黃道麗，方婷

（1. 公安部第三研究所，上海 201204；2. 西安交通大學(xué)信息安全法律研究中心，陜西 西安 710049）

我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的立法思考

黃道麗1，方婷2

（1. 公安部第三研究所，上海 201204；2. 西安交通大學(xué)信息安全法律研究中心，陜西 西安 710049）

我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法的必要性尤為突出?，F(xiàn)行立法及實(shí)踐表現(xiàn)為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)缺乏國家層面的強(qiáng)力監(jiān)管，國家和行業(yè)主管部門的認(rèn)識(shí)和保護(hù)能力不足，主管機(jī)構(gòu)的職責(zé)不清且缺乏有效的協(xié)調(diào)配合機(jī)制，資金、技術(shù)、人員等基礎(chǔ)保障能力薄弱。為加快制定和頒布關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法，應(yīng)當(dāng)明確關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織機(jī)構(gòu)體系及其工作機(jī)制，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的監(jiān)測(cè)通報(bào)與預(yù)警機(jī)制、應(yīng)急處置與響應(yīng)恢復(fù)機(jī)制、安全監(jiān)管制度、責(zé)任追究制度和基礎(chǔ)保障制度。

關(guān)鍵信息基礎(chǔ)設(shè)施；監(jiān)測(cè)；預(yù)警；應(yīng)急響應(yīng)

2　我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法的必要性分析

美國“9·11”恐怖襲擊事件發(fā)生后，國家關(guān)鍵基礎(chǔ)設(shè)施在國家安全、社會(huì)民生、經(jīng)濟(jì)發(fā)展和政府事務(wù)中的基礎(chǔ)性作用不斷凸顯，并逐步成為保障整個(gè)社會(huì)持續(xù)運(yùn)轉(zhuǎn)的重要支撐。然而，隨著網(wǎng)絡(luò)與信息技術(shù)的普及和高速發(fā)展，傳統(tǒng)的物理基礎(chǔ)設(shè)施與信息系統(tǒng)的融合程度不斷加深，使關(guān)鍵基礎(chǔ)設(shè)施部門的信息系統(tǒng)始終面臨外部不安全環(huán)境所引發(fā)的巨大威脅。2014年至2015年初，美國持續(xù)發(fā)生了一系列大規(guī)模網(wǎng)絡(luò)攻擊事件，零售商Target公司、eBay公司、世界最大的家裝零售商Home Depot、摩根大通（JPMorgan Chase）、醫(yī)療保險(xiǎn)公司Anthem、索尼（Sony）電影公司等企業(yè)相繼遭到破壞性的網(wǎng)絡(luò)攻擊，這一系列事件充分印證了美國作為信息化高度發(fā)達(dá)的網(wǎng)絡(luò)強(qiáng)國，在全球化融合的態(tài)勢(shì)下也同樣面臨嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)，尤其是關(guān)系其國家安全、社會(huì)穩(wěn)定和持續(xù)運(yùn)轉(zhuǎn)的能源、通信、交通、金融等關(guān)鍵領(lǐng)域，其信息基礎(chǔ)設(shè)施保障在當(dāng)前網(wǎng)絡(luò)安全形勢(shì)下顯得更加迫切和必要。

值得注意的是，當(dāng)今社會(huì)經(jīng)濟(jì)全球化、氣候極端化和國際關(guān)系綜合化的趨勢(shì)進(jìn)一步凸顯了國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的復(fù)雜性。在此背景下，國際組織和重要國家始終關(guān)注對(duì)國家關(guān)鍵基礎(chǔ)設(shè)施以及關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略、立法和組織體系的構(gòu)建［2］。其中，歐盟成員國英國、法國、德國、美國、日本、新加坡均針對(duì)國家關(guān)鍵基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施的界定，國家關(guān)鍵行業(yè)/部門的確定，國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織機(jī)構(gòu)體系以及國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的監(jiān)測(cè)通報(bào)與預(yù)警機(jī)制、應(yīng)急響應(yīng)與恢復(fù)機(jī)制，在其國家戰(zhàn)略和法律法規(guī)中做出了必要的部署和相應(yīng)的調(diào)整，以滿足新形勢(shì)下國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的迫切需求。目前，我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法的必要性尤為突出，主要表現(xiàn)如下。

