編者按:《國家安全法》不僅強調(diào)維護(hù)國家主權(quán)、安全和發(fā)展利益,而且明確將關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控作為維護(hù)國家安全的重要戰(zhàn)略任務(wù)。為實現(xiàn)這一目標(biāo),就要堅持“依法治國”的基本理念,通過出臺專門法律“依法治理”,保證國家關(guān)鍵基礎(chǔ)設(shè)施安全運轉(zhuǎn)。為此,需要盡快摸清我國現(xiàn)有法律政策對國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的現(xiàn)狀及不足,并從安全保護(hù)、監(jiān)測預(yù)警、應(yīng)急處置、監(jiān)督管理和資源保障五個維度完善法律制度,形成國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的長效機制。
2015年7月1日新出臺并正式實施的《國家安全法》,其中的第二十五條將網(wǎng)絡(luò)和信息安全納入國家安全的范圍,并專門強調(diào)了實現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)安全可控的重要戰(zhàn)略任務(wù)。保障關(guān)鍵基礎(chǔ)設(shè)施信息安全對于國家安全至關(guān)重要。關(guān)鍵基礎(chǔ)設(shè)施一旦系統(tǒng)被中斷或者被破壞, 將會對國民生活、國土安全、經(jīng)濟穩(wěn)定以及政府的正常運轉(zhuǎn)等產(chǎn)生重大的影響。信息時代關(guān)鍵基礎(chǔ)設(shè)施的正常運行高度依賴于信息技術(shù)和信息網(wǎng)絡(luò),因此,克服信息技術(shù)和信息網(wǎng)絡(luò)因自身脆弱性或人為因素而造成的安全隱患,便成為保障國家安全的重要內(nèi)容。加強國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保障,則需要以法律為全局統(tǒng)籌,結(jié)合技術(shù)、管理、人才等體系協(xié)同發(fā)展。
一、我國加強國家關(guān)鍵基礎(chǔ)信息安全法律保護(hù)的必要性
美國“9?11”恐怖襲擊事件后,國家關(guān)鍵基礎(chǔ)設(shè)施在國家安全、社會民生、經(jīng)濟發(fā)展和政府事務(wù)中的基礎(chǔ)性作用不斷凸顯,逐步成為保障社會穩(wěn)定和持續(xù)運轉(zhuǎn)的重要支撐。然而,隨著網(wǎng)絡(luò)與信息技術(shù)的飛速發(fā)展,傳統(tǒng)的物理基礎(chǔ)設(shè)施與信息系統(tǒng)的融合程度不斷加深,使得網(wǎng)絡(luò)環(huán)境所帶來的不安全因素對關(guān)鍵基礎(chǔ)設(shè)施部門的信息系統(tǒng)構(gòu)成極大威脅,這些信息網(wǎng)絡(luò)不僅將國家關(guān)鍵基礎(chǔ)設(shè)施內(nèi)部的各個組成部分聯(lián)結(jié)在一起,而且支持國家關(guān)鍵基礎(chǔ)設(shè)施之間的通信和互動。“震網(wǎng)”病毒、“Duqu”病毒和“火焰”病毒攻擊事件的相繼出現(xiàn),充分印證了源自互聯(lián)網(wǎng)的惡意程序正在向工業(yè)控制系統(tǒng)、能源、交通、金融、電力等關(guān)鍵領(lǐng)域的信息系統(tǒng)快速蔓延的趨勢,如果不加以妥善的治理,不僅嚴(yán)重影響到國家關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)正常運行,還將對國家安全和社會穩(wěn)定造成前所未有的威脅。
此外,當(dāng)今社會經(jīng)濟全球化、氣候極端化和國際關(guān)系綜合化的趨勢進(jìn)一步凸顯了國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的復(fù)雜性。在此背景下,世界各國紛紛開始高度重視對國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護(hù),美國、俄羅斯、英國、日本等國針對國家關(guān)鍵基礎(chǔ)設(shè)施的界定、國家關(guān)鍵基礎(chǔ)設(shè)施部門的確定、國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的具體制度等問題在國家戰(zhàn)略和立法中做出了必要的部署和相應(yīng)的調(diào)整,以滿足新形勢下國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的迫切需求。其中,美國不僅在2001年《愛國者法案》中明確了國家關(guān)鍵基礎(chǔ)設(shè)施的定義,還在國家戰(zhàn)略、國家計劃和總統(tǒng)令中不斷調(diào)整國家關(guān)鍵基礎(chǔ)設(shè)施的部門種類,并設(shè)置以國土安全部為主導(dǎo)、多機構(gòu)參與的國家關(guān)鍵基礎(chǔ)設(shè)施管理體系,以實現(xiàn)國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)所需的預(yù)警與監(jiān)測、信息共享和應(yīng)急處置。歐盟2005年頒布了《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計劃》,要求必須建立一個以遭遇恐怖主義的威脅時能夠保障關(guān)鍵基礎(chǔ)設(shè)施持續(xù)運轉(zhuǎn)為先決條件的保護(hù)計劃。