網絡安全法將促進國家關鍵信息基礎設施保護新局面

隨著信息技術高速發展，信息化進程不斷推進，我國一些關系國家命脈、國計民生的關鍵領域和重要行業，如金融、能源、交通、通信等，構建起縱聯全國、橫跨國際的行業信息網絡基礎設施，承載著本行業重要業務和經濟活動。這些關鍵領域和重要行業信息化程度高，智能化、網絡化程度迅速發展，對網絡的依賴性持續增強，一旦遭到攻擊破壞，不僅可能導致大規模的財產損失、人員傷亡，甚至可能威脅國家安全。長期以來，國家對這些領域和行業的重要網絡和信息系統保護重視不夠，沒有在法律中作出明確規定，導致國家在這方面的責任存在缺位，許多針對性工作由於缺乏依據無法順利開展。近日，《中華人民共和國網絡安全法（草案）》（以下簡稱網絡安全法草案）的發布則明確將這些重要網絡和信息系統統稱為關鍵信息基礎設施，將其納入國家重點保護范圍，對其運行安全進行詳細規定。這是我國首次在法律高度提出關鍵信息基礎設施概念，並對關鍵信息基礎設施保護提出具體要求，是我國在關鍵信息基礎設施保護方面取得的重大進步，將促進國家關鍵信息基礎設施網絡安全形成新局面。

網絡安全法草案對關鍵信息基礎設施安全的規定和意義

1. 網絡安全法草案界定了關鍵信息基礎設施范圍

網絡安全法草案是我國首部提出關鍵信息基礎設施概念並給出明確范圍的法律性文件。它將“提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統，軍事網絡、設區的市級以上國家機關等政務網絡，用戶數量眾多的網絡服務提供者所有或者管理的網絡和系統”統稱為關鍵信息基礎設施，納入國家保護范圍，實行重點保護。

從上面的定義可以看出，網絡安全法草案將關鍵信息基礎設施主要劃分為以下五大類網絡或系統：（1）基礎信息網絡，主要包括廣電網、電信網、互聯網﹔（2）重要行業和公共服務領域的重要信息系統，例如核島控制系統、銀聯交易系統、智能交通系統、供水管網信息管理系統、社保信息系統等﹔（3）軍事網絡，例如軍事通信網、軍隊指揮自動化系統等﹔（4）地市級以上政務網絡，例如電子政務系統、政府門戶網站等﹔（5）用戶數量眾多的網絡服務商系統，例如百度、阿裡、騰訊等IT巨頭運營的一些網絡和系統等。

2. 網絡安全法草案明確了關鍵信息基礎設施運行安全具體保護要求

網絡安全法草案對關鍵信息基礎設施保護提出了具體措施要求，覆蓋建設、採購、評估、預警、事件響應等多個環節流程的安全要求，並對公民個人數據跨境和網絡安全審查作出明確規定，這在我國尚屬首次。

網絡安全法草案明確規定建設關鍵信息基礎設施應當確保支持業務穩定、持續運行性能，且功能性建設與安全技術措施要“同步規劃、同步建設、同步使用”﹔採購網絡產品和服務要簽訂保密協議，並可能要通過國家組織的安全審查﹔網絡安全風險評估至少每年開展一次，形成報告並報送負責部門﹔收集和存儲的公民個人信息原則上要求存儲在境內，必要時組織開展安全評估與審查。

由於關鍵信息基礎設施安全保護涉及很多方面，不僅僅是提出系統自身的保護要求、加強系統安全建設那麼簡單，還包括一系列制度規范體系建設，需要建立詳細的規章制度。因此，草案提出，國務院將制定專門的關鍵信息基礎設施安全保護辦法。

3. 網絡安全法草案劃定了關鍵信息基礎設施相關方的責任義務

網絡安全法草案從國家、行業、運營者三個層面，分別規定了各相關方在關鍵信息基礎設施安全保護方面的責任與義務，解決了以往責任模糊不明的問題。

一是明確國家關鍵信息基礎設施保護職能部門的職責。網絡安全法草案規定，國家層面，由國家網信部門統籌協調相關部門建立協作機制，負責開展國家關鍵信息基礎設施抽查檢測、風險評估、應急演練、信息共享、應急處置與恢復等工作。

