论我国关键信息基础设施的保障对策

赵帅　廖根为

内容摘要：关键信息基础设施已逐渐成为国家安全战略重点，然而我国现阶段对关键信息基础设施保障仍存在许多不足之处。技术上，缺乏完善有效的脆弱性评估体系，安全技术应用水平较低；法律上，相关规定较零乱，缺乏专门性法律规定。为此，技术上应完善安全风险评估机制，加大技术创新支持力度；法律上完善相关法律法规，加强法律保护力度；思想道德上应加强建设；监管上加强主体责任义务，完善分期多级的交互监管机制。

关键词：关键信息基础设施；技术保障；法律保障；保障对策

以数字化形式存在的信息，其自身无法单独存在，它必须按照一定的规则存储在一定的硬件设施上。电子数据的交换和共享也依赖于物理的计算机基础设施，这些设施是数据安全运行的承载体。其中，部分硬件基础设施及其运行系统的安全性尤显重要，若其遭受破坏，将对国家安全、社会经济秩序、公共安全以及公民权益将产生不可预估的影响。对于这些关键信息基础设施如何重点保护，事关国家安全，对其专门研究有十分重要的意义。

一、 关键信息基础设施的概念

随着科学技术的发展，国家基础设施已逐步实现信息化，这些信息基础设施一旦遭受破坏，其对国家、社会和个人的危害无法估量，因而应对其给予重点保护。关键信息基础设施（Critical information infrastructure，CII）一直都是各国网络安全战略的重点，甚至是国家安全战略的组成结构之一。 因此，各国都对关键信息基础设施进行立法保护、技术保障，建立健全关键信息基础设施保护机制。关键基础设施（Critical infrastructure，CI）是关键信息基础设施的上位概念，关键信息基础设施的安全保护源于各国针对关键基础设施的保护。虽然二者并不完全一致，但在大多情况下可混同相待。

作为关键基础设施安全的关键信息基础设施安全的衍生定义，应从关键基础设施的含义出发，对关键信息基础设施明确定义。美国《爱国者法案》中对关键基础设施有着较为成熟的定义：“对美国极为重要的物理或虚拟的系统、资产，受到破坏或失去正常运转能力时，将会对美国国家安全、经济安全、公民健康、公共安全等诸多安全领域中一项或多项产生破坏性影响。” 2009年美国《国家基础设施保护计划》对关键信息基础设施定义如下：“电子信息和通信系统以及其中信息，其中电子信息和通信系统对各类型数据进行收集、存储、分析、处理、通信的软硬件所组成，其中包括计算机信息系统、控制系统和网络。” 因此，关键基础设施和关键信息基础设施具有共同的保护目的，即国家、社会公共安全，国民经济秩序以及公民权利。关键信息基础设施是指涉及国家重点领域，如政府、银行证券、石油石化、国防军工、医疗卫生、轨道交通、民航铁路等等方面的确保国家、地区社会正常运行的公共信息服务系统，是社会赖以运转的物质条件。它具体包含了诸如通信管道、网络设备、机房配件以及相关配套的数据运行的物理和软件设施。

二、关键信息基础设施专门保护的必要性

对关键信息基础设施实施专门保护，不仅仅依赖相关的计算机科学技术水平，还需要有一套成熟的技术管理制度和相应的法律法规的支撑，这些恰恰是容易忽视的环节。

（一）法律方面的不足

纵观我国涉及关键信息基础设施的法规，还未就关键信息基础设施出台专门性的规定，散见于各层次法律中，隐含在网络安全方面的惩罚性或保护性规定中，其中效力最高当属刑法规定。刑法以破坏广播电视设施、公用电信设施罪和扰乱无线电管理秩序罪对破坏关键信息基础设施的行为作直接评价，但关键信息基础设施范围明显超出广播电视、公用电信设施和无线电这三种设施，刑法因此无法全面评价对针对关键信息基础设施的犯罪行为。此外，由于计算机信息系统通常与承载其运行的物理性设施的安全性紧密结合，破坏数据运行系统的关键基础设施往往也会影响或破坏信息系统的正常运行，因此，部分针对关键信息基础设施犯罪行为也可以以破坏计算机信息系统罪的方式进行惩治。但这种评价方式将物理性破坏硬件设施和对计算机信息系统功能进行删除、修改、增加、干扰的方式糅杂在一起，与立法原意相差甚远，并且没有很好地区分物理设施和信息系统的价值差异。重要信息系统本身和蕴含的电子数据是直接承载重要价值的信息，更关注电子数据的机密性、完整性、可用性，如国家绝密性文件、军事的战略部署计划。而关键信息基础设施更偏向于财产属性，同时也间接影响信息系统安全，进而造成国家、社会重要运转系统的瘫痪，对国家安全、国民经济以及公民造成影响。因此，这二者不能等同进行评价。由此分析，在信息安全保障法律体系中，缺乏关键信息基础设施的独立性规范，对关键信息基础设施的进行专门立法保护具有法理基础、社会经济基础以及现实意义。

