⑴ 什麼是關鍵信息基礎設施
隨著互聯網、物聯網、5G技術的飛速發展以及人工智慧、雲計算、機器學習等新一代信息技術的廣泛應用,承載著大量國家基礎數據、重要政務數據以及公民個人數據的重要信息系統——關鍵信息基礎設施成為社會運行的神經中樞和網路安全的重中之重。
那麼到底哪些系統屬於關鍵信息基礎設施呢?網路安全技術研究所支撐團隊對此進行了跟蹤研究。
目前全世界范圍內有59個國家及組織對關鍵信息基礎設施進行了界定。我們將介紹包括中國在內的6個國家對關鍵信息基礎設施的界定:
一
美國
美國在2012年網路安全法中,將關鍵基礎設施界定為對美國至關重要的系統和資產(無論物理的或虛擬的),一旦此類系統和資產失效或被破壞,足以導致大規模傷亡事件、全國性長時間停工、災難性經濟損害或者國家安全嚴重惡化,「災難性經濟損害」是指美國金融市場、交通系統的崩潰或根本性破壞,或者對美國經濟造成其他長期系統性的損害。在2013年第21號總統令中,美國重新確定了16類關鍵基礎設施,具體類別和主管部門如下:
國土安全部:化工、商業設施、通訊、關鍵製造、水利、應急服務、信息技術、核反應堆材料及其廢棄物國防部:國防工業基礎能源部:能源財政部:金融服務農業部與衛生和公共服務部:食品和農業國土安全和總務局:政府設施衛生及公共服務部:醫療保健和公共健康國土安全部和交通部:交通運輸系統環境保護局:水和污水處理系統
二
歐盟
2004年10月歐委會公布了《反恐怖主義中的關鍵基礎設施保護通訊》,其中指出,關鍵基礎設施是指如果被中斷或被破壞,將會對歐盟公民的健康、安全、經濟安全和福利,以及歐盟政府發揮有效職能造成嚴重影響的這些物理的和信息技術的設施、網路、業務和資產,具體包括:能源裝置和網路;通信和信息技術;金融(銀行、證券和投資);衛生醫療、食品;自來水;運輸(基建、碼頭、聯合運輸設施、鐵路和公共交通網路、交通控制系統)六大類。
三
德國
德國於2015年8月通過了《聯邦信息技術安全法》修正案,將關鍵基礎設施定義為對社會運行具有重要意義,其停運或受損將造成嚴重供應不足或危及公共安全的設施。關於關鍵信息基礎設施的范圍,由聯邦內政部制定法律條例進行確定。哪些機構或部門被斗改納入關鍵信息基礎設施的范圍,聯邦內政部從以下兩個層面進行考量:一是因安全事件導致該設施停止運行或受損會造成供應瓶頸或者給公共安全造成重大危害;二是上述損害結果會影響相當數量的人口。依照上述標准,德國將衛生與健康、信息與通信服務、供水、能源、交通運輸、金融以及食品供應等納入關鍵信息基礎設施的范疇。
四
日本
日本《網路安全戰略》將關鍵信息基礎設施界定為由提供高度不可替代且對人們日常生活和經濟活動不可或缺的商業實體組成,如果其服務的職能中止,惡化或變得不可用,可能會對人們的日常生活或經濟活動產生重大影響。關於關鍵基礎設施領域的劃定,日本最初確定了信息通信、金融、航空、鐵路、電力、燃氣、政府及行政服務七個關鍵領域,2005年12月增加了醫療、供排水系統、物流三個領域,2014年5月又增加了化工、信貸、石油三個領域。
五
澳大利亞
澳大利亞認為關鍵基礎設施是指如被長時間破壞、退化或無法使用,會對社會或經濟產生重大影響乃至影響國家安全或國防的基礎設施。關鍵信息基礎設施則是指支持關鍵基礎設施運行的信息系統。澳大利亞將關鍵基礎設施分為十大類:
通信類:包括電信(電話、傳真、互聯網、有線電視、衛星)和電子傳媒通信;能源類:包括天然氣、汽油燃料、煉油廠、輸油管道、發電和供電、核研究反應堆等;金融類:包括銀行、保險和證券交易;食品供應類:包括批量生產、儲藏和配送;政府服務類:包括國防和情報設施、國會兩院、關鍵政府部門、外交使團和關鍵宅第、應急服務(警察、消防、急救);醫療保健類:包括醫院、公眾健康和研究與開發實驗室;製造類:包括國防工業、重工業和化學工業;國家標志類:包括建築物(如悉尼歌劇院)、文化、體育和旅遊;交通類:包括空中交通管制、公路、海洋、鐵路和內陸運輸(貨運中心);公用事業類:包括水、廢水和廢料管理。六
中國
