作者：崔聰聰 中國網絡空間安全協會法律與公共政策專業委員會秘書長

 

　　網絡社會，國家安全、經濟繁榮以及人民福祉嚴重地依賴“關鍵信息基礎設施”這一復雜的動態巨系統。關鍵信息基礎設施的戰略性和基礎性地位使其成為大國之間網絡安全博弈的焦點，也是今后“網絡戰”的重點攻擊目標。近年來，關鍵信息基礎設施面臨的安全威脅在急劇增加，針對關鍵信息基礎設施的新型攻擊和破壞手段層出不窮。關鍵信息基礎設施安全關涉國家核心利益，完善關鍵信息基礎設施保護法律體系，全面提升關鍵信息基礎設施安全保障能力和保護水平，是全面建成小康社會、實現“兩個一百年”奮斗目標和中華民族偉大復興中國夢的重要保障。

 

　　一、完善關鍵信息基礎設施保護法律體系的必要性

 

　　互聯網本身的脆弱性與關鍵信息基礎設施持續安全穩定運行的高要求存在尖銳矛盾。關鍵信息基礎設施間的相互關聯與耦合，在提升社會整體協同與運作效率的同時，也面臨著惡意攻擊、自然災害破壞引發的連鎖反應，可能造成跨部門、跨區域的大面積基礎設施受損或癱瘓并引發相應的服務中斷與缺失。這種脆弱性與傳統的威脅交織在一起成為網絡社會新型危機的根源。

 

　　金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重。近年來，一系列針對關鍵信息基礎設施特別是工業系統和金融系統的破壞性攻擊被曝光：烏克蘭停電事件，沙特Shamoon2.0事件，孟加拉央行被竊事件，美國亞特蘭大市政府和印度電力公司遭勒索軟件攻擊事件等。同時，伴隨云計算、大數據、物聯網、人工智能等新技術的快速應用，關鍵信息基礎設施的脆弱性和安全威脅呈現快速增長態勢，高級定向威脅、武器化的勒索蠕蟲、利用物聯網形成的超大規模僵尸網絡，使得攻擊成本不斷下降，攻擊能力卻成幾何級增長，關鍵信息基礎設施面臨著巨大挑戰。在未來幾年中，針對能源、交通、制造、金融、通信等領域的關鍵信息基礎設施破壞性攻擊仍將持續加劇，安全生產事故，甚至是安全生產災難，隨時都有可能大規模爆發。

 

　　當前，我國關鍵信息基礎設施面臨的安全形勢非常復雜，網絡運營者安全防護能力十分欠缺，工控系統安全隱患非常突出，黨政機關網站被不法分子攻擊篡改嚴重，個人信息和數據泄露實踐頻繁發生，網絡安全威脅的隱蔽性導致網絡運營者遭受重大損害時才發現補救。2017年5月永恒之藍勒索病毒事件，公安、石油、教育等機構發生感染，導致部分關鍵業務停擺，彰顯了關鍵信息基礎設施的脆弱。在大量不可預知的安全風險和隱患面前，我國網絡關鍵信息基礎設施面臨的安全形勢極其嚴峻。

 

　　黨的十八大以來，以習近平同志為核心的黨中央高度重視關鍵信息基礎設施安全保護工作，就加強關鍵信息基礎設施安全保護做出了一系列重大決策部署。在中央網絡安全和信息化領導小組第一次會議上，習近平總書記指出要完善關鍵信息基礎設施保護等法律法規。在網絡安全和信息化工作座談會上，習近平總書記明確要求“加快構建關鍵信息基礎設施安全保障體系”。為維護國家網絡空間主權和國家安全、社會公共利益，全國人大常委會于2016年11月7日通過了《網絡安全法》，專設關鍵信息基礎設施運行安全一節，構建起以信息共享為基礎，事前預防、事中控制、事后恢復與懲治的關鍵信息基礎設施保護體系。

 