日本2005年頒布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動方案》,對關(guān)鍵基礎(chǔ)設(shè)施的概念進(jìn)行了定義,同時規(guī)定了從事相關(guān)領(lǐng)域的部門如何對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù),并增強關(guān)鍵基礎(chǔ)設(shè)施的防御能力。在英國,國家關(guān)鍵基礎(chǔ)設(shè)施被稱為關(guān)鍵國家基礎(chǔ)設(shè)施(Critical National Infrastructure, CNI),它由國家基礎(chǔ)設(shè)施的對于不間斷向國家提供基本服務(wù)來說不可或缺的關(guān)鍵元素組成。英國政府始終致力于保護(hù)關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)免受兩種威脅,包括針對物理設(shè)施的物理攻擊和針對計算機或通信系統(tǒng)的電子攻擊。此外,英國也建立了由國務(wù)大臣負(fù)責(zé),國家基礎(chǔ)設(shè)施保護(hù)中心協(xié)調(diào),各CNI部門具體實施的國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)管理體系。
與此同時,我國具有從國家層面增強對關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的迫切需要。2013年的黨的第十八屆三中全會公報提出,要“設(shè)立國家安全委員會,完善國家安全體制和國家安全戰(zhàn)略,確保國家安全。”目前,我國正在大力推進(jìn)信息化建設(shè)。2012年國務(wù)院下發(fā)了《關(guān)于大力推進(jìn)信息化發(fā)展和切實保障信息安全的若干意見》的23號文,明確指出“大力推進(jìn)信息化發(fā)展和切實保障信息安全,對調(diào)整經(jīng)濟結(jié)構(gòu)、轉(zhuǎn)變發(fā)展方式、保障和改善民生、維護(hù)國家安全具有重大意義”,要求“采取更加有力的政策措施,大力推進(jìn)信息化發(fā)展,切實保障信息安全”。國務(wù)院23號文同時也指出我國目前還存在“信息安全工作的戰(zhàn)略統(tǒng)籌和綜合協(xié)調(diào)不夠,重要信息系統(tǒng)和基礎(chǔ)信息網(wǎng)絡(luò)防護(hù)能力不強”等問題。然而,盡管我國信息化建設(shè)尚處在初級階段,但面臨的信息安全問題卻是全方位的、與世界同步的,而且我國還面臨錯綜復(fù)雜的國際環(huán)境下與我國國情相關(guān)的特殊信息安全問題。而關(guān)鍵基礎(chǔ)設(shè)施是一個有機的綜合系統(tǒng),內(nèi)部各分類設(shè)施系統(tǒng)之間聯(lián)系非常緊密,并且這個系統(tǒng)在其內(nèi)部以及同外界環(huán)境之間均需協(xié)調(diào)一致,才能正常良好地運轉(zhuǎn)。關(guān)鍵基礎(chǔ)設(shè)施還必須與國民經(jīng)濟和社會發(fā)展相協(xié)調(diào)。
二、我國現(xiàn)有法律政策對國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的現(xiàn)狀及不足
近年來,我國國家關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域信息化十分廣泛,信息化主管部門、公安機關(guān)和行業(yè)主管部門都制定了相關(guān)的信息安全保護(hù)制度,各國家關(guān)鍵基礎(chǔ)設(shè)施運營單位也基本都制定了相應(yīng)的信息安全保護(hù)的具體組織和技術(shù)措施。但是,我國對關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護(hù)工作起步較晚、發(fā)展較慢,而保障關(guān)鍵基礎(chǔ)設(shè)施信息安全是一項長期任務(wù),涉及多個部門、多個行業(yè)和多個領(lǐng)域,需要加以統(tǒng)籌協(xié)調(diào)。對于關(guān)鍵基礎(chǔ)設(shè)施信息安全的內(nèi)涵、主管機構(gòu)及相關(guān)職能部門職責(zé)分配、關(guān)鍵基礎(chǔ)設(shè)施信息安全防控和信息共享機制等重要問題,我國至今尚無立法性文件進(jìn)行明確的制度安排。
同時,我國現(xiàn)有法律政策在國家關(guān)鍵基礎(chǔ)設(shè)施的信息安全保護(hù)方面存在諸多問題,具體而言,主要包括以下幾個方面:第一,我國尚未確立國家關(guān)鍵基礎(chǔ)設(shè)施的概念,沒有明確的國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)對象;第二,我國缺乏有效的國家關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險監(jiān)測和預(yù)警機制,對國家關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險的監(jiān)測和預(yù)警能力較弱;第三,我國國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的報告、通報和發(fā)布渠道不暢,信息共享不足;第四,我國國家關(guān)鍵基礎(chǔ)設(shè)施部門的信息安全保護(hù)能力參差不齊,缺乏對控制、應(yīng)急、減災(zāi)、恢復(fù)能力的統(tǒng)一、有效監(jiān)管;第五,我國國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的應(yīng)急措施不完備,無法對關(guān)鍵基礎(chǔ)設(shè)施部門突發(fā)的信息安全事件進(jìn)行有效的應(yīng)急處置;第六,我國國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的財政和制度保障不足。由此可見,我國國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)立法是十分緊迫的。