2016年11月7日,我國《網路安全法》發布,將我國的關鍵信息基礎設施界定為公共通信和信息服務、能源、交通、水利、金融告滲、公共服務、電子政務等重要行業和領域,以襪銷脊及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的網路和系統。並授權國務院確定關鍵信息基礎設施的具體范圍。《網路安全法》強調在網路安全等級保護制度的基礎上,對關鍵信息基礎設施實行重點保護,明確關鍵信息基礎設施的運營者負有更多的安全保護義務,並配以國家安全審查、重要數據強制本地存儲等法律措施,確保關鍵信息基礎設施的運行安全。
2016年12月28日 《國家網路空間安全戰略》發布 ,這份具備指導國家網路安全工作的綱領性文件中強調要「採取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞。堅持技術和管理並重、保護和震懾並舉,著眼識別、防護、檢測、預警、響應、處置等環節,建立實施關鍵信息基礎設施保護制度,從管理、技術、人才、資金等方面加大投入,依法綜合施策,切實加強關鍵信息基礎設施安全防護。」
由上可以看到,盡管不同的國家和地區,在關鍵信息基礎設施的界定上有所差異,但都將關鍵信息基礎設上升到維護國家安全和公共安全的高度,在界定「關鍵信息基礎設施」及其范圍時強調國家安全和公共安全。所謂的「關鍵」是指事關國家安全和公共安全。具體而言,關鍵性既可以解釋為作為系統概念的關鍵性,即某個基礎設施或其某個組件在整個基礎設施系統中的地位非常重要,特別是其在其他基礎設施或部門之間起著鏈接渠道的作用;也可以解釋為其在社會中擔任的角色或發揮的功能使其與生俱來就具有關鍵性意義。
⑵ 關鍵信息基礎設施安全保護要求
關鍵信息基礎設施安全保護條例是為了保障關慎旦鍵信息基礎設施安全,維護網路安全,根據《中華人民共和國網路安鍵孝旁全法》制定的。關鍵信息基礎設施安全直接關繫到國家安全、國計民生和公共利益,關鍵信息基礎設施的安全保護成為維護國家網路安全的重中之重。
網路安全標準是保障國家關鍵信息基礎設施的重要技術要素。從關鍵信息基礎稿橡設施的識別認定、安全防護、檢查評估、監測預警、應急處置等各個方面,都離不開標準的規范和引領。
關鍵信息基礎設施相關標准為各行業各領域關鍵信息基礎設施識別提供指導,為提高運營者自身安全防護能力和水平提供技術支撐,為規范開展安全檢查與評估提供標准依據,為統籌協調相關領域信息共享、監測預警、應急處置、考核評價等提供方法指引,為保障關鍵信息基礎設施全生命周期安全提供標准化支撐。網路安全標准化工作為築牢關鍵信息基礎設施安全屏障,維護國家網路安全發揮越來越重要的作用。
《中華人民共和國網路安全法》第三十九條 國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全保護採取下列措施:
(一)對關鍵信息基礎設施的安全風險進行抽查檢測,提出改進措施,必要時可以委託網路安全服務機構對網路存在的安全風險進行檢測評估;
(二)定期組織關鍵信息基礎設施的運營者進行網路安全應急演練,提高應對網路安全事件的水平和協同配合能力;
(三)促進有關部門、關鍵信息基礎設施的運營者以及有關研究機構、網路安全服務機構等之間的網路安全信息共享;
(四)對網路安全事件的應急處置與網路功能的恢復等,提供技術支持和協助。
第三十八條 關鍵信息基礎設施的運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估,並將檢測評估情況和改進措施報送相關負責關鍵信息基礎設施安全保護工作的部門。
第三十四條 除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:
(一)設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;
(二)定期對從業人員進行網路安全教育、技術培訓和技能考核;
(三)對重要系統和資料庫進行容災備份;
(四)制定網路安全事件應急預案,並定期進行演練;