　　在《網絡安全法》正式實施后不久全國人大常委會就《網絡安全法》和《全國人民代表大會常務委員會關于加強網絡信息保護的決定》貫徹實施情況開展執法檢查。實施情況報告指出，圍繞關鍵信息基礎設施法律實施、監督檢查、應急響應、技術手段、人才培養等方面，各有關部門開展了大量工作，提升了行業網絡安全防護水平，但是，關鍵信息基礎設施安全保護仍存在以下問題：（1）網絡安全態勢感知平臺建設滯后；（2）容災備份體系建設總體滯后；（3）重要工業控制企業的設備和控制系統國產化程度有待提高；（4）應急預案流于形式。在測試的120個關鍵信息基礎設施中，共存在30個安全漏洞，包括高危漏洞13個。此外，問題還涉及網絡安全意識有待增強、配套法律法規有待完善、管理部門權責劃分需進一步界定和協調、網絡安全基礎性工作仍需夯實等幾個方面。

 

　　因此，迫切需要在習近平新時代中國特色社會主義思想的指引下，遵循總體國家安全觀，以建設網絡強國為目標，加快制定關鍵信息基礎設施安全保護條例等法律法規，防控重大網絡安全風險，確保國家網絡空間長治久安。

 

　　二、關鍵信息基礎設施安全保護法律體系的理念和思路

 

　　相對安全觀告訴我們，任何網絡系統都不能夠實現百分之百的安全。基于網絡攻擊的低成本性、隱蔽性以及影響范圍廣等特征，僅僅依靠事后懲治顯然不能對網絡攻擊和各種破壞活動起到有效的威懾作用。關鍵信息基礎設施一旦癱瘓或被摧毀，國家的經濟和社會福祉乃至國家安全都會受到致命影響。因此，網絡風險防控遠比事后懲治和打擊重要。網絡安全風險的客觀性和風險導致損害的不可逆性，要求關鍵信息基礎設施安全保護法律體系的構建應以網絡安全風險防控作為制度設計的出發點和落腳點，從發現和隔離網絡安全風險、控制和降低網絡安全風險引發的損害、科學合理分配網絡安全風險引發的損失的整個流程構建一整套包括監測、預警、響應、控制以及應急恢復等在內的關鍵信息基礎設施安全保護制度體系，確保關鍵信息基礎設施的安全穩定運行。

 

　　（一）風險評估

 

　　風險由資產、威脅、脆弱性三要素構成。其中，對網絡運營者而言只有脆弱性是可控的。來自網絡系統內部的脆弱性往往表現為安全漏洞。風險評估作為實現關鍵信息基礎設施安全縱深防御的前提，其主要作用就是準確地評估關鍵信息基礎設施存在的主要安全隱患和潛在風險，風險評估結果是關鍵信息基礎設施安全防護與監控策略的基礎。風險評估應貫穿于關鍵信息基礎設施的整個生命周期，即從設備的采購、運行、維護、報廢階段分別進行，但不同階段的重點應有所不同。

 

　　（二）態勢感知

 

　　態勢感知是發現和隔離網絡安全風險、應對網絡安全威脅的有效措施。網絡安全的整體性、動態性、開放性，使傳統的圍墻式防御思維無法應對變化多端的新安全形勢，必須落實全天候全方位感知網絡安全態勢的工作要求，在傳統的安全防御能力之上疊加上新的基于持續監測和及時響應處置的安全能力，也就是態勢感知能力。

 

　　提高態勢感知、應急響應和恢復能力，在強化運營者自身收集、分析網絡安全信息能力的同時，需要建立完善的網絡安全信息共享機制。網絡安全信息共享不僅有助于理解現實的安全狀況、風險與潛在威脅，還能從整體上把握安全態勢，借助海量數據實時發現網絡攻擊行為，并且有效、快速地進行安全預警和安全防御，將損害降至最低。

 

　　（三）風險分配

 