1）基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全隱患嚴(yán)重［3］。由于各個(gè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心設(shè)備、技術(shù)和高端服務(wù)主要依賴國外進(jìn)口，短期內(nèi)無法實(shí)現(xiàn)自主可控，給我國的信息安全帶來了深層次的安全隱患。信息安全建設(shè)與信息化建設(shè)不同步，建設(shè)不規(guī)范、不全面。值得注意的是，目前，國內(nèi)政府部門和企業(yè)過分依賴外國品牌的電子產(chǎn)品、信息技術(shù)產(chǎn)品，尤其是基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的核心軟硬件設(shè)備（服務(wù)器、存儲(chǔ)設(shè)備、操作系統(tǒng)等），并且，高端服務(wù)仍嚴(yán)重依賴于國外，國外產(chǎn)品的采用率高達(dá)80%以上，相當(dāng)一部分信息系統(tǒng)由國外公司提供技術(shù)服務(wù)。在涉及政府、能源、通信、海關(guān)、金融、交通、醫(yī)療等國家關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)和運(yùn)營過程中，頻頻出現(xiàn)美國“八大金剛”的影子，特別是美國思科幾乎參與了中國所有大型網(wǎng)絡(luò)項(xiàng)目的建設(shè)，這無疑對(duì)我國的網(wǎng)絡(luò)與信息安全構(gòu)成了嚴(yán)重威脅，特別是在美國“棱鏡門”事件曝光并持續(xù)發(fā)酵的過程中，我國關(guān)鍵信息基礎(chǔ)設(shè)保護(hù)立法的必要性進(jìn)一步凸顯。

2）我國的網(wǎng)絡(luò)與信息安全保障工作基礎(chǔ)較為薄弱［4］。其中，我國網(wǎng)絡(luò)與信息安全建設(shè)未能與信息化建設(shè)同步進(jìn)行，具體的實(shí)踐工作缺乏國家層面整體的制度化指導(dǎo)和有效監(jiān)管，網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)、監(jiān)管缺乏相應(yīng)的標(biāo)準(zhǔn)規(guī)范，諸多部門安全管理制度和技術(shù)防范措施難以有效落實(shí)。因此，由于網(wǎng)絡(luò)入侵和惡意攻擊等行為導(dǎo)致的網(wǎng)絡(luò)安全事件頻發(fā)，尤其是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵、惡意攻擊等缺乏有效的應(yīng)對(duì)處理措施，風(fēng)險(xiǎn)抵御能力較弱，網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)中安全系統(tǒng)建設(shè)相對(duì)滯后。在此背景下，習(xí)近平總書記在主持召開中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議中做出重要指示，其中，在抓緊制定立法規(guī)劃方面，要求盡快推進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等法律法規(guī)的制定和完善。

3　我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的立法現(xiàn)狀及實(shí)踐存在的突出問題

我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的相關(guān)法律法規(guī)主要包括綜合及重要領(lǐng)域類規(guī)定兩大部分，即《國家安全法》、《中華人民共和國突發(fā)事件應(yīng)對(duì)法》、《中華人民共和國保守國家秘密法》、《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)［2003］27號(hào)）、《信息安全等級(jí)保護(hù)管理辦法》（公通字［2007］43號(hào)）、《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)［2011］451號(hào)）、《國家安全監(jiān)管總局網(wǎng)絡(luò)運(yùn)行和信息安全保密管理辦法》、《電力行業(yè)網(wǎng)絡(luò)與信息安全監(jiān)督管理暫行規(guī)定》、《中國人民銀行信息安全管理規(guī)定》、《基礎(chǔ)電信企業(yè)信息安全責(zé)任管理辦法（試行）》、《銀行、證券跨行業(yè)信息系統(tǒng)突發(fā)事件應(yīng)急處置工作指引》、《鐵路計(jì)算機(jī)信息系統(tǒng)安全保護(hù)辦法》、《通信網(wǎng)絡(luò)安全防護(hù)管理辦法》、《互聯(lián)網(wǎng)網(wǎng)絡(luò)安全信息通報(bào)實(shí)施辦法》（工信部保［2009］156號(hào)）、《中華人民共和國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案》、《民用航空運(yùn)輸機(jī)場(chǎng)航空安全保衛(wèi)規(guī)則》、《公共航空運(yùn)輸企業(yè)航空安全保衛(wèi)規(guī)則》等。

然而，作為世界上信息化發(fā)展最快的國家之一，我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐仍然存在諸多問題，突出體現(xiàn)在以下幾個(gè)方面。

1）我國國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)缺乏國家層面的強(qiáng)力監(jiān)管。我國目前的信息安全監(jiān)管工作基本與美國前幾年的情況類似，仍需不斷建立類似由美國強(qiáng)力部門（國土安全部）實(shí)施監(jiān)督管理的機(jī)制［5］。信息安全監(jiān)管工作技術(shù)性強(qiáng)、工作內(nèi)容復(fù)雜，決定了其監(jiān)管必須由一支成建制的、體系化的、覆蓋全國范圍的隊(duì)伍實(shí)行統(tǒng)一管理、統(tǒng)一策略、統(tǒng)一標(biāo)準(zhǔn)、統(tǒng)一運(yùn)用合理的工作方法，將信息安全監(jiān)管工作落到實(shí)處。

