您现在的位置是: > 科技 > 安全 > 网络安全立法中的关键信息基础设施保护问题

网络安全立法中的关键信息基础设施保护问题

时间:2017-02-15 18:19??来源:今天新闻网整理??阅读次数: 复制分享 我要评论

2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》(以下简称《草案》),并于2015年7月6日在中国人大网公布,向社会公开征求意见。

总体来看,这部法律草案推出的意义非常重大,符合时代发展的要求。目前,在对互联网进行必要的管理这个基本问题上,全球主要国家已经达成共识,各国也在近几年纷纷出台相应的法律法规。中国作为一个互联网大国,在捍卫国家网络安全方面一直有明确的态度,也一直在进行探索和实践。把我国捍卫国家网络安全的相关准则和已有的一些实践经验上升为法律制度,制定符合我国网络空间安全需求的《网络安全法》,既可以很好地为国家各相关部门依法治国、依法治网提供法律支撑,也更有利于为我国与其他国家就网络安全问题开展战略博弈和相关合作提供法律依据。

设专节对关键信息基础设施的运行安全做出规定,是《草案》的亮点之一。《草案》第三章第二节共计九条内容,专门用于规范关键信息基础设施的运行安全,占据了相当的篇幅。这体现了我国对关键信息基础设施安全的高度重视,也使得我国未来关键信息基础设施的安全管理、安全保护、安全检查等工作的开展有了重要的法律依据。

关键信息基础设施安全是网络空间安全的命脉所在,纵观世界各国的网络安全相关立法,关键信息基础设施安全都是非常重要的内容。下面笔者从自身感受来谈谈网络安全立法中对关键信息基础设施的保护问题。

一、关键信息基础设施的界定

“关键信息基础设施”(Critical Information Infrastructure)是由“关键基础设施”(Critical Infrastructure)一词发展而来。关键基础设施一词由来已久,虽然各国对关键基础设施具体定义存在较大差别,但是对其范畴和边界的理解总体趋向一致,认为关键基础设施是指社会经济运转所严重依赖的产品、服务、系统和资产总和,一旦这些设施遭到破坏,会对国家安全、经济稳定和公众安全产生严重影响。具体到关键信息基础设施,可以从两个方面来理解:一个是信息基础设施中的关键部分,一个是关键基础设施中的信息部分,前者通常包括电信网络、广播电视网络、域名系统、电子签名认证系统等,后者即我们通常所说的重要信息系统。实际上,随着信息技术的发展,国家关键基础设施普遍网络化和信息化,这两个方面的融合度已经越来越高。

由于网络信息技术一直处于快速发展之中,关键信息基础设施的定义也在不断地发展演进,导致各方对国家关键信息基础设施的认识存在不同层面上的差异。《草案》中对关键信息基础设施未做明确定义,而是给了一个范围上的界定描述:“提供公共通信、广播电视传输等服务的基础信息网络,能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统,军事网络,设区的市级以上国家机关等政务网络,用户数量众多的网络服务提供者所有或者管理的网络和系统。”这样一种表述方式可以有效地避免关于概念本身的争议,增强这部法律未来的可实施性。

然而,在实际操作中,关于关键信息基础设施的界定仍然可能面临一些操作上的困难,在关于《草案》的多次线上、线下研讨中也有很多专家学者提到了这方面的问题。在此,笔者有三方面的建议,一是建议全国人大法工委根据征集到的各方意见在《网络安全法(草案)》中进一步明确对关键信息基础设施的界定;二是建议在未来国务院制定的关键信息基础设施安全保护办法中制定更加可操作的关键信息基础设施划定方法;三是建议关键信息基础设施划定与网络安全等级保护制度充分结合,通过综合量化评估的方式来划定关键信息基础设施,并在此基础上对关键信息基础设施进一步分类分级。

二、关键信息基础设施安全保护中涉及的关键问题

关键基础设施及关键信息基础设施的“关键”是指这些设施一旦遭到破坏,会对国家安全、经济稳定和公众安全产生严重影响。因此,关于关键信息基础设施安全保护中的关键问题,也应围绕其一旦遭到破坏可能对国计民生产生的影响来分析。从宏观层面来讲,关键信息基础设施安全保护应着重关注以下三个方面的问题。

1.业务连续能力

业务连续能力是关键信息基础设施安全保护中需要解决的首要问题。如前所述,神仙途,关键信息基础设施的“关键”就在于国计民生对其的高度依赖关系,因此需要关键信息基础设施具备“不间断可靠供给”的能力。以国外为例,1998年美国签署的《关于保护美国关键基础设施的第63号总统令》中要求“采取所有必要的措施来迅速减弱关键基础设施——尤其是信息系统——在面临物理和信息攻击时的任何重大脆弱性”。2003年2月美国发布的《网络空间安全国家战略》中所列的网络空间安全的战略目标中包括“降低国家在网络攻击前的脆弱性”和“缩短网络攻击发生后的破坏和恢复时间”。《草案》充分认识到了业务连续能力对于关键信息基础设施的重要性,第二十七、二十八条两条从规划建设、使用管理、人员配置、容灾备份、应急处置等多个方面做出规定,来规范关键信息基础设施的业务连续能力。

2.自主可控

自主可控一向被认为是保障网络安全、信息安全的基本前提。关键信息基础设施安全事关国家命脉,自主可控显得尤为重要。然而,自主可控设备目前还不能完全覆盖我国关键信息基础设施建设和运行管理的要求,关键信息基础设施的部分设备和部件短期难以摆脱依赖进口的局面。因此,基于我国国情,现阶段在关键信息基础设施的建设和运行管理中必须有辅助措施来增强关键信息基础设施的可控性。为此《草案》在第十九条中对网络关键设备和网络安全专用产品的认证检测提出了要求,在第二十九条和第三十条对关键信息基础设施采购网络产品做出了保密和安全审查方面的要求。

3.数据安全

由于传统关键基础设施普遍性的信息化、网络化趋势,关键信息基础设施集中承载着越来越多的敏感数据,这些数据事关社会稳定和国家安全。随着大数据、云计算、移动互联网等技术的发展,数据的价值得到了大幅度提升,这一方面促进了社会经济发展,另一方面也诱发了越来越多的数据安全问题,尤其是各类重要信息系统中的敏感数据,成为网络黑客和间谍机构的重要攻击目标。为此,《草案》除对网络数据安全问题(第十七条、第二十二条)和公民个人信息保护(第三十四条至第三十九条)做了一般性规定之外,重生日,还在第三十一条中对关键信息基础设施运营者收集的公民个人信息等重要数据的出境存储加以限制。然而,关键基础设施所承载的重要数据绝不仅限于公民个人信息,还有相当部分的数据需要限制出境存储,建议《草案》在后续修订中能够对这一部分加以补充完善。

相关资讯
网站地图 Website Map

 
本站部分文章新闻来源于网络,如无意中对您的利益构成了侵犯,我们深表歉意,请来电告知,我们会立即删除。
今天新闻网版权所有,未经书面授权禁止使用!Copyright © 2015-2016  www.ythaite.com
主办单位:今天新闻网  ICP备案号:鲁ICP备09074049号-1 sitemap 网站地图