(五)法律、行政法規規定的其他義務。
⑶ 網路安全法規定國家什麼關鍵信息基礎
網路安全法重視發揮網路安全服務機構的重要作用,對行業發展亦形成長期利好支撐,不僅為我國關鍵信息基礎設施安全保護提供了先進的理念,可操作的解決方案,精細的工作指導,對「關鍵信息基礎設施的運行安全」進行落實、細化和完善,體現了國家頂層設計的通盤考慮。
法律依據:
《中華人民共和國網路安全法》
第三條國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。
第四條國家制定並不斷完善網路安全戰略,明確保障網路安全的基本要求和主要目標,提出重點領域的網路安全政策、工作任務和措施。
第五條國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序。
第六條國家倡導誠實守信、健康文明的網路行為,推動傳播社會主義核心價值觀,採取措施提高全社會的網路安全意識和水平,形成全社會共同參與促進網路安全的良好環境。
第七條國家積極開展網路空間治理、網路技術研發和標准制定、打擊網路違法犯罪等方面的國際交流與合作,推動構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的網路治理體系。
⑷ 聚焦關鍵信息基礎設施,網路安全保護迎新政
鑒於此,網路安全保護勢在必行且刻不容緩。通過對硬體、軟體和數據的保護,讓網路系統運行安全,網路服務正常提供,成為我國發展的關鍵所在。在此背景下,此前我國已經出台了《網路安全漏洞管理規定》、《密碼法草案》等多部法規,給予網路安全重視、鼓勵和引導,為發展提供法律保障與護航。
而近日,我國也是再度發布《關鍵信息基礎設施安全保護條例》,將網路安全保護推向新階段。據悉,這是我國首部專門針對關鍵信息技術設施安全保護工作的行政法規。其主要從范圍定義、責任義務歸屬、實施落地以及追責等方面,對我國網路安全保障的核心要素及關鍵戰略性資源進行了明確規定與部署。
根據條例表示,所謂關鍵信息基礎設施,主要是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防 科技 工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網路設施、信息系統等。
從《條例》看,關鍵信息基礎設施的認定,行業主管部門有重要決定權,是否屬於關鍵信息基礎設施,核心在於業務是否重要。關鍵信息基礎設施的范圍會隨著業務的影響而改變,隨著信息化潮流的發展而擴展。因此《條例》明確,要通過一個國家統籌的多級立體化協同綜合防控體系來有效保護。
在《條例》中,重點強調了運營商的責任和義務。《條例》明確,運營者應當建立健全網路安全保護制度和責任制,保障人力、財力、物力投入。運營者應當設置專門安全管理機構,並對專門安全管理機構負責人和關鍵崗位人員進行安全背景審查。此外,運營者應當優先採購安全可信的網路產品和服務。
若運營者有任何違規行為的,有關主管部門可依據職責責令改正,或給予警告;若拒不改正或者導致危害網路安全等後果的,可處10萬元以上100萬元以下罰款,並對直接負責的主管人員處1萬元以上10萬元以下罰款。同時,有關部門未能履行關保護監督職責的,也將依法對主管人員給予處分。
而針對實施危害關鍵信息基礎設施安全活動的個人和組織,《條例》也作出相應規范。其特別強調,任何個人和組織不得實施非法侵入、干擾、破壞關鍵信息基礎設施的活動,不得危害關鍵信息基礎設施安全;對基礎電信網路實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告,否則違法必究。
總的來看,《關鍵信息基礎設施安全保護條例》作為網路安全法的重要配套立法,對國內外網路安全保護的主要問題和發展趨勢進行了積極應對,為下一步加強關鍵信息基礎設施安全保護工作提供了重要法治保障。按照計劃,《條例》將自2021年9月1日起正式施行,屆時我國網路安全保護將邁入全新階段。