2）國家和行業(yè)主管部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的必要性和重要性認(rèn)識(shí)能力不足。從等級(jí)保護(hù)工作的實(shí)施情況可以看出，重要行業(yè)/部門對(duì)重要信息系統(tǒng)的“重要性”認(rèn)識(shí)不夠，進(jìn)而對(duì)國家關(guān)鍵信息基礎(chǔ)設(shè)施的“關(guān)鍵性”缺乏認(rèn)識(shí)［6］。雖然通過等級(jí)保護(hù)工作，各個(gè)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位對(duì)自身信息系統(tǒng)的重要性已有一定的認(rèn)識(shí)，但是，很少會(huì)從全國、全社會(huì)乃至全球的視角看待信息系統(tǒng)的重要性，很難將信息系統(tǒng)安全上升到國家安全、社會(huì)穩(wěn)定的高度進(jìn)行分析，對(duì)信息系統(tǒng)受到破壞后產(chǎn)生的影響沒有做出充分評(píng)估。大多數(shù)情況下，各重要行業(yè)/部門僅僅是從一個(gè)單位或一個(gè)企業(yè)的角度進(jìn)行信息安全保護(hù)，缺乏從信息系統(tǒng)到部門、從部門到機(jī)構(gòu)、從機(jī)構(gòu)到行業(yè)以及從行業(yè)到關(guān)鍵領(lǐng)域之間的相互依賴性分析，導(dǎo)致對(duì)信息系統(tǒng)的重要性認(rèn)識(shí)不夠，定級(jí)過程缺乏風(fēng)險(xiǎn)分析和關(guān)鍵性分析，難以有效制定關(guān)鍵信息基礎(chǔ)設(shè)施的優(yōu)先保護(hù)計(jì)劃。

3）國家有關(guān)行業(yè)/部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的能力不夠，并且機(jī)構(gòu)之間的協(xié)調(diào)配合機(jī)制仍需進(jìn)一步建立和完善［7］。首先，重要行業(yè)/部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)能力不夠，主要表現(xiàn)為針對(duì)網(wǎng)絡(luò)入侵和惡意攻擊的主動(dòng)發(fā)現(xiàn)、查找、防御和應(yīng)急響應(yīng)能力仍需不斷提高，實(shí)踐中，我國雖已建立國家關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)監(jiān)測(cè)和預(yù)警機(jī)制，但是，各個(gè)重要行業(yè)/部門對(duì)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全風(fēng)險(xiǎn)的監(jiān)測(cè)和預(yù)警能力仍然較弱，需要得到進(jìn)一步加強(qiáng)；其次，省市一級(jí)重要行業(yè)/部門對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的通報(bào)能力有待加強(qiáng)，尚未建立包括中央和地方在內(nèi)的立體的全國性監(jiān)測(cè)通報(bào)體系，導(dǎo)致中央和地方之間的重要行業(yè)/部門之間難以對(duì)網(wǎng)絡(luò)信息安全事件進(jìn)行有效的信息共享，降低了各個(gè)重要行業(yè)/部門發(fā)現(xiàn)網(wǎng)絡(luò)信息安全威脅的能力；最后，我國重要行業(yè)/部門對(duì)關(guān)鍵基礎(chǔ)設(shè)施信息安全事件的應(yīng)急措施不完備，難以對(duì)關(guān)鍵基礎(chǔ)設(shè)施部門突發(fā)的信息安全事件進(jìn)行有效的應(yīng)急響應(yīng)與處置。值得注意的是，對(duì)涉及跨領(lǐng)域且具有高度相互依賴性的關(guān)鍵信息基礎(chǔ)設(shè)施，如電力、電信等，由于缺少社會(huì)協(xié)調(diào)配合機(jī)制，主管部門或運(yùn)營使用單位在進(jìn)行關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)工作時(shí)，往往單打獨(dú)斗，很難通過一個(gè)高效的組織方式，協(xié)調(diào)社會(huì)資源參與關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，最終影響保護(hù)工作的實(shí)施效率。

