设施安全

关键信息基础设施关涉国家安全和人民生产生活，是国之重器，历来是安全保障重中之重。我国《网络安全法》首次以立法形式对其加以保护，明确了关键信息基础设施安全保护办法的立法需求。近期公布的《关键信息基础设施安全保护条例（征求意见稿）》是贯彻落实《网络安全法》的重要举措，明确了我国关键信息基础设施安全保护工作的具体要求。围绕如何统筹设计关键信息基础设施保护工作，如何有效完善、落实《关键信息基础设施安全保护条例》，业内专家积极发表观点，贡献智慧。

关键信息基础设施是国家的重要资产，《网络安全法》明确规定要对其实行重点保护。为落实法律要求，2017年7月10日，国家互联网信息办公室发布了《关键信息基础设施安全保护条例（征求意见稿）》，划定了关键信息基础设施的保护范围，明确了各相关部门的安全保护职责，规定了安全保护的基本制度。对关键信息基础设施进行安全保护是各国通行的做法，美欧很早就建立了相关制度，采取了一系列措施，形成了一定的做法和经验。当前，我国正加快构建关键信息基础设施安全保护体系，应把握好几个要点。

一、界定关键信息基础设施概念

这是对关键信息基础设施进行安全保护的前提。国际上有关键基础设施和关键信息基础设施两个概念。关键基础设施是指对国家至关重要的系统和资产，一旦遭受破坏或毁灭，将对国家安全、经济命脉、公民的健康安全等造成严重损害，如2001年美国《爱国者法》和2004年欧盟《保护关键基础设施打击恐怖主义》的规定。关键信息基础设施是指对关键基础设施自身至关重要或者其运行必不可少的信息通信系统，这些系统处理、接收、存储电子信息，如2011年美国国土安全部《安全网络未来蓝图：国土安全企业网络安全战略》和2005年《欧盟关键基础设施保护项目绿皮书》的规定。近年来，随着信息技术的普及和广泛应用，关键基础设施保护重点从物理保护转向网络安全保护，关键基础设施和关键信息基础设施之间的界限日益模糊。我国《关键信息基础设施安全保护条例（征求意见稿）》采用关键信息基础设施的概念，是符合这一趋势的。

二、明确关键信息基础设施具体范畴

这是关键信息基础设施安全保护的关键步骤，要实施保护必须明确哪些设施是“关键的”、“应当予以重点保护的”。从美欧的经验看，识别认定关键信息基础设施通常按照“关键领域—关键业务—支撑关键业务所需资源”的方法进行。确定关键领域的工作由政府主导，多通过法律政策明确规定，如美国经过不断调整和完善，2013年第21号总统令《提高关键基础设施的安全性和恢复力》确定了包括化工、商业设施、通信、关键制造等在内的16类关键领域；2005年《欧盟关键基础设施保护项目绿皮书》中确定了能源、信息通信技术、水、食品、健康、金融等11类关键领域。关键业务和支撑关键业务所需资源的识别认定，需要依据一定的标准和程序进行，美国、欧盟都建立了基于后果的识别认定标准。美国在识别认定方面主要考虑死亡情况、经济损失、大规模撤离和国家安全影响四个方面，欧盟主要考虑影响范围、影响程度（从公众影响、经济影响、环境影响、政治影响、设施之间的相互依存关系等方面评估）、影响时间、服务的可替代性等因素。我国《关键信息基础设施安全保护条例（征求意见稿）》明确划定了关键信息基础设施范围，但是对于这些范围中包含哪些关键设施，还需要进一步明确。参考美欧的做法，可以发展基于安全事件影响或后果的识别认定标准，逐步建立行业的、国家的关键信息基础设施清单。

三、制定关键信息基础设施安全保护标准规范

从美国、欧盟等经验看，标准规范是加强关键信息基础设施安全保护的一项重要举措。例如，美国2013年发布了关键基础设施网络安全框架，从识别、保护、检测、响应、恢复五个维度和资产管理、人员评估、安全意识培训、连续监测、响应恢复等方面加强网络安全风险管理；今年5月又发布了《联邦机构实施网络安全框架指南》草案，从整合安全风险、调整采购流程、管理安全计划等八个方面指导联邦政府机构实施网络安全框架。

我国《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》都明确规定要求运营者按照国家标准的强制性要求履行相关安全保护义务，但目前我国尚未建立关键信息基础设施安全保护标准规范体系。应当结合国际国内现有网络安全管理标准，制定相关标准规范，进一步明确和细化所有者和运营者的安全保护义务，促进其加强网络安全风险管理。

四、提高态势感知、应急响应和恢复能力

关键信息基础设施是网络防御的核心，建立有韧性的网络防御体系是各国的战略目标。如美国2003年《网络空间安全国家战略》曾提出，要确保信息系统在受到攻击的情况下还可以运行，并能很快恢复所有运行；第21号总统令《提高关键基础设施的安全性和恢复力》要求国土安全部具备对关键基础设施实时的态势感知能力。不仅如此，美国还在以下四个方面采取了相关举措。

一是开发和部署先进性的技术，如2011年美国《联邦网络空间安全研发战略规划》，提出重点发展具有“改变游戏规则”潜力的革命性技术，并确定了四个研发主题。二是部署态势感知系统，如美国在联邦机构部署爱因斯坦2和爱因斯坦3，并在各网络运行中心启用并支持共享的态势感知和协作。三是加强公私合作和安全威胁信息共享，如美国将共享网络安全威胁信息和共同处理危机事件作为关键信息基础设施合作的主要内容。四是规划和执行对网络安全事件的协调反应，通过定期的实战演练，增强安全事件发生后的响应和恢复能力。

建立我国关键信息基础设施网络安全监测预警体系、提升关键信息基础设施应急响应和恢复能力，是当务之急。我国《关键信息基础设施安全保护条例（征求意见稿）》第六章专门对监测预警、应急处置等作出了规定。但监测预警体系应当包含几个层面、各方主体如何参与、如何建设等，这些问题还处于不够清晰的状态，需要进一步明确；需要建立健全政府、行业和企业信息共享机制，建设共享平台；应急响应和恢复能力需要一方面建立应急协调指挥机制，另一方面需要深入开展跨部门、跨行业的网络安全应急演练，在实战中提升事件处置协同配合能力。（本文刊登于《中国信息安全》杂志2017年第8期网络空间战略论坛）