一場肆虐全球的勒索病毒風暴帶來互聯(lián)網(wǎng)災難，不僅給廣大電腦用戶造成了巨大損失，同時嚴重影響到金融、能源、醫(yī)療、政府等眾多關系國家安全、國計民生、公共利益的關鍵行業(yè)部門，造成嚴重的危機。從中引出的“關鍵信息基礎設施”安全問題成為網(wǎng)絡安全、信息安全的重中之重。

 

一、關鍵信息基礎設施

 

《網(wǎng)絡安全法》第三十一條  國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

 

《網(wǎng)絡安全法》首次提出“關鍵信息基礎設施”的概念并對其范圍進行了明確。根據(jù)《網(wǎng)絡安全法》的規(guī)定，我們可以大體將關鍵信息基礎設施劃分為以下五大類：（1）基礎信息網(wǎng)絡，主要包括廣電網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)；（2）重要行業(yè)和公共服務領域的重要信息系統(tǒng)，例如核島控制系統(tǒng)、銀聯(lián)交易系統(tǒng)、智能交通系統(tǒng)、供水管網(wǎng)信息管理系統(tǒng)、社保信息系統(tǒng)等；（3）電子政務，例如電子政務系統(tǒng)、政府門戶網(wǎng)站等；（4）國家安全網(wǎng)絡，例如軍事通信網(wǎng)、軍隊指揮自動化系統(tǒng)等；（5）用戶數(shù)量眾多的網(wǎng)絡服務商系統(tǒng)，例如百度、阿里、騰訊等IT巨頭運營的特定網(wǎng)絡和系統(tǒng)等。對于前述關鍵信息基礎設施的分類和范圍劃分只是學者和行業(yè)從業(yè)者的一些解讀，關鍵信息基礎設施的具體范圍和安全保護辦法還有待國務院后續(xù)制定法規(guī)確定，建議企業(yè)應當密切關注。根據(jù)國家網(wǎng)信辦網(wǎng)絡安全協(xié)調局負責人的說法，目前國家互聯(lián)網(wǎng)信息辦公室正會同有關部門按照《網(wǎng)絡安全法》的要求，抓緊研究制定相關指導性文件和標準，指導相關行業(yè)領域明確關鍵信息基礎設施的具體范圍。

 

在《網(wǎng)絡安全法》出臺以前，現(xiàn)有法律條文中并沒有給出關鍵信息基礎設施的明確概念，在涉及重要或者關鍵的信息基礎設施的保護時經(jīng)常處于無法可依的狀況或者存在相關法規(guī)層級較低而無法有力保護的情況�，F(xiàn)有法規(guī)文件主要從重大基礎設施、重點領域網(wǎng)絡與信息系統(tǒng)等幾個方面做出了規(guī)定。

 

重大基礎設施:“《國務院辦公廳關于開展重大基礎設施安全隱患排查工作的通知》國辦發(fā)〔2007〕58號”中使用了“重大基礎設施”的概念，并列舉了公路、鐵路、水運交通設施、大型水利設施、大型煤礦、重要電力設施、石油天然氣設施、城市基礎設施等九種類別。

 

重點領域網(wǎng)絡與信息系統(tǒng):《2012年重點領域網(wǎng)絡與信息安全檢查總結報告》中指出各重點領域的“重要網(wǎng)絡與信息系統(tǒng)”，其中的調查報告則初步列舉了我國多個關系國家安全、經(jīng)濟秩序正常運行和社會穩(wěn)定的“關鍵網(wǎng)絡與信息系統(tǒng)”。初步劃定了我國信息安全保障的重點。

 

二、“三同步”原則

 

《網(wǎng)絡安全法》第三十三條  建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，并保證安全技術措施同步規(guī)劃、同步建設、同步使用。

 

《網(wǎng)絡安全法》明確建設關鍵信息基礎設施的三同步原則。三同步原則以“同步規(guī)劃、同步建設、同步使用”為指導思想，本著“誰主管、誰負責”工作原則落實執(zhí)行，在系統(tǒng)生命周期各階段明確責任部門及安全職責，在全過程中推行安全同步開展，強化安全工作前移，降低運維階段的服務壓力�！毒W(wǎng)絡安全法》的三同步原則在《安全生產(chǎn)法》、《環(huán)境影響評價法》中都有類似規(guī)定，經(jīng)過長期的實施也已經(jīng)相對規(guī)范，建議企業(yè)在應對新法實施中的具體問題時可以參考前述規(guī)定的實施情況來理解、落實具體項目的“三同步原則”。