4）我國國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)機(jī)構(gòu)的職責(zé)不清、分工不明確，導(dǎo)致實(shí)踐操作中重要信息系統(tǒng)的安全保護(hù)要求（關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求）無法得到有效滿足。目前，實(shí)踐中，既存在以公安部為主導(dǎo)的規(guī)范化、系統(tǒng)化、制度化、覆蓋政府機(jī)關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施的信息安全等級(jí)保護(hù)工作，也存在每年由工信部主持的僅針對(duì)政府部門和個(gè)別央企的安全檢查工作，還存在如中國人民銀行、證監(jiān)會(huì)、銀監(jiān)會(huì)、保監(jiān)會(huì)、發(fā)改委、科技部、商務(wù)部、國家密碼管理局、國家保密局、國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局等非主管部門實(shí)施的對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的監(jiān)督管理，導(dǎo)致多頭管理現(xiàn)象明顯、重復(fù)工作內(nèi)容很多、職責(zé)分工不明，給重要信息系統(tǒng)的運(yùn)營使用單位帶來了極大的困惑，不利于我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的有效實(shí)施。

5）我國國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)保障能力薄弱，在資金保障、技術(shù)支持、人員和機(jī)構(gòu)設(shè)置以及制度建設(shè)等方面無法保障關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的有效落實(shí)。目前，我國國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)劃尚未納入國民經(jīng)濟(jì)和社會(huì)發(fā)展計(jì)劃，難以使國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作同經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展相協(xié)調(diào)。同時(shí)，國家對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的技術(shù)研發(fā)和資金支持力度有待進(jìn)一步加強(qiáng)。

4　我國加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施立法保護(hù)的制度建議

基于前述分析，我國應(yīng)當(dāng)從立法層面關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的建立，設(shè)立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的強(qiáng)力監(jiān)管部門，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織管理體系，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)監(jiān)測(cè)通報(bào)與預(yù)警發(fā)布中心，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的預(yù)警機(jī)構(gòu)，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的信息共享機(jī)制，強(qiáng)調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的技術(shù)支持，關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的財(cái)政保障，注重關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的專業(yè)人員培養(yǎng)，加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的國際合作，基于此，我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法應(yīng)當(dāng)重點(diǎn)包括以下幾個(gè)方面。

4.1建立我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織機(jī)構(gòu)及其工作機(jī)制

在美國，85%的國家關(guān)鍵基礎(chǔ)設(shè)施由私營部門擁有和運(yùn)營管理，而我國的國家關(guān)鍵基礎(chǔ)設(shè)施多數(shù)是由國企或央企運(yùn)營和管理。由于國情的差異，我國的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度的構(gòu)建不能簡(jiǎn)單照搬外國的經(jīng)驗(yàn)，但這些關(guān)鍵信息基礎(chǔ)設(shè)施也嚴(yán)重關(guān)系到我國的社會(huì)穩(wěn)定、國計(jì)民生和經(jīng)濟(jì)發(fā)展，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)同樣不能僅僅依賴于單一企業(yè)或主管部門的努力，需要協(xié)調(diào)國家、社會(huì)、企業(yè)自身等各界的努力來共同實(shí)現(xiàn)［8］。基于此，在充分吸取國外經(jīng)驗(yàn)和教訓(xùn)的基礎(chǔ)上，建立符合我國國情且具有較強(qiáng)可操作性的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)組織管理體系是我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法亟需解決的重要問題之一。

基于前述分析，本文認(rèn)為黨和政府的支持是我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的堅(jiān)實(shí)基礎(chǔ)，各級(jí)政府高度重視；各個(gè)部委密切協(xié)調(diào)合作、配合關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的職責(zé)機(jī)構(gòu)高效實(shí)施保護(hù)工作是我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的堅(jiān)實(shí)保障；各行業(yè)主管部門、運(yùn)營使用單位及其他信息服務(wù)部門顧全大局、相互協(xié)調(diào)、有力執(zhí)行是我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐基礎(chǔ)。因此，建立自上而下、逐級(jí)逐層監(jiān)督管理的組織體系能夠保證關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的有效實(shí)施，同時(shí)，各級(jí)各層分別建立協(xié)調(diào)配合的伙伴關(guān)系既能確保對(duì)上級(jí)指示進(jìn)行科學(xué)有效的執(zhí)行，也可以為各個(gè)部門單位就自身利益提供表述和協(xié)調(diào)的渠道。簡(jiǎn)單來說，我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織管理體系應(yīng)該是：自上而下的監(jiān)督管理，各級(jí)各層協(xié)調(diào)合作的組織關(guān)系。

4.2構(gòu)建全國立體的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)監(jiān)測(cè)通報(bào)與預(yù)警機(jī)制