（二）技术制度方面的不足

虽然我国已经逐渐加大对关键信息基础设施的保护力度，但在保护技术和标准上还存在不足之处。

第一，缺乏完善有效的信息设施脆弱性评估机制。大多数的关键信息基础设施的运营者还未形成统一的行业安全评估标准，缺乏规范的针对设施脆弱性和风险的评估检测机制。并且没有完善的事后安全恢复计划和指南，无法明确哪些环节需要加强重点保护以及评估，这些给安全保障带来极大隐患。

第二，技术产品自主化程度相对较低。我国在涉及国家核心网络安全的元器件、关键芯片等等软件、硬件、通信设备的基础产品自主性以及可控能力较低，较为严重地依赖进口产品，技术标准也基本引进于国外，国外公司有可能对系统进行远程控制而实施攻击， 导致安全防护缺乏主动权，关键信息基础设施的相关产品的安全风险持续升高。 国家关键信息基础设施已经成为网络空间战略的核心目标，如果这些重点设施成为网络攻击的对象，嵌入未知的预置“后门”，将对我国金融、交通、电信等等关键信息基础设施安全造成不可预测的影响，直接威胁国家安全。

第三，安全技术应用水平较低。有效的安全保障技术是保护关键信息基础设施的重要屏障。如何提高安全技术是当前安全保障中不容忽视的问题，这些安全技术可能包括关键基础设施的应急防御技术、密码保护控制技术等。但目前我国安全技术与国外仍有较大差距，实际应用于产品设计还缺乏一定的实际可执行性。

三、关键信息基础设施的防控策略

根据当前我国关键信息基础设施安全保障建设起步较晚的情况，立法和实践均存在一定的现实问题。笔者认为可从法律、技术、思想道德建设以及监管机制方面提出以下防控策略。

（一）法律方面

1.构建法律顶层设计，明确各方法律责任

关键信息基础设施防护缺乏高层次法律法规，保护的滞后性日趋明显，因此亟需构建顶层设计，制定统一协调的关键信息基础设施防护体系，完善关键信息基础设施管理和责任追究体制。目前来看，需要进一步完善和改进网络安全法（草案），厘清关键信息基础设施的定义、基本保护原则，明确以及协调各方保护责任，避免出现推诿免责的问题。

2. 专门立法，加强法律保护力度

针对关键信息基础设施保护通常以会议通知或报告的形式加以说明，现行法律保护力度明显孱弱，专门法律保障仍属空白，至今没有一部关于关键信息基础设施的专门立法。因此，需要进行针对关键信息基础设施专项立法，建立健全高低层级相辅、法律和技术规范相协调的关键信息基础设施法律保护体系，加强针对关键信息基础设施的保护力度。

3. 加强关键信息基础设施安全的刑事立法进程

国内外的重点关键信息基础设施大多采用公私相结合的结构形式，既有国家重点信息设施，如电信网络设施，也有社会公众服务信息设施，如重要的公益性组织信息网络设施，更有涉及面广，影响力大的公司企业，如阿里巴巴、腾讯公司的信息网络设施，为了保障国家安全、社会公共安全必须从刑事层次明确具体关键信息基础设施的刑法保护法益。因此，从具体分析每一类关键信息基础设施刑法应当保护的法益出发，修改现行刑法中涉及关键信息基础设施的存在冲突的法条规定。此外，关键信息基础设施涉及广泛，也应完善现行刑法还未涵盖的关键信息基础设施类型，形成完整的关键信息基础设施的刑法保护体系。

（二） 技术方面

1.建立技术排查机制，完善安全风险评估机制

当前我国某些重要的关键信息基础设施仍需发达国家的产品支持，而这无疑会产生潜在的安全威胁。因此，需要完善常态审查排除隐患机制，建立健全信息设施进口审查制度，对重要的服务器、路由器、交换机、存储器、计算机等重要网络设施进行技术审查，防范涉密信息的泄露，必要时可以和专门的信息安全机构合作，开展技术排除工作。

其次，建立安全评估和安全防治的循环保护机制。

安全评估：明确针对重要部门、组织和机构的关键信息基础设施的安全威胁来源；分析可能存在的被攻击点和脆弱点以及安全威胁对重点对象的影响层次；评价安全风险对关键对象的影响作用和是否每个特定风险都需要处置。

安全防治：实施正确的管理和技术方案，确保有效地阻止针对关键信息基础设施的安全威胁，及时建立预防保护机制，落实物理和系统逻辑的双重防护策略；实施监测或其他观测手段，监视当前所有活动和可能存在的安全隐患，评估潜在的影响因子；及时响应安全保护机制，具体解决破坏行为及其造成的后果；一旦发现并确认破坏行为或事实的存在，立即组织人员调查确定破坏事件的相关信息，激活防护机制，降低和限制破坏结果的扩散，防止破坏事件在短时间内再一次发生。

