网络安全法将促进国家关键信息基础设施保护新局面

随着信息技术高速发展，信息化进程不断推进，我国一些关系国家命脉、国计民生的关键领域和重要行业，如金融、能源、交通、通信等，构建起纵联全国、横跨国际的行业信息网络基础设施，承载着本行业重要业务和经济活动。这些关键领域和重要行业信息化程度高，智能化、网络化程度迅速发展，对网络的依赖性持续增强，一旦遭到攻击破坏，不仅可能导致大规模的财产损失、人员伤亡，甚至可能威胁国家安全。长期以来，国家对这些领域和行业的重要网络和信息系统保护重视不够，没有在法律中作出明确规定，导致国家在这方面的责任存在缺位，许多针对性工作由于缺乏依据无法顺利开展。近日，《中华人民共和国网络安全法（草案）》（以下简称网络安全法草案）的发布则明确将这些重要网络和信息系统统称为关键信息基础设施，将其纳入国家重点保护范围，对其运行安全进行详细规定。这是我国首次在法律高度提出关键信息基础设施概念，并对关键信息基础设施保护提出具体要求，是我国在关键信息基础设施保护方面取得的重大进步，将促进国家关键信息基础设施网络安全形成新局面。

网络安全法草案对关键信息基础设施安全的规定和意义

1. 网络安全法草案界定了关键信息基础设施范围

网络安全法草案是我国首部提出关键信息基础设施概念并给出明确范围的法律性文件。它将“提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络、设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或者管理的网络和系统”统称为关键信息基础设施，纳入国家保护范围，实行重点保护。

从上面的定义可以看出，网络安全法草案将关键信息基础设施主要划分为以下五大类网络或系统：（1）基础信息网络，主要包括广电网、电信网、互联网；（2）重要行业和公共服务领域的重要信息系统，例如核岛控制系统、银联交易系统、智能交通系统、供水管网信息管理系统、社保信息系统等；（3）军事网络，例如军事通信网、军队指挥自动化系统等；（4）地市级以上政务网络，例如电子政务系统、政府门户网站等；（5）用户数量众多的网络服务商系统，例如百度、阿里、腾讯等IT巨头运营的一些网络和系统等。

2. 网络安全法草案明确了关键信息基础设施运行安全具体保护要求

网络安全法草案对关键信息基础设施保护提出了具体措施要求，覆盖建设、采购、评估、预警、事件响应等多个环节流程的安全要求，并对公民个人数据跨境和网络安全审查作出明确规定，这在我国尚属首次。

网络安全法草案明确规定建设关键信息基础设施应当确保支持业务稳定、持续运行性能，且功能性建设与安全技术措施要“同步规划、同步建设、同步使用”；采购网络产品和服务要签订保密协议，并可能要通过国家组织的安全审查；网络安全风险评估至少每年开展一次，形成报告并报送负责部门；收集和存储的公民个人信息原则上要求存储在境内，必要时组织开展安全评估与审查。

由于关键信息基础设施安全保护涉及很多方面，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列制度规范体系建设，需要建立详细的规章制度。因此，草案提出，国务院将制定专门的关键信息基础设施安全保护办法。

3. 网络安全法草案划定了关键信息基础设施相关方的责任义务

网络安全法草案从国家、行业、运营者三个层面，分别规定了各相关方在关键信息基础设施安全保护方面的责任与义务，解决了以往责任模糊不明的问题。

一是明确国家关键信息基础设施保护职能部门的职责。网络安全法草案规定，国家层面，由国家网信部门统筹协调相关部门建立协作机制，负责开展国家关键信息基础设施抽查检测、风险评估、应急演练、信息共享、应急处置与恢复等工作。

二是规定行业关键信息基础设施主管部门的职责。网络安全法草案明确指出关键领域和重要行业主管部门是各行业各领域关键信息基础设施的负责部门，分别负责指导和监督本行业本领域关键信息基础设施运行安全保护工作，建立健全本行业、本领域网络安全监测预警和信息通报制度，制定本行业、本领域网络安全事件应急预案并定期组织演练等。

三是划定关键信息基础设施运营者的安全保护义务和法律责任。网络安全法草案规定了关键信息基础设施运营者应当履行的安全保护义务，主要包括设置专职人员，定期进行网络安全教育、培训和考核，对重要系统和数据库进行容灾备份，制定应急预案并组织演练等。此外，网络安全法草案还界定了关键信息基础设施运营者违反相关条款的法律责任。

美国在关键信息基础设施保护和立法方面的工作和借鉴

事实上，发达国家早就意识到关键信息基础设施的重要性，明确将关键信息基础设施列为国家战略资产，从国家战略高度予以保护。美国尤其重视保护这些国家战略资产，在立法、顶层设计、监测应急、标准建设等多个领域开展相关工作，对关键基础设施 的保护走在世界前列，值得我们学习和借鉴。

立法方面，美国先后出台《1996年国家信息基础设施保护法案》《2001年关键基础设施保护法案》《联邦信息安全管理法案》《2002年关键基础设施信息法案》《2014年联邦信息安全现代化法案》《2014年网络安全加强法案》《2014年国家网络安全保护法案》等法律以及多部具有法律效力的行政令和总统令，从定义关键基础设施的概念入手，对关键基础设施保护范围、责任和具体要求进行了规定，从法律上提出要加强关键基础设施信息共享、标准制定、教育培训以及技术队伍建设，加强关键基础设施保护。

顶层设计方面，美国早在2003年就出台了《关键基础设施和重要资产物理保护的国家战略》，确定了一套保护关键基础设施和关键资产的国家目标、指导原则和优先保护事项。2006年，美国土安全部（DHS）发布《国家基础设施保护计划》（NIPP），作为美国保护关键基础设施和重要资源的国家计划，为现行和未来保护关键基础设施和重要资源方案和活动提供一个总体框架。之后，DHS分别于2009年、2013年对NIPP进行更新，确保其满足当前关键基础设施保护需求。

监测应急方面，美国设立国家网络安全与通信一体化中心（NCCIC）与国家基础设施协调中心（NICC）作为专职机构开展关键基础设施态势感知、信息共享、应急准备与响应等工作。

标准建设方面，美国从国家和行业两个层面，针对不同关键基础设施领域制定了一系列保护标准指南。国家层面，美国国家标准技术研究所（NIST）制定了SP 800-53《联邦信息系统和组织机构安全控制建议》SP 800-53A《联邦信息系统安全控制评估指南》SP 800-137《联邦信息系统和组织机构信息安全持续监测》SP 800-82《工业控制系统安全指南》等。行业层面，美国石油协会（API）制定了《管道SCADA安全》《石油行业安全指南》，北美电力可靠性委员会（NERC）制定了电力行业关键基础设施保护系列标准和指南等。

建议和结束语

网络安全法草案的出台是我国关键信息基础设施保护方面的里程碑事件，具有重要意义。然而纵观美国在关键基础设施保护方面所作出的工作和取得的成就，我国与之相比还存在很大的差距，还有很长的路要走。当务之急是要加快网络安全法的出台，有了法就有了依据，一系列相关工作才能顺利实施。此外，需加紧关键信息基础设施保护制度规范体系建设，包括制定专门的关键信息基础设施保护规章制度，积极推进关键信息基础设施保护监测应急、信息共享、标准规范制定、技术队伍建设等工作。

（来源：中国信息安全）