各個(gè)國家在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的策略之一即為早期預(yù)警，通過建立一套完整的監(jiān)測(cè)、評(píng)價(jià)、應(yīng)急響應(yīng)體系，以確保在各類網(wǎng)絡(luò)安全事件發(fā)生前能夠及時(shí)預(yù)警并及時(shí)響應(yīng)。為此，各類監(jiān)測(cè)與預(yù)警發(fā)布中心應(yīng)運(yùn)而生，如美國US-CERT組織、國土安全部下設(shè)的NCCIC、新加坡國家網(wǎng)絡(luò)威脅監(jiān)測(cè)中心，都負(fù)責(zé)全天候監(jiān)測(cè)和分析針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅信息［9］。為了更好地預(yù)警早期可能發(fā)生的事件并能夠快速響應(yīng)，信息共享是早期預(yù)警和應(yīng)急響應(yīng)機(jī)制背后主要的推動(dòng)力［10］。公共私營機(jī)構(gòu)共同合作，通過各類方式完成信息共享，從而建立應(yīng)急響應(yīng)機(jī)制。

基于前述分析，我國建立與完善國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的監(jiān)測(cè)通報(bào)與預(yù)警機(jī)制［11］應(yīng)當(dāng)包括3個(gè)方面的內(nèi)容：1）我國應(yīng)當(dāng)建立與完善省市兩級(jí)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)監(jiān)測(cè)通報(bào)與預(yù)警機(jī)制，構(gòu)建全國立體的監(jiān)測(cè)通報(bào)與預(yù)警體系，提高關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位對(duì)信息安全威脅的發(fā)現(xiàn)能力、預(yù)警能力、防護(hù)能力和反制能力；2）進(jìn)一步完善關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的漏洞通報(bào)機(jī)制，由國家網(wǎng)絡(luò)安全主管部門授權(quán)相關(guān)的信息安全風(fēng)險(xiǎn)監(jiān)測(cè)機(jī)構(gòu)定期發(fā)布信息安全漏洞通報(bào)；3）從預(yù)警級(jí)別、預(yù)警啟動(dòng)、不同級(jí)別預(yù)警的應(yīng)對(duì)機(jī)制以及預(yù)警解除等方面完善國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的預(yù)警機(jī)制。

4.3建立與完善關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的應(yīng)急處置與響應(yīng)恢復(fù)機(jī)制

基于前述分析，我國建立與完善國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的應(yīng)急處置與響應(yīng)恢復(fù)機(jī)制的內(nèi)容應(yīng)當(dāng)包括：1）建立國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的應(yīng)急處置基本制度，其中，包括國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的分級(jí)處置和標(biāo)準(zhǔn)制定以及應(yīng)急預(yù)案的制定；2）明確國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的應(yīng)急處置措施，包括信息安全事件的檢測(cè)，信息安全事件應(yīng)急預(yù)案的啟動(dòng)以及特大、重大信息安全事件的緊急處置［12］；3）完善國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的信息發(fā)布機(jī)制；4）完善安全事件后國家關(guān)鍵信息基礎(chǔ)設(shè)施的恢復(fù)制度；5）完善國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件應(yīng)急處置和恢復(fù)的總結(jié)報(bào)告制度。

4.4建立關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)管制度

基于前述分析，我國構(gòu)建國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全監(jiān)管制度應(yīng)當(dāng)包括以下幾個(gè)方面：1）明確公安機(jī)關(guān)的安全監(jiān)管職責(zé)，涉及指導(dǎo)、協(xié)調(diào)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)對(duì)象的認(rèn)定、共享依賴性和脆弱性評(píng)估、信息安全風(fēng)險(xiǎn)監(jiān)測(cè)通報(bào)與預(yù)警等［13］；2）明確各重要行業(yè)主管部門的安全監(jiān)管職責(zé)；3）明確國家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位的安全監(jiān)管職責(zé)和信息安全服務(wù)單位相應(yīng)的協(xié)助義務(wù)；4）明確各級(jí)地方政府的安全監(jiān)管職責(zé)。最為重要的是，應(yīng)當(dāng)確保關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的行業(yè)主管與安全主管分離［14］。