三、我國加強國家關(guān)鍵基礎(chǔ)設(shè)施信息安全法律保護(hù)具體制度建議
在信息化浪潮沖擊下的今天,如果國家關(guān)鍵基礎(chǔ)設(shè)施信息安全遭到破壞,那么會對社會生活秩序造成嚴(yán)重的破壞。因此,對于保護(hù)國家關(guān)鍵基礎(chǔ)設(shè)施信息安全來說,最重要的目的是“保證國家關(guān)鍵基礎(chǔ)設(shè)施的正常運轉(zhuǎn)”。具體的制度措施包括以下幾個主要方面:
(一)安全保護(hù)制度
總體而言,我國構(gòu)建的國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)制度應(yīng)當(dāng)包括五個方面:第一,明確國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)對象的認(rèn)定標(biāo)準(zhǔn)和程序;第二,確定國家關(guān)鍵基礎(chǔ)設(shè)施共享依賴和脆弱性評估,制定安全保障措施;第三,規(guī)定國家關(guān)鍵基礎(chǔ)設(shè)施建設(shè)中的信息安全保護(hù),包括遵循三同步原則和產(chǎn)品采購分類分級管理原則;第四,建立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全測評制度,明確技術(shù)檢測與風(fēng)險評估的認(rèn)可制度,以及測評機構(gòu)安全服務(wù)過程應(yīng)當(dāng)承擔(dān)的義務(wù)和禁止性行為;第五,確立國家關(guān)鍵基礎(chǔ)設(shè)施運行中的信息安全保護(hù),涉及建立信息安全負(fù)責(zé)人制度、保密管理和境外數(shù)據(jù)處理禁則。
在我國的具體實踐當(dāng)中,國家關(guān)鍵基礎(chǔ)設(shè)施的認(rèn)定標(biāo)準(zhǔn)類似于等級保護(hù)中對信息系統(tǒng)進(jìn)行的等級確定。因此,在認(rèn)定國家關(guān)鍵基礎(chǔ)設(shè)施之前,首先需要對基礎(chǔ)設(shè)施的信息安全保護(hù)進(jìn)行重要性分析,主要從該基礎(chǔ)設(shè)施的信息系統(tǒng)支撐本單位各類職能、業(yè)務(wù)運轉(zhuǎn)以及支撐其他單位或行業(yè)提供服務(wù)的角度分析,即本單位完成主要社會功能、職能履行和業(yè)務(wù)正常運轉(zhuǎn)對該基礎(chǔ)設(shè)施信息系統(tǒng)的依賴程度;該基礎(chǔ)設(shè)施信息系統(tǒng)提供的服務(wù)對于其他單位或行業(yè)來講的重要程度,即其他單位或行業(yè)的信息系統(tǒng)對該基礎(chǔ)設(shè)施信息系統(tǒng)的依賴程度。通過雙向的依賴性分析,可以判斷該基礎(chǔ)設(shè)施信息安全保護(hù)的重要程度,據(jù)此認(rèn)定其是否可被納入國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)立法的適用范圍。
(二)監(jiān)測預(yù)警制度
隨著網(wǎng)絡(luò)與信息技術(shù)的發(fā)展,我們逐步意識到在網(wǎng)絡(luò)空間實時監(jiān)測與及時準(zhǔn)確的識別潛在的信息安全風(fēng)險的重要性,從戰(zhàn)略角度考慮,監(jiān)測通報與預(yù)警能夠以有效利用現(xiàn)有資源的方式及時采取有效的行動。同樣,建立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的監(jiān)測通報與預(yù)警制度,以有效規(guī)制國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件監(jiān)測通報與預(yù)警的組織機構(gòu)、采取的具體措施和信息通報發(fā)布機制等,是確保國家關(guān)鍵基礎(chǔ)設(shè)施不受信息安全事件影響而保持正常持續(xù)運轉(zhuǎn)的不可或缺的要素。因此,我國構(gòu)建國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件監(jiān)測通報與預(yù)警制度應(yīng)當(dāng)包括三個方面的內(nèi)容:第一,確立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)測通報機制,由專門監(jiān)管機構(gòu)負(fù)責(zé)國家關(guān)鍵基礎(chǔ)設(shè)施信息安全風(fēng)險監(jiān)測通報工作,制定國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件監(jiān)測通報規(guī)劃和方案;第二,確立信息安全相關(guān)的漏洞通報機制,由專門機構(gòu)定期發(fā)布信息安全漏洞通報;第三,從預(yù)警級別、預(yù)警啟動、不同級別預(yù)警的應(yīng)對機制以及預(yù)警解除等方面完善國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的預(yù)警機制。
