一場肆虐全球的勒索病毒風(fēng)暴帶來互聯(lián)網(wǎng)災(zāi)難，不僅給廣大電腦用戶造成了巨大損失，同時嚴(yán)重影響到金融、能源、醫(yī)療、政府等眾多關(guān)系國家安全、國計民生、公共利益的關(guān)鍵行業(yè)部門，造成嚴(yán)重的危機(jī)。從中引出的“關(guān)鍵信息基礎(chǔ)設(shè)施”安全問題成為網(wǎng)絡(luò)安全、信息安全的重中之重。

 

一、關(guān)鍵信息基礎(chǔ)設(shè)施

 

《網(wǎng)絡(luò)安全法》第三十一條  國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實行重點保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。

 

《網(wǎng)絡(luò)安全法》首次提出“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念并對其范圍進(jìn)行了明確。根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，我們可以大體將關(guān)鍵信息基礎(chǔ)設(shè)施劃分為以下五大類：（1）基礎(chǔ)信息網(wǎng)絡(luò)，主要包括廣電網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)；（2）重要行業(yè)和公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，例如核島控制系統(tǒng)、銀聯(lián)交易系統(tǒng)、智能交通系統(tǒng)、供水管網(wǎng)信息管理系統(tǒng)、社保信息系統(tǒng)等；（3）電子政務(wù)，例如電子政務(wù)系統(tǒng)、政府門戶網(wǎng)站等；（4）國家安全網(wǎng)絡(luò)，例如軍事通信網(wǎng)、軍隊指揮自動化系統(tǒng)等；（5）用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)商系統(tǒng)，例如百度、阿里、騰訊等IT巨頭運營的特定網(wǎng)絡(luò)和系統(tǒng)等。對于前述關(guān)鍵信息基礎(chǔ)設(shè)施的分類和范圍劃分只是學(xué)者和行業(yè)從業(yè)者的一些解讀，關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法還有待國務(wù)院后續(xù)制定法規(guī)確定，建議企業(yè)應(yīng)當(dāng)密切關(guān)注。根據(jù)國家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局負(fù)責(zé)人的說法，目前國家互聯(lián)網(wǎng)信息辦公室正會同有關(guān)部門按照《網(wǎng)絡(luò)安全法》的要求，抓緊研究制定相關(guān)指導(dǎo)性文件和標(biāo)準(zhǔn)，指導(dǎo)相關(guān)行業(yè)領(lǐng)域明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。

 

在《網(wǎng)絡(luò)安全法》出臺以前，現(xiàn)有法律條文中并沒有給出關(guān)鍵信息基礎(chǔ)設(shè)施的明確概念，在涉及重要或者關(guān)鍵的信息基礎(chǔ)設(shè)施的保護(hù)時經(jīng)常處于無法可依的狀況或者存在相關(guān)法規(guī)層級較低而無法有力保護(hù)的情況�，F(xiàn)有法規(guī)文件主要從重大基礎(chǔ)設(shè)施、重點領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)等幾個方面做出了規(guī)定。

 

重大基礎(chǔ)設(shè)施:“《國務(wù)院辦公廳關(guān)于開展重大基礎(chǔ)設(shè)施安全隱患排查工作的通知》國辦發(fā)〔2007〕58號”中使用了“重大基礎(chǔ)設(shè)施”的概念，并列舉了公路、鐵路、水運交通設(shè)施、大型水利設(shè)施、大型煤礦、重要電力設(shè)施、石油天然氣設(shè)施、城市基礎(chǔ)設(shè)施等九種類別。

 

重點領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng):《2012年重點領(lǐng)域網(wǎng)絡(luò)與信息安全檢查總結(jié)報告》中指出各重點領(lǐng)域的“重要網(wǎng)絡(luò)與信息系統(tǒng)”，其中的調(diào)查報告則初步列舉了我國多個關(guān)系國家安全、經(jīng)濟(jì)秩序正常運行和社會穩(wěn)定的“關(guān)鍵網(wǎng)絡(luò)與信息系統(tǒng)”。初步劃定了我國信息安全保障的重點。

 

二、“三同步”原則

 

《網(wǎng)絡(luò)安全法》第三十三條  建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

 

《網(wǎng)絡(luò)安全法》明確建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的三同步原則。三同步原則以“同步規(guī)劃、同步建設(shè)、同步使用”為指導(dǎo)思想，本著“誰主管、誰負(fù)責(zé)”工作原則落實執(zhí)行，在系統(tǒng)生命周期各階段明確責(zé)任部門及安全職責(zé)，在全過程中推行安全同步開展，強(qiáng)化安全工作前移，降低運維階段的服務(wù)壓力�！毒W(wǎng)絡(luò)安全法》的三同步原則在《安全生產(chǎn)法》、《環(huán)境影響評價法》中都有類似規(guī)定，經(jīng)過長期的實施也已經(jīng)相對規(guī)范，建議企業(yè)在應(yīng)對新法實施中的具體問題時可以參考前述規(guī)定的實施情況來理解、落實具體項目的“三同步原則”。