　　風險分配是風險處置流程的重要環節，是防控網絡安全風險的重要措施，但網絡安全風險分配制度尚未引起我們足夠的重視，實務界和理論界都鮮有提及。網絡安全風險分配機制的積極作用在于防止網絡運營者不當轉嫁網絡安全風險引發的損失，促使其提升防控網絡安全風險的積極性。以數據泄露為例，由于缺乏公平合理的風險分配機制，導致網絡運營者將本應由自身承擔的損失不當轉嫁給了用戶，其結果是網絡運營者沒有增加成本、采用最新網絡安全技術防止數據泄露的積極性，層出不窮的數據泄露事件也就在所難免。

 

　　信息技術的廣泛應用增加了人類的風險，但網絡安全風險問題仍要依靠技術進步來解決。網絡安全風險多數是由網絡技術不完善引起的，網絡安全風險分配應以促進網絡安全技術進步為出發點，依照可控性、可預見性規則，將網絡安全風險分配給最有能力控制和預防風險的一方——網絡運營者，促使其及時采用網絡安全技術的最新成果，以防范、控制網絡安全風險。這一過程可描述為：風險發生——網絡運營者承擔風險，增加成本——為了降低成本，要求有更新、功能更強的網絡安全技術——上述需求反饋于市場——市場提供新的網絡安全技術。

 

　　三、關鍵信息基礎設施安全保護法律體系的核心要素

 

　　（一）保護客體（對象）

 

　　科學確定關鍵信息基礎設的保護客體是對其進行保護的前提。將關涉國家安全、國計民生和公共利益的網絡設施、信息系統納入保護客體，目前已取得廣泛共識，但數字資產能否納入關鍵信息基礎設施的范疇，尚存爭議。僅將關鍵信息基礎設施定義為信息系統、網絡設施或應用軟件，已不能適應越來越嚴峻復雜的網絡安全風險和威脅。美國2001年《愛國者法案》以及2009年《國家基礎設施保護計劃》，加拿大和澳大利亞等國的相關立法，經濟合作與發展組織2008年《關于關鍵信息基礎設施保護建議》等，均將數字資產納入關鍵信息基礎設施的保護范圍。關鍵信息基礎設施往往存儲著大量敏感數據，這些數據一旦泄露將危害國家安全。技術變革以及威脅變化勢必帶來安全觀念的變革，關鍵信息基礎設施的范疇也將處于動態變化之中。鑒于數據資產在一國經濟建設、國防建設和社會發展中的作用，應將數字資產納入關鍵信息基礎設施的保護客體（對象）。

 

　　（二）落實和強化主體責任

 

　　主體責任要求關鍵信息基礎設施運營者按照“誰主管誰負責、誰運行誰負責”的總體要求，落實“三同步”要求，設置專門安全管理機構和安全管理負責人，對安全機構負責人和關鍵崗位的人員進行安全背景審查，對重要系統和數據庫進行容災備份，嚴格執行網絡安全審查、個人信息和重要數據境內存儲及其出境安全評估的規定，按照規定對其網絡的安全性和可能存在的風險進行檢測評估，制定應急預案并組織演練等，確保關鍵信息基礎設施的運行安全。

 

　　與法律責任的事后懲罰性不同，關鍵信息基礎設施主體責任的特殊性著眼于運營者自身的積極性和主動性。人財物投入是提升網絡安全保障能力的基礎，嚴格履行上述法定義務是能力提升的保障，同時考慮到機構企業的決策管理機制現狀，應當建立關鍵信息基礎設施運營者的主要負責人負總責的“一把手負責制”，在保障人財物投入的同時，將上述法定義務內化于各項工作中，增強自身的強壯性以有效抵御網絡安全風險。

 

　　（三）監管體制

 

　　關鍵信息基礎設施關涉國家安全和社會公共利益，在強化主體責任的同時，應建立健全關鍵信息基礎設施安全監督管理體制。在確定關鍵信息基礎設施領導機構的基礎上，應依照《網絡安全法》的規定明確國家網信部門負責指導協調關鍵信息基礎設施安全保護工作，相關行業主管監管部門負責關鍵信息基礎設施的具體保護工作，國務院電信主管部門、公安部門和其他有關機關依法在各自職責范圍內負責關鍵信息基礎設施安全保護和監督管理工作。