(三)應(yīng)急處置制度
近年來,信息安全事件頻發(fā)的趨勢使得我們深刻認(rèn)識到絕對的信息安全保障難以實現(xiàn),重要的是注重和加強應(yīng)急響應(yīng)。如前所述,國家關(guān)鍵基礎(chǔ)設(shè)施作為保障社會正常持續(xù)運轉(zhuǎn)的重要支撐,其信息安全同樣面臨嚴(yán)重的威脅,尤其表現(xiàn)為突發(fā)信息安全事件所帶來的巨大沖擊。因此,一旦國家關(guān)鍵基礎(chǔ)設(shè)施信息安全遭到破壞或意外,要以維護(hù)起正常運轉(zhuǎn)為首要目標(biāo),第一時間響應(yīng),協(xié)調(diào)各方面的力量,將破壞和意外對正常運轉(zhuǎn)的影響在最短的時間內(nèi)降到最低,進(jìn)行應(yīng)急處置,并且在最短時間內(nèi)進(jìn)行恢復(fù)。
我國構(gòu)建國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件應(yīng)急處置與恢復(fù)制度應(yīng)當(dāng)從以下幾個方面考慮:第一,建立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的應(yīng)急處置基本制度,其中包括國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的分級處置和標(biāo)準(zhǔn)制定,以及應(yīng)急預(yù)案的制定;第二,明確國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的應(yīng)急處置措施,包括信息安全事件的檢測,信息安全事件應(yīng)急預(yù)案的啟動,以及特大、重大信息安全事件的緊急處置;第三,確立國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的信息發(fā)布機制;第四,明確信息安全事件后國家關(guān)鍵基礎(chǔ)設(shè)施的恢復(fù)制度;第五,完善國家關(guān)鍵基礎(chǔ)設(shè)施信息安全事件應(yīng)急處置和恢復(fù)的總結(jié)報告制度;最后,確保與《突發(fā)事件應(yīng)對法》的銜接,基本思路是在《突發(fā)事件應(yīng)對法》的框架之下,制訂符合國家關(guān)鍵基礎(chǔ)設(shè)施信息安全應(yīng)急處置與恢復(fù)的具體制度。
(四)監(jiān)督管理制度
基于國家關(guān)鍵基礎(chǔ)設(shè)施信息安全的脆弱性及相互之間的依賴性,應(yīng)當(dāng)將業(yè)務(wù)主管和安全主管相分離,加強國家關(guān)鍵基礎(chǔ)設(shè)施信息安全的監(jiān)管與協(xié)調(diào),設(shè)立專門的監(jiān)管協(xié)調(diào)部門,負(fù)責(zé)對國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的監(jiān)管工作。具體制度應(yīng)當(dāng)包括以下幾個方面:第一,明確專門監(jiān)管機構(gòu)的信息安全監(jiān)督管理職責(zé),涉及指導(dǎo)、協(xié)調(diào)國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)對象的認(rèn)定、共享依賴性和脆弱性評估、信息安全風(fēng)險監(jiān)測通報與預(yù)警等;第二,明確各個國家關(guān)鍵基礎(chǔ)設(shè)施行業(yè)主管部門的信息安全監(jiān)督管理職責(zé);第三,明確國家關(guān)鍵基礎(chǔ)設(shè)施運營單位的信息安全監(jiān)督管理職責(zé)和信息安全服務(wù)單位相應(yīng)的協(xié)助義務(wù);第四,明確各地方政府的信息安全監(jiān)督管理職責(zé);第五,保證國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的行業(yè)主管和安全主管的分離。
(五)資源保障制度
為了解決目前一些國家關(guān)鍵基礎(chǔ)設(shè)施運營單位業(yè)務(wù)經(jīng)費緊張的問題,立法應(yīng)當(dāng)規(guī)定國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的保障措施,要求各級政府保障國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)工作的經(jīng)費,做好與國家關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)相關(guān)的技術(shù)與物資儲備。
四、結(jié)論
綜上所述,我國急需加強關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)的頂層設(shè)計,通過出臺正式立法的方式,推動關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)工作。
京公網(wǎng)安備 11010502049343號