安全评估和安全防治需要循环不断的落实，建立动态防护模式，最大程度避免或减少破坏行为对关键信息基础设施的影响。

2. 加大技术创新支持力度，推动国产化信息设施开发建设

我国很多重要的信息资源服务器设立在境外，网络资源受制于他国。另外关键信息基础设施研发和保护技术的落后，这些势必会产生诸多安全隐患，甚至威胁到国家安全。因此，需要开发出针对我国国情的关键信息基础设施，设计专门的保护技术措施，逐渐减少和降低对国外网络资源和设施引进的数量和力度。加大针对关键信息基础设施技术研发支持力度，坚持自立创新的研发精神，推动信息设施开发建设的国产化进程。

（三）思想道德方面

信息犯罪行为的发生，是信息系统和网络用户公共道德观念差和法律意识薄弱促发引起的，提高信息犯罪的防范意识，更新信息安全观念是预防信息犯罪的必要举措。

首先，提高防范意识。信息安全方面存在的不足，除了互联网络、计算机信息系统设施本身存在的漏洞之外，大量公司、机构以及用户对网络安全预防意识薄弱，管理疏于防范，这也是导致信息犯罪成功的一个重要的原因，有必要在全社会范围内提高对于信息犯罪的思想防范意识。

其次，增进道德建设。道德与法律都是规范人们行为重要的手段，法律以外部强制性约束，道德以内心自发的方式约束，加强道德修养，形成良好的网络道德环境，全社会的道德防范可以影响广大网民自觉地远离一切网络违法行为，抵御互联网上一切黄色、下流、庸俗、反动、破坏性的事物。

（四）监管机制方面

关键信息基础设施是物理性设备，从信息设备的生产销购到安装调试，再到上线运营以及后期维护等各个阶段，都必须有相应的机构进行监督和管理。整个监管模式是由多级主体在信息设备的制造到维护的前中后期间，实施定点、定期、定级的监督和管理。做到每一个阶段、每一项进程、每一套设备、每一个组件都有制度标准可依，有专门系统监察，有专项人员管理，实现关键信息基础设施的有效保护。

1.构建分期多级的交互监管机制

关键信息基础设施关乎国家、国民经济利益和安全问题，无论是从国外引进还是国内自产，设备的制造销购必须有相应的规范标准和审核制度。尤其在现阶段，我国仍有很多涉及国家安全的机密信息设备主要依靠国外引进，这显然对国家、军事安全有着不可忽视的潜在威胁，因此在引进购买国外信息设备时必须进行严格而详尽的监督审查。随着我国核心信息技术和工业的不断创新发展，诸多关键设备逐渐国产化，需要对应用于重要部门的关键信息基础设施的设计、开发、制造等有标准化和机密性的重点要求，制定相应的监察制度。在设备的安装、调试直至上线运营都必须有适格的专门人员进行操作，避免出现破坏性、干扰性的漏洞。在信息设备正常运转之后，成立监察小组，定期对环境、设备、人员、系统等的检查，合理维护。除此之外，建立应急响应制度和风险评估机制，适时进行突发事件的应急响应演练。此阶段获取的信息应及时反馈给前中期的相关机构，交互共享相关问题与信息。

关键信息基础设施监察机制可由国家机关、相关部门机构以及企（事）业单位形成三级监管协作机制。国家机关颁布原则性的指导意见或文件，由相应的部门机构建立健全审查制度和详细的责任分配机制，再由实际掌控信息设备的企（事）业单位具体落实安保义务，设置安全管理人员，定期对设备操作人员进行网络安全教育、技术培训和技能考核，对重要的数据进行容灾备份，制定应急响应预案并定期组织演练。国家机关会同相关部门对引进或采购信息设备进行安全审查，统筹相关部门，建立协作机制，定期对重点部门、机构或企（事）业单位的关键信息基础设施的安全风险进行抽查检测和评估。相关部门、机构及时与重要的企（事）业单位进行沟通协作，促进运营者、网络安全机构、相关安全研究单位之间的信息共享。

2.明确各级主体的责任义务

监察机制由国家机关、部门机构、企（事）业单位三级主体构成。在实际运营中，只依运营者自身能力可能无法很好的保障关键信息基础设施的安全，必须引导外力加以辅助甚至主导特殊情况下的关键信息基础设施保护的实施。 因此，由国家相关部门对针对关键信息基础设施的应急处置建立应急备份和灾难恢复机制，承担救助义务。有重大影响的企（事）业单位和部分部门机构是主要的关键信息基础设施的实际运营者，负责落实日常安全维护和人员审查以及其他保护性措施。