⑴ 什么是关键信息基础设施
随着互联网、物联网、5G技术的飞速发展以及人工智能、云计算、机器学习等新一代信息技术的广泛应用,承载着大量国家基础数据、重要政务数据以及公民个人数据的重要信息系统——关键信息基础设施成为社会运行的神经中枢和网络安全的重中之重。
那么到底哪些系统属于关键信息基础设施呢?网络安全技术研究所支撑团队对此进行了跟踪研究。
目前全世界范围内有59个国家及组织对关键信息基础设施进行了界定。我们将介绍包括中国在内的6个国家对关键信息基础设施的界定:
一
美国
美国在2012年网络安全法中,将关键基础设施界定为对美国至关重要的系统和资产(无论物理的或虚拟的),一旦此类系统和资产失效或被破坏,足以导致大规模伤亡事件、全国性长时间停工、灾难性经济损害或者国家安全严重恶化,“灾难性经济损害”是指美国金融市场、交通系统的崩溃或根本性破坏,或者对美国经济造成其他长期系统性的损害。在2013年第21号总统令中,美国重新确定了16类关键基础设施,具体类别和主管部门如下:
国土安全部:化工、商业设施、通讯、关键制造、水利、应急服务、信息技术、核反应堆材料及其废弃物国防部:国防工业基础能源部:能源财政部:金融服务农业部与卫生和公共服务部:食品和农业国土安全和总务局:政府设施卫生及公共服务部:医疗保健和公共健康国土安全部和交通部:交通运输系统环境保护局:水和污水处理系统
二
欧盟
2004年10月欧委会公布了《反恐怖主义中的关键基础设施保护通讯》,其中指出,关键基础设施是指如果被中断或被破坏,将会对欧盟公民的健康、安全、经济安全和福利,以及欧盟政府发挥有效职能造成严重影响的这些物理的和信息技术的设施、网络、业务和资产,具体包括:能源装置和网络;通信和信息技术;金融(银行、证券和投资);卫生医疗、食品;自来水;运输(基建、码头、联合运输设施、铁路和公共交通网络、交通控制系统)六大类。
三
德国
德国于2015年8月通过了《联邦信息技术安全法》修正案,将关键基础设施定义为对社会运行具有重要意义,其停运或受损将造成严重供应不足或危及公共安全的设施。关于关键信息基础设施的范围,由联邦内政部制定法律条例进行确定。哪些机构或部门被斗改纳入关键信息基础设施的范围,联邦内政部从以下两个层面进行考量:一是因安全事件导致该设施停止运行或受损会造成供应瓶颈或者给公共安全造成重大危害;二是上述损害结果会影响相当数量的人口。依照上述标准,德国将卫生与健康、信息与通信服务、供水、能源、交通运输、金融以及食品供应等纳入关键信息基础设施的范畴。
四
日本
日本《网络安全战略》将关键信息基础设施界定为由提供高度不可替代且对人们日常生活和经济活动不可或缺的商业实体组成,如果其服务的职能中止,恶化或变得不可用,可能会对人们的日常生活或经济活动产生重大影响。关于关键基础设施领域的划定,日本最初确定了信息通信、金融、航空、铁路、电力、燃气、政府及行政服务七个关键领域,2005年12月增加了医疗、供排水系统、物流三个领域,2014年5月又增加了化工、信贷、石油三个领域。
五
澳大利亚
澳大利亚认为关键基础设施是指如被长时间破坏、退化或无法使用,会对社会或经济产生重大影响乃至影响国家安全或国防的基础设施。关键信息基础设施则是指支持关键基础设施运行的信息系统。澳大利亚将关键基础设施分为十大类:
通信类:包括电信(电话、传真、互联网、有线电视、卫星)和电子传媒通信;能源类:包括天然气、汽油燃料、炼油厂、输油管道、发电和供电、核研究反应堆等;金融类:包括银行、保险和证券交易;食品供应类:包括批量生产、储藏和配送;政府服务类:包括国防和情报设施、国会两院、关键政府部门、外交使团和关键宅第、应急服务(警察、消防、急救);医疗保健类:包括医院、公众健康和研究与开发实验室;制造类:包括国防工业、重工业和化学工业;国家标志类:包括建筑物(如悉尼歌剧院)、文化、体育和旅游;交通类:包括空中交通管制、公路、海洋、铁路和内陆运输(货运中心);公用事业类:包括水、废水和废料管理。六
中国
2016年11月7日,我国《网络安全法》发布,将我国的关键信息基础设施界定为公共通信和信息服务、能源、交通、水利、金融告渗、公共服务、电子政务等重要行业和领域,以袜销脊及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络和系统。并授权国务院确定关键信息基础设施的具体范围。《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
2016年12月28日 《国家网络空间安全战略》发布 ,这份具备指导国家网络安全工作的纲领性文件中强调要“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。坚持技术和管理并重、保护和震慑并举,着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”
由上可以看到,尽管不同的国家和地区,在关键信息基础设施的界定上有所差异,但都将关键信息基础设上升到维护国家安全和公共安全的高度,在界定“关键信息基础设施”及其范围时强调国家安全和公共安全。所谓的“关键”是指事关国家安全和公共安全。具体而言,关键性既可以解释为作为系统概念的关键性,即某个基础设施或其某个组件在整个基础设施系统中的地位非常重要,特别是其在其他基础设施或部门之间起着链接渠道的作用;也可以解释为其在社会中担任的角色或发挥的功能使其与生俱来就具有关键性意义。
⑵ 关键信息基础设施安全保护要求
关键信息基础设施安全保护条例是为了保障关慎旦键信息基础设施安全,维护网络安全,根据《中华人民共和国网络安键孝旁全法》制定的。关键信息基础设施安全直接关系到国家安全、国计民生和公共利益,关键信息基础设施的安全保护成为维护国家网络安全的重中之重。