 

企業(yè)在具體落實三同步原則時，可以從以下方面理解三同步原則：

 

同步規(guī)劃：在業(yè)務規(guī)劃的階段同步納入安全要求，引入安全措施。

 

同步建設：在項目建設階段，通過合同條款落實系統(tǒng)集成商、廠商的責任，保證相關安全技術措施的順利準時建設；保證項目上線時，安全措施的驗收和工程驗收同步，確保只有符合安全要求的系統(tǒng)才能上線。

 

同步使用：安全驗收后的日常運營維護中，應當保持系統(tǒng)處于持續(xù)安全防護水平。

 

三、網(wǎng)絡安全審查制度

 

《網(wǎng)絡安全法》第三十五條  關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家網(wǎng)信部門會同國務院有關部門組織的國家安全審查。

 

根據(jù)《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》第五至第八條規(guī)定，網(wǎng)絡安全審查工作的組織和領導工作由網(wǎng)絡安全審查委員會承擔，該委員會由國家網(wǎng)信辦會同有關部門成立。委員會下設網(wǎng)絡安全審查辦公室，網(wǎng)絡安全審查辦公室具體組織實施網(wǎng)絡安全審查。此外，委員會還組建網(wǎng)絡安全審查專家委員會。網(wǎng)絡安全審查委員會、辦公室、專家委員會整體構成了網(wǎng)絡安全審查工作的頂層制度設計�！毒W(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》同時明確“重點審查網(wǎng)絡產(chǎn)品和服務的安全性、可控性”。

 

《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》第十二條  網(wǎng)絡產(chǎn)品和服務提供者應當對網(wǎng)絡安全審查工作予以配合，并對提供材料的真實性負責。第三方機構等相關單位和人員對審查工作中獲悉的信息等承擔安全保密義務，不得用于網(wǎng)絡安全審查以外的目的。

 

《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》第十四條  網(wǎng)絡產(chǎn)品和服務提供者認為第三方機構等相關單位和人員有失客觀公正，或未能對審查工作中獲悉的信息承擔安全保密義務的，可以向網(wǎng)絡安全審查辦公室或者有關部門舉報。

 

安全審查中還需要注意的一點是網(wǎng)絡產(chǎn)品和服務提供者的注意事項，金融機構經(jīng)常會采購的設備和軟件很多可能屬于關鍵信息基礎設施的范疇，建議在未來采購中要求供應商提供有關的安全認證和安全檢測結果。對于尚未明確的判斷標準，金融機構應當持續(xù)關注后續(xù)配套法規(guī)的出臺以及相關部門在實施中作出的解讀。

 

四、網(wǎng)絡安全服務機構

 

《網(wǎng)絡安全法》第三十八條  關鍵信息基礎設施的運營者應當自行或者委托網(wǎng)絡安全服務機構對其網(wǎng)絡的安全性和可能存在的風險每年至少進行一次檢測評估，并將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。

 

《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》第七條  國家依法認定網(wǎng)絡安全審查第三方機構，承擔網(wǎng)絡安全審查中的第三方評價工作。

 

《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》第十一條  承擔網(wǎng)絡安全審查的第三方機構，應當堅持客觀、公正、公平的原則，按照國家有關規(guī)定，參照有關標準，重點從產(chǎn)品和服務及其供應鏈的安全性、可控性，安全機制和技術的透明性等方面進行評價，并對評價結果負責。

 

現(xiàn)有規(guī)定未就網(wǎng)絡安全服務機構的資質和評估標準作出具體規(guī)定。根據(jù)《網(wǎng)絡安全法》的描述，網(wǎng)絡安全服務機構負責對網(wǎng)絡的安全風險進行檢測評估，而《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》規(guī)定，國家將統(tǒng)一認定網(wǎng)絡安全審查第三方機構，并由經(jīng)認定的機構承擔網(wǎng)絡安全審查中的第三方評價工作。因此，我們認為網(wǎng)絡安全服務機構應當是經(jīng)認定的網(wǎng)絡安全審查第三方評價機構。

 

五、結語

 

為了維護國家安全、經(jīng)濟安全和保障民生，《網(wǎng)絡安全法》設專節(jié)對關鍵信息基礎設施作了規(guī)定，范圍包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域等，在數(shù)據(jù)安全、網(wǎng)絡安全問題日益突出的今天，顯然是十分必要的，對相關行業(yè)業(yè)務的發(fā)展必然帶來深遠影響，我們團隊也將持續(xù)關注新法實施后的行業(yè)動向。