正在审议中的《网络安全法(二次审议稿)》第二十九条规定,国家对一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。由此可见,关键信息基础设施安全防护是整个网络安全的基石和重中之重,必须予以高度重视,构建有效的安全防护制度。
比较各国网络安全立法可以发现,几乎所有国家的网络安全立法均围绕关键基础设施保护而展开,防范系统性网络安全风险,维护国家根本利益。美国政府于1996年成立的“保护关键基础设施总统委员会”(PCCIP)在当时即指出,安全、 经济、生活方式或许还包括工业化世界的生存,全都离不开电力、通信和计算机这三者的交互作用。发达社会严重依赖关键基础设施,而关键基础设施又极易受传统的物理破坏和新兴的虚拟威胁。因此,美国将关键基础设施所依赖的信息系统的安全作为战略保护对象。德国也将关键基础设施保护界定为网络安全的主要优先事务,认为它们是几乎所有关键基础设施的的中枢构成部分并且变得越来越重要。 法国则将增强关键基础设施的网络安全作为网络系统防卫与安全的四个战略目标之一。
归纳各国的实际做法与经验可以提炼关键信息基础设施保护制度主要涉及的三个主要方面:
第一、 界定与标明关键基础设施。科学界定关键基础设施的边界与范围,对于实现安全与发展的平衡具有决定性的作用。如果范围界定过大,明显会加重关键信息基础设施运营者与整个社会的负担,不利于促进信息化发展;如果界定范围过小,又不能有效防范风险,维护网络安全。因此,各国在这个方面都采用了原则性与灵活性相结合的原则,根据本国国情,动态调整、界定关键信息基础设施的边界。美国确定的关键基础设施行业主要包括:政府职能运行、银行、航空控制、原子能、石油提炼、电信、铁路交通、供水、电力、管道运输、应急服务、互联网服务提供商等。其后又基于反恐目的调整为农业、食品、供水、公共健康、应急服务、政府、国防工业基地、信息与通信、能源、运输、银行与金融、化学品和危险物品、邮政和船运部门的公共和私营部门。澳大利亚关键基础设施的范围包括通信(电信、电话、传真、互联网 、有线电视、卫星和电子传媒通信);能源(天然气、汽油燃料 、 炼油厂、输油管道 、发电和供电、核研究反应堆);金融(银行、保险和证券交易);食品供应(批量生产、储藏和配送);政府服务(国防和情报设施、 国会两院、关键政府部门、外交使团和关键宅第、应急服务、警察、消防、急救);医疗保健(医院、公众健康和研究与开发实验室);制造(国防工业、重工业和化学工业);国家标志(建筑物<如悉尼歌剧院>、文化、体育和旅游);交通(空中交通管制、公路、海洋、铁路和内陆运输、货运中心);公用事业(水 、废水和废料管理)。今年发布的欧盟网络安全指令将重要的互联网应用服务也列入关键基础设施范围,曾经一度引发很大的争议。实践中,各国关键基础设施的范围既有一定的共性,又不完全一致,内在机理在于努力实现安全与发展的平衡,通过动态机制设计更好地协调不同的立法追求。
第二、 采取关键基础设施保护措施。一旦被界定为关键信息基础设施,就要采用相应的保护措施,承担安全防护义务。这些措施主要包括组织措施和技术措施。其中,组织措施主要是发挥运营者的积极性,通过加强内部管理维护安全,具体包括:信息安全管理体系,风险管理,安全策略,组织安全,供应商选定的安全要求,资产管理,人力资源安全,关键基础设施或重要信息系统运行和通信管理,关键信息基础设施或重要信息系统管理的访问人,关键信息基础设施和重要信息系统的收购、开发和维护,网络安全事件管理,商业连续性管理,关键信息基础设施和重要信息系统控制和审计。技术措施主要是发挥标准与技术防范手段的作用,主要包括:物理安全,通信网络完整性保护工具,使用者身份验证工具,授权管理接入工具,应对恶意代码管理工具,关键信息基础设施和重要系统使用者和管理者行为记录工具,网络安全事件检测工具,网络安全事件的搜集和评估工具,应用程序安全,加密装置,确保信息可靠性和工业与管理系统安全的工具。究竟采取哪些保护措施,也涉及到安全与发展之间的平衡问题,既要确保安全,又要避免过于僵化的规定导致运营者难以遵守,为此,需要政策制定者根据本国国情与面临的风险加以确定,是一项政策性很强的工作。
第三、 构建有效的管理体制。关键信息基础设施保护涉及不同行业、领域,需要充分发挥不同行业主管部门的积极性,任何一个部门都不能单打独头。同时,网络互联互通的特点决定了需要有高效的顶层协调机制,由此实现政府与社会之间、不同政府部门之间以及跨国执法合作等的统一。各国在这方面也都根据本国国情进行了相应的制度设计,既明确统筹协调部门,又充分发挥不同行业主管部门的作用,形成有效的治理机制。
各国的经验,对于完善我国的关键信息基础设施保护制度具有重要借鉴意义。实现安全与发展之间的平衡,以安全保发展,以发展促安全,应该是制度设计的主要目标,两者不能偏废。《网络安全法(草案)》规定了关键信息基础设施保护的主要制度,更多的操作性制度都需要由国务院制定的关键信息基础设施保护条例来规范和明确。下一步,社会各界应加强对关键信息基础设施保护制度的研究,主要的问题包括:关键基础设施界定和标明的职权、标准和程序;风险评估、预警与检测、事件响应与网络重建恢复、事件分析与报告等系统、完善的保护措施;主管机关和具体工作部门的相互关系,信息共享和协同保护;关键信息基础设施运营者的管理责任与技术防控措施;监管部门临时干预措施与法律责任;跨国执法合作机制与程序;标准、研发、培训、宣传等促进和基础类工作。