网络安全标准是保障国家关键信息基础设施的重要技术要素。从关键信息基础稿橡设施的识别认定、安全防护、检查评估、监测预警、应急处置等各个方面,都离不开标准的规范和引领。
关键信息基础设施相关标准为各行业各领域关键信息基础设施识别提供指导,为提高运营者自身安全防护能力和水平提供技术支撑,为规范开展安全检查与评估提供标准依据,为统筹协调相关领域信息共享、监测预警、应急处置、考核评价等提供方法指引,为保障关键信息基础设施全生命周期安全提供标准化支撑。网络安全标准化工作为筑牢关键信息基础设施安全屏障,维护国家网络安全发挥越来越重要的作用。
《中华人民共和国网络安全法》第三十九条 国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:
(一)对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估;
(二)定期组织关键信息基础设施的运营者进行网络安全应急演练,提高应对网络安全事件的水平和协同配合能力;
(三)促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享;
(四)对网络安全事件的应急处置与网络功能的恢复等,提供技术支持和协助。
第三十八条 关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。
第三十四条 除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)法律、行政法规规定的其他义务。
⑶ 网络安全法规定国家什么关键信息基础
网络安全法重视发挥网络安全服务机构的重要作用,对行业发展亦形成长期利好支撑,不仅为我国关键信息基础设施安全保护提供了先进的理念,可操作的解决方案,精细的工作指导,对“关键信息基础设施的运行安全”进行落实、细化和完善,体现了国家顶层设计的通盘考虑。
法律依据:
《中华人民共和国网络安全法》
第三条国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设和互联互通,鼓励网络技术创新和应用,支持培养网络安全人才,建立健全网络安全保障体系,提高网络安全保护能力。
第四条国家制定并不断完善网络安全战略,明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。
第五条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。
第六条国家倡导诚实守信、健康文明的网络行为,推动传播社会主义核心价值观,采取措施提高全社会的网络安全意识和水平,形成全社会共同参与促进网络安全的良好环境。
第七条国家积极开展网络空间治理、网络技术研发和标准制定、打击网络违法犯罪等方面的国际交流与合作,推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。
⑷ 聚焦关键信息基础设施,网络安全保护迎新政
鉴于此,网络安全保护势在必行且刻不容缓。通过对硬件、软件和数据的保护,让网络系统运行安全,网络服务正常提供,成为我国发展的关键所在。在此背景下,此前我国已经出台了《网络安全漏洞管理规定》、《密码法草案》等多部法规,给予网络安全重视、鼓励和引导,为发展提供法律保障与护航。
而近日,我国也是再度发布《关键信息基础设施安全保护条例》,将网络安全保护推向新阶段。据悉,这是我国首部专门针对关键信息技术设施安全保护工作的行政法规。其主要从范围定义、责任义务归属、实施落地以及追责等方面,对我国网络安全保障的核心要素及关键战略性资源进行了明确规定与部署。
根据条例表示,所谓关键信息基础设施,主要是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防 科技 工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
从《条例》看,关键信息基础设施的认定,行业主管部门有重要决定权,是否属于关键信息基础设施,核心在于业务是否重要。关键信息基础设施的范围会随着业务的影响而改变,随着信息化潮流的发展而扩展。因此《条例》明确,要通过一个国家统筹的多级立体化协同综合防控体系来有效保护。
在《条例》中,重点强调了运营商的责任和义务。《条例》明确,运营者应当建立健全网络安全保护制度和责任制,保障人力、财力、物力投入。运营者应当设置专门安全管理机构,并对专门安全管理机构负责人和关键岗位人员进行安全背景审查。此外,运营者应当优先采购安全可信的网络产品和服务。
若运营者有任何违规行为的,有关主管部门可依据职责责令改正,或给予警告;若拒不改正或者导致危害网络安全等后果的,可处10万元以上100万元以下罚款,并对直接负责的主管人员处1万元以上10万元以下罚款。同时,有关部门未能履行关保护监督职责的,也将依法对主管人员给予处分。
而针对实施危害关键信息基础设施安全活动的个人和组织,《条例》也作出相应规范。其特别强调,任何个人和组织不得实施非法侵入、干扰、破坏关键信息基础设施的活动,不得危害关键信息基础设施安全;对基础电信网络实施漏洞探测、渗透性测试等活动,应当事先向国务院电信主管部门报告,否则违法必究。
总的来看,《关键信息基础设施安全保护条例》作为网络安全法的重要配套立法,对国内外网络安全保护的主要问题和发展趋势进行了积极应对,为下一步加强关键信息基础设施安全保护工作提供了重要法治保障。按照计划,《条例》将自2021年9月1日起正式施行,届时我国网络安全保护将迈入全新阶段。