4.5建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的責(zé)任追究制度

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法應(yīng)當(dāng)建立相應(yīng)的責(zé)任追究制度，以有效貫徹和落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作，具體而言，相應(yīng)的責(zé)任主要包括以下方面：國家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營單位怠于行使安全保護(hù)制度和措施的法律責(zé)任，違反系統(tǒng)檢測(cè)和評(píng)估義務(wù)的法律責(zé)任；信息安全檢測(cè)評(píng)估機(jī)構(gòu)未經(jīng)認(rèn)可或行政許可進(jìn)行檢測(cè)評(píng)估活動(dòng)的法律責(zé)任，利用職業(yè)便利從事侵害他人合法權(quán)益活動(dòng)的法律責(zé)任；涉密國家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營單位違反保守國家秘密義務(wù)的法律責(zé)任；單位或個(gè)人破壞、危害基礎(chǔ)信息網(wǎng)絡(luò)與關(guān)鍵信息系統(tǒng)安全的法律責(zé)任，違反信息安全事件報(bào)告和協(xié)查義務(wù)的法律責(zé)任；國家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營單位的主管部門應(yīng)急處置行政失職的法律責(zé)任；公安機(jī)關(guān)、國家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營單位的主管部門、各級(jí)人民政府以及其他國家機(jī)關(guān)的工作人員在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)過程中失職的法律責(zé)任。

4.6建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的基礎(chǔ)保障制度1）從國家層面加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的人員、資金等支持力度。從國家層面總體上加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施的基礎(chǔ)保障能力，包括人員、資金等支持，具體而言，國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)劃必須納入國民經(jīng)濟(jì)和社會(huì)發(fā)展計(jì)劃，國家應(yīng)當(dāng)采取有利于信息安全保護(hù)的經(jīng)濟(jì)、技術(shù)政策和措施，使國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作同經(jīng)濟(jì)建設(shè)和社會(huì)發(fā)展相協(xié)調(diào)。省級(jí)以上地方人民政府將國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)納入本行政區(qū)域的國民經(jīng)濟(jì)和社會(huì)發(fā)展計(jì)劃。在人員建設(shè)方面，國家應(yīng)當(dāng)開展信息安全保護(hù)教育，尤其是國家關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營單位，應(yīng)當(dāng)定期對(duì)其工作人員進(jìn)行國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的知識(shí)、技能培訓(xùn)，提高其工作人員對(duì)信息安全風(fēng)險(xiǎn)的防范意識(shí)和應(yīng)對(duì)能力。在資金保障方面，國家應(yīng)當(dāng)加強(qiáng)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的財(cái)政資金支持，省、自治區(qū)、直轄市人民政府負(fù)責(zé)本行政區(qū)域內(nèi)國家關(guān)鍵信息基礎(chǔ)設(shè)施安全預(yù)防、監(jiān)督工作的日常經(jīng)費(fèi)。中央網(wǎng)信辦會(huì)同國務(wù)院有關(guān)部門，確定全國國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件的監(jiān)測(cè)、預(yù)警、應(yīng)急處置、監(jiān)督檢查等項(xiàng)目，中央財(cái)政保障實(shí)施經(jīng)費(fèi)。中央財(cái)政對(duì)困難地區(qū)實(shí)施重大國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件處置項(xiàng)目給予補(bǔ)助。

2）提高關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的技術(shù)建設(shè)能力。國家應(yīng)當(dāng)鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)領(lǐng)域的科學(xué)教育事業(yè)的發(fā)展，加強(qiáng)國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)（網(wǎng)絡(luò)安全、偵查打擊、管理控制等）技術(shù)和相關(guān)產(chǎn)品的研究與開發(fā)，保障對(duì)進(jìn)行國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的科學(xué)研究、技術(shù)開發(fā)和教學(xué)的科研院所、高等院校和各企事業(yè)單位予以相應(yīng)的經(jīng)費(fèi)支持，提高相關(guān)從業(yè)人員的信息安全科學(xué)技術(shù)水平。同時(shí)，國家應(yīng)當(dāng)對(duì)在國家關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作中做出顯著成績(jī)和貢獻(xiàn)的單位和個(gè)人給予表彰和獎(jiǎng)勵(lì)，對(duì)于成功開發(fā)與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)研究成果的，對(duì)研究人員和機(jī)構(gòu)給予相應(yīng)表彰和物質(zhì)獎(jiǎng)勵(lì)。

3）保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全可控［15］。我國應(yīng)當(dāng)建立國家關(guān)鍵信息基礎(chǔ)設(shè)施的產(chǎn)品、服務(wù)安全審查制度，同時(shí)加快實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施國產(chǎn)化替代工程。一是加強(qiáng)對(duì)信息技術(shù)和產(chǎn)品的技術(shù)可靠性審查；二是對(duì)于國防、政府、商業(yè)應(yīng)用不同類別的信息技術(shù)產(chǎn)品審查、檢測(cè)，實(shí)行有區(qū)別的管理政策，建立與之相適應(yīng)的安全審查機(jī)制；三是在國家關(guān)鍵信息基礎(chǔ)設(shè)施采購中，根據(jù)產(chǎn)品的來源（國別）、可靠性（國家是否可控和生產(chǎn)單位是否可控）進(jìn)行供應(yīng)鏈審查。此外，在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，確保國家科技重大專項(xiàng)持續(xù)支持高端服務(wù)器、海量存儲(chǔ)、中間件、數(shù)據(jù)庫的研發(fā)，支持產(chǎn)業(yè)聯(lián)盟的發(fā)展，大力發(fā)展集成電路產(chǎn)業(yè)，支持我國產(chǎn)業(yè)標(biāo)準(zhǔn)的制定，打造完整的、安全可靠的信息系統(tǒng)標(biāo)準(zhǔn)體系，鼓勵(lì)軟件廠商和硬件廠商互相認(rèn)證、協(xié)同發(fā)展。