二是規定行業關鍵信息基礎設施主管部門的職責。網絡安全法草案明確指出關鍵領域和重要行業主管部門是各行業各領域關鍵信息基礎設施的負責部門，分別負責指導和監督本行業本領域關鍵信息基礎設施運行安全保護工作，建立健全本行業、本領域網絡安全監測預警和信息通報制度，制定本行業、本領域網絡安全事件應急預案並定期組織演練等。

三是劃定關鍵信息基礎設施運營者的安全保護義務和法律責任。網絡安全法草案規定了關鍵信息基礎設施運營者應當履行的安全保護義務，主要包括設置專職人員，定期進行網絡安全教育、培訓和考核，對重要系統和數據庫進行容災備份，制定應急預案並組織演練等。此外，網絡安全法草案還界定了關鍵信息基礎設施運營者違反相關條款的法律責任。

美國在關鍵信息基礎設施保護和立法方面的工作和借鑒

事實上，發達國家早就意識到關鍵信息基礎設施的重要性，明確將關鍵信息基礎設施列為國家戰略資產，從國家戰略高度予以保護。美國尤其重視保護這些國家戰略資產，在立法、頂層設計、監測應急、標准建設等多個領域開展相關工作，對關鍵基礎設施 的保護走在世界前列，值得我們學習和借鑒。

立法方面，美國先后出台《1996年國家信息基礎設施保護法案》《2001年關鍵基礎設施保護法案》《聯邦信息安全管理法案》《2002年關鍵基礎設施信息法案》《2014年聯邦信息安全現代化法案》《2014年網絡安全加強法案》《2014年國家網絡安全保護法案》等法律以及多部具有法律效力的行政令和總統令，從定義關鍵基礎設施的概念入手，對關鍵基礎設施保護范圍、責任和具體要求進行了規定，從法律上提出要加強關鍵基礎設施信息共享、標准制定、教育培訓以及技術隊伍建設，加強關鍵基礎設施保護。

頂層設計方面，美國早在2003年就出台了《關鍵基礎設施和重要資產物理保護的國家戰略》，確定了一套保護關鍵基礎設施和關鍵資產的國家目標、指導原則和優先保護事項。2006年，美國土安全部（DHS）發布《國家基礎設施保護計劃》（NIPP），作為美國保護關鍵基礎設施和重要資源的國家計劃，為現行和未來保護關鍵基礎設施和重要資源方案和活動提供一個總體框架。之后，DHS分別於2009年、2013年對NIPP進行更新，確保其滿足當前關鍵基礎設施保護需求。

監測應急方面，美國設立國家網絡安全與通信一體化中心（NCCIC）與國家基礎設施協調中心（NICC）作為專職機構開展關鍵基礎設施態勢感知、信息共享、應急准備與響應等工作。

標准建設方面，美國從國家和行業兩個層面，針對不同關鍵基礎設施領域制定了一系列保護標准指南。國家層面，美國國家標准技術研究所（NIST）制定了SP 800-53《聯邦信息系統和組織機構安全控制建議》SP 800-53A《聯邦信息系統安全控制評估指南》SP 800-137《聯邦信息系統和組織機構信息安全持續監測》SP 800-82《工業控制系統安全指南》等。行業層面，美國石油協會（API）制定了《管道SCADA安全》《石油行業安全指南》，北美電力可靠性委員會（NERC）制定了電力行業關鍵基礎設施保護系列標准和指南等。

建議和結束語

網絡安全法草案的出台是我國關鍵信息基礎設施保護方面的裡程碑事件，具有重要意義。然而縱觀美國在關鍵基礎設施保護方面所作出的工作和取得的成就，我國與之相比還存在很大的差距，還有很長的路要走。當務之急是要加快網絡安全法的出台，有了法就有了依據，一系列相關工作才能順利實施。此外，需加緊關鍵信息基礎設施保護制度規范體系建設，包括制定專門的關鍵信息基礎設施保護規章制度，積極推進關鍵信息基礎設施保護監測應急、信息共享、標准規范制定、技術隊伍建設等工作。

（來源：中國信息安全）