 

企業(yè)在具體落實三同步原則時，可以從以下方面理解三同步原則：

 

同步規(guī)劃：在業(yè)務(wù)規(guī)劃的階段同步納入安全要求，引入安全措施。

 

同步建設(shè)：在項目建設(shè)階段，通過合同條款落實系統(tǒng)集成商、廠商的責(zé)任，保證相關(guān)安全技術(shù)措施的順利準(zhǔn)時建設(shè)；保證項目上線時，安全措施的驗收和工程驗收同步，確保只有符合安全要求的系統(tǒng)才能上線。

 

同步使用：安全驗收后的日常運營維護(hù)中，應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平。

 

三、網(wǎng)絡(luò)安全審查制度

 

《網(wǎng)絡(luò)安全法》第三十五條  關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的國家安全審查。

 

根據(jù)《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第五至第八條規(guī)定，網(wǎng)絡(luò)安全審查工作的組織和領(lǐng)導(dǎo)工作由網(wǎng)絡(luò)安全審查委員會承擔(dān)，該委員會由國家網(wǎng)信辦會同有關(guān)部門成立。委員會下設(shè)網(wǎng)絡(luò)安全審查辦公室，網(wǎng)絡(luò)安全審查辦公室具體組織實施網(wǎng)絡(luò)安全審查。此外，委員會還組建網(wǎng)絡(luò)安全審查專家委員會。網(wǎng)絡(luò)安全審查委員會、辦公室、專家委員會整體構(gòu)成了網(wǎng)絡(luò)安全審查工作的頂層制度設(shè)計�！毒W(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》同時明確“重點審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性”。

 

《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第十二條  網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)對網(wǎng)絡(luò)安全審查工作予以配合，并對提供材料的真實性負(fù)責(zé)。第三方機(jī)構(gòu)等相關(guān)單位和人員對審查工作中獲悉的信息等承擔(dān)安全保密義務(wù)，不得用于網(wǎng)絡(luò)安全審查以外的目的。

 

《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第十四條  網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認(rèn)為第三方機(jī)構(gòu)等相關(guān)單位和人員有失客觀公正，或未能對審查工作中獲悉的信息承擔(dān)安全保密義務(wù)的，可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門舉報。

 

安全審查中還需要注意的一點是網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的注意事項，金融機(jī)構(gòu)經(jīng)常會采購的設(shè)備和軟件很多可能屬于關(guān)鍵信息基礎(chǔ)設(shè)施的范疇，建議在未來采購中要求供應(yīng)商提供有關(guān)的安全認(rèn)證和安全檢測結(jié)果。對于尚未明確的判斷標(biāo)準(zhǔn)，金融機(jī)構(gòu)應(yīng)當(dāng)持續(xù)關(guān)注后續(xù)配套法規(guī)的出臺以及相關(guān)部門在實施中作出的解讀。

 

四、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)

 

《網(wǎng)絡(luò)安全法》第三十八條  關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險每年至少進(jìn)行一次檢測評估，并將檢測評估情況和改進(jìn)措施報送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

 

《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第七條  國家依法認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)，承擔(dān)網(wǎng)絡(luò)安全審查中的第三方評價工作。

 

《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第十一條  承擔(dān)網(wǎng)絡(luò)安全審查的第三方機(jī)構(gòu)，應(yīng)當(dāng)堅持客觀、公正、公平的原則，按照國家有關(guān)規(guī)定，參照有關(guān)標(biāo)準(zhǔn)，重點從產(chǎn)品和服務(wù)及其供應(yīng)鏈的安全性、可控性，安全機(jī)制和技術(shù)的透明性等方面進(jìn)行評價，并對評價結(jié)果負(fù)責(zé)。

 

現(xiàn)有規(guī)定未就網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的資質(zhì)和評估標(biāo)準(zhǔn)作出具體規(guī)定。根據(jù)《網(wǎng)絡(luò)安全法》的描述，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)負(fù)責(zé)對網(wǎng)絡(luò)的安全風(fēng)險進(jìn)行檢測評估，而《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》規(guī)定，國家將統(tǒng)一認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)，并由經(jīng)認(rèn)定的機(jī)構(gòu)承擔(dān)網(wǎng)絡(luò)安全審查中的第三方評價工作。因此，我們認(rèn)為網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是經(jīng)認(rèn)定的網(wǎng)絡(luò)安全審查第三方評價機(jī)構(gòu)。

 

五、結(jié)語

 

為了維護(hù)國家安全、經(jīng)濟(jì)安全和保障民生，《網(wǎng)絡(luò)安全法》設(shè)專節(jié)對關(guān)鍵信息基礎(chǔ)設(shè)施作了規(guī)定，范圍包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域等，在數(shù)據(jù)安全、網(wǎng)絡(luò)安全問題日益突出的今天，顯然是十分必要的，對相關(guān)行業(yè)業(yè)務(wù)的發(fā)展必然帶來深遠(yuǎn)影響，我們團(tuán)隊也將持續(xù)關(guān)注新法實施后的行業(yè)動向。