5　結(jié)束語

綜上所述，我國應(yīng)當(dāng)加快制定和頒布關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法，確立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的立法原則，明確關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的組織機(jī)構(gòu)體系及其工作機(jī)制，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的監(jiān)測(cè)通報(bào)與預(yù)警機(jī)制、應(yīng)急處置與響應(yīng)恢復(fù)機(jī)制、安全監(jiān)管制度、責(zé)任追究制度和基礎(chǔ)保障制度，以構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的風(fēng)險(xiǎn)管理框架和相應(yīng)的技術(shù)標(biāo)準(zhǔn)規(guī)范體系，落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的具體工作。

［1］第十二屆全國人大常委會(huì).中華人民共和國網(wǎng)絡(luò)安全法（草案）［EB/OL］. http：//www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm. The Standing Committee of the 12th NPC. People's republic of China cyber security law（draft）［EB/OL］. http：//www. npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm.

［2］BRUMMER E M，SUTER M. CIIP handbook 2008/2009［M］. Beijing：National Defence Industry Press，2010：296-300.

［3］公安部信息安全等級(jí)保護(hù)評(píng)估中心. 信息安全等級(jí)保護(hù)政策培訓(xùn)教程［M］. 北京：電子工業(yè)出版社，2010：45-52. MPS Information Classified Security Protection Evaluation Center. Information classified security protection policy training course［M］. Beijing：Publishing House of Electronics Industry，2010：45-52.

［4］馬民虎. 網(wǎng)絡(luò)安全法律問題及對(duì)策研究［M］. 西安：陜西科學(xué)技術(shù)出版社，2007：171. MA M H. Cyber security legal problems and countermeasures research［M］. Xi'an：Shanxi Science and Technology Press，2007：171.

［5］美國通信行業(yè)協(xié)會(huì). 保障網(wǎng)絡(luò)安全：保障關(guān)鍵基礎(chǔ)設(shè)施和全球供應(yīng)鏈的建議［R/OL］. http：//www.usito.org/sites/default/files/tia_ cybersecurity_white_paper-critical_infrastructure_global_supply_ chain-chinese-201306.pdf. The American Association of Communication Industry. Securing the network：cyber security recommendations for critical infrastructure and the global supply chain［R/OL］. http：//www.usito.org/sites/default/files/tia_cybersecurity_white_paper-critical_infrastructure__gl obal_supply_chain-chinese-201306.pdf.

［6］GEORGE R. Critical infrastructure protection［J］. Journal of Healthcare Protection Management Publication of the International Association for Hospital Security，2012，28（2）：11-15.

［7］RICE M，BUTTS J，MILLER R，et al. An analysis of the legality of government-mandated computer inoculations［J］. International Journal of Critical Infrastructure Protection，2010，3（1）：5-15.

［8］CLAVADETSCGER C J. Building national resilience capabilities［J］. International Journal of Critical Infrastructure Protection，2010，3（1）：27-28.

［9］COHEN F. What makes critical infrastructures critical？［J］. International Journal of Critical Infrastructure Protection，2010，3（3）：53-54.

［10］MAHONEY W，GANDHI R A. An integrated framework for control system simulation and regulatory compliance monitoring［J］. International Journal of Critical Infrastructure Protection，2011，4（1）：41-53.

［11］王玥，方婷，馬民虎. 美國關(guān)鍵基礎(chǔ)設(shè)施信息安全監(jiān)測(cè)預(yù)警機(jī)制演進(jìn)與啟示［J］. 情報(bào)雜志，2016（1）：17-23. WANG Y，F(xiàn)ANG T，MA M H. Analysis and enlightenment of the evolution of the US critical infrastructure information security monitoring and warning mechanism［J］. Journal of Intelligence，2016（1）：17-23.