 

　　整體安全觀和共同安全觀需要有完善高效的頂層協調機制，應充分發揮國家網信部門的指導和統籌協調職能。統籌協調有利于構建國家、部門、關鍵信息基礎設施運營者以及社會各方面共同參與支持的安全保障體系。關鍵信息基礎設施保護涉及不同行業、領域，需要通過統籌協調充分發揮不同行業主管部門的積極性。通過統籌協調，合理分配網絡安全保護資源，集中國家力量和有限的資源，既做到全方位實施保護，又體現突出重點和保護重點。網絡安全風險處置需要整體協作、提升效率，通過統籌協調，建立網絡安全信息共享機制、完善監測預警和應急體系，有利于從整體上防控關鍵信息基礎設施的網絡安全風險，也有利于關鍵信息基礎設施遭受大規模攻擊后的集中應急處置。統籌協調有利于厘清政府與市場的關系，既發揮政府的主導作用，又充分發揮市場的能動作用，通過網絡安全服務市場充分競爭、有效競爭，解決技術產業支撐能力不足的突出問題。頻繁的“關鍵信息基礎設施安全檢查”可能會干擾企業的正常經營活動，統籌協調有利于避免各行業部門采取不同的尺度、重復性的管理活動，避免重復檢測、檢查問題。

 

　　（四）提升網絡安全意識

 

　　運營單位的網絡安全意識欠缺是關鍵信息基礎設施面臨的最大風險。雖然網絡安全已上升到國家安全高度，但對關鍵信息基礎設施安全的認識和行動仍存在不平衡、不充分的現象，重事后補救而輕視事前預防，過多依賴技術手段而輕視管理手段，經費投入與專業技術人員嚴重不足，教育培訓流于形式，口號多于行動等等。眾多安全事件表明，人的網絡安全意識和能力的短板是不可忽視的安全風險。通過開展網絡安全專項教育和網絡安全知識培訓，使運營單位深刻認識到關鍵信息基礎設施的關鍵地位和基礎性、全局性、支撐性作用，認識到保證關鍵信息基礎設施安全對于維護國家網絡空間主權和國家安全、保障經濟社會健康發展、維護公共利益和保障公民人身和財產安全的重大意義，樹立并自覺踐行相對、動態、整體、共同和開放的網絡安全觀，全面摸清“家底”和安全保護狀況，排查網絡安全風險，堵塞網絡安全漏洞，落實網絡安全責任，切實提高網絡安全防護意識，全面提高網絡安全保障能力和防護水平，堅決杜絕重大網絡安全事件的發生。

 

　　中國特色社會主義事業進入新時代，黨和國家事業正在發生歷史性變化，網絡與政治、經濟、文化、社會、軍事、外交等各個領域全面深度融合，以關鍵信息基礎設施安全為核心內容的網絡空間安全逐漸成為國家安全的核心要素。完善關鍵信息基礎設施安全保護法律體系，是貫徹習近平新時代中國特色社會主義法治思想、總體國家安全觀，推動實施網絡強國戰略，推進國家治理體系和治理能力現代化的重要舉措。在關鍵信息基礎設施安全保護頂層設計日臻完善的背景下，應盡快出臺《關鍵信息基礎設施安全保護條例》，并在《網絡安全法》和條例的框架內，推動制定完善關鍵信息基礎設施認定、關鍵崗位和關鍵人員的安全背景審查、安全檢測和評估、網絡安全信息共享、網絡安全服務機構管理等制度規范和標準，與已經出臺的《網絡產品和服務安全審查辦法（試行）》《國家網絡安全事件應急預案》《一流網絡安全學院建設示范項目管理辦法》等制度規范協同配合，共同保障關鍵信息基礎設施安全。