［12］張莉. 美國保護(hù)關(guān)鍵基礎(chǔ)設(shè)施安全政策分析［J］. 信息安全與技術(shù)，2013（7）：3-6. ZHANG L. The analysis of US policy on protecting critical infrastructure security［J］. Information Security and Technology，2013（7）：3-6.

［13］馬民虎. 信息安全法研究［M］. 西安：陜西人民出版社，2004：289. MA M H. Information security law research［M］. Xi'an：Shanxi People's Publishing House，2004：289.

［14］曲潔，朱建平. 等級(jí)保護(hù)與關(guān)鍵基礎(chǔ)設(shè)施防護(hù)的融合研究［J］.信息網(wǎng)絡(luò)安全，2011（12）：84-88. QU J，ZHU J P. The research of combination of classified protection and critical infrastructure protection［J］. Information Network Security，2011（12）：84-88.

［15］孫丕恕. 加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施安全保障能力［EB/OL］. http：//npc.people.com.cn/n/2014/0307/c376899-24567166.html. SUN P S. Strengthen the security assurance capabilities of critical information infrastructure［EB/OL］. http：//npc.people.com.cn/n/2014/0307/c376899-24567166.html.

Legislative reflection on critical information infrastructure protection in China

HUANG Dao-li1，F(xiàn)ANG Ting2

（1. The Third Research Institute of Ministry of Public Security，Shanghai 201204，China；2. Information Security Law Research Center，Xi'an Jiaotong University，Xi'an 710049，China）

The necessity of critical information infrastructure protection legislation is particularly prominent. Current legislations and practice show that critical information infrastructure protection is lack of a strong regulation at the national level，national and industry department lack of knowledge and ability to protect critical information infrastructure and their responsibilities are unclear with no effective coordination mechanisms，financial，technical and personnel support capabilities are also weak. To speed up the formulation and promulgation of critical information infrastructure protection legislation，the organization system and its working mechanism of critical information infrastructure protection should be clearly defined，and early warning and monitoring mechanism，emergency response and recovery mechanisms，security supervision system，accountability system and basic safeguard system should be built.

critical information infrastructure，monitoring，warning，emergency response

1　引言

2015年6月，第十二屆全國人大常委會(huì)第十五次會(huì)議初次審議了《中華人民共和國網(wǎng)絡(luò)安全法（草案）》［1］，其中，在“網(wǎng)絡(luò)運(yùn)行安全”一般規(guī)定的基礎(chǔ)上，設(shè)專節(jié)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全做出了具體規(guī)定并實(shí)行重點(diǎn)保護(hù)，保護(hù)的范圍包括基礎(chǔ)信息網(wǎng)絡(luò)、重要行業(yè)和領(lǐng)域的重要信息系統(tǒng)、軍事網(wǎng)絡(luò)、重要政務(wù)網(wǎng)絡(luò)、用戶數(shù)量眾多的商業(yè)網(wǎng)絡(luò)等。在此基礎(chǔ)上，《草案》進(jìn)一步提出了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的三同步原則，明確了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)主管部門的職責(zé)和運(yùn)營者的安全保護(hù)義務(wù)，建立了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品、服務(wù)的安全審查制度，并要求建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)部門之間的協(xié)作機(jī)制等。同時(shí)，2015年7月1日頒布實(shí)施的《國家安全法》第25條進(jìn)一步部署了有關(guān)關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)安全可控的戰(zhàn)略舉措。由此可見，我國已經(jīng)充分認(rèn)識(shí)到關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)在維護(hù)國家安全、經(jīng)濟(jì)安全和保障民生中的重要作用，從網(wǎng)絡(luò)安全基本法層面關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的迫切需求，基于此，我國應(yīng)當(dāng)在《網(wǎng)絡(luò)安全法（草案）》、《國家安全法》等基本法相關(guān)規(guī)定的指導(dǎo)下，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)進(jìn)行專門立法，構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的法律制度體系。

Information Network Security Key Lab Program of the Ministry of Public Security（No.C13603）

D035. 3

A

10.11959/j.issn.2096-109x.2016.00033

2016-02-03；

2016-02-23。通信作者：方婷，27562550@qq.com

信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室開放課題基金資助項(xiàng)目（No.C13603）

黃道麗（1980-），女，湖北公安人，公安部第三研究所信息網(wǎng)絡(luò)安全公安部重點(diǎn)實(shí)驗(yàn)室研究員，主要研究方向?yàn)殡娮訑?shù)據(jù)鑒定、計(jì)算機(jī)取證、網(wǎng)絡(luò)與信息安全法學(xué)。

方婷（1987-），女，江蘇南京人，西安交通大學(xué)博士生，主要研究方向?yàn)樾畔踩ā?/p>