網(wǎng)絡(luò)安全法教程

第七章

關(guān)鍵信息基礎(chǔ)設(shè)施安全

第七章

關(guān)鍵信息基礎(chǔ)設(shè)施安全【內(nèi)容提要】關(guān)鍵信息基礎(chǔ)設(shè)施是我國極為重要的戰(zhàn)略資源，當(dāng)下關(guān)鍵信息基礎(chǔ)設(shè)施安全面臨諸多挑戰(zhàn)?？茖W(xué)識(shí)別和認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施及其范圍，進(jìn)而構(gòu)建我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)體系，是回應(yīng)上述挑戰(zhàn)的理論準(zhǔn)備。第一節(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施安全概述

一、關(guān)鍵信息基礎(chǔ)設(shè)施安全面臨挑戰(zhàn)保護(hù)我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全，是一項(xiàng)長期和重要的戰(zhàn)略任務(wù)。當(dāng)下我國關(guān)鍵信息基礎(chǔ)設(shè)施安全面臨嚴(yán)峻的挑戰(zhàn)。習(xí)近平總書記特別強(qiáng)調(diào)：“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標(biāo)?！锢砀綦x’防線可被跨網(wǎng)入侵，電力調(diào)配指令可被惡意篡改，金融交易信息可被竊取，這些都是重大風(fēng)險(xiǎn)隱患。不出問題則已，一出就可能導(dǎo)致交通中斷、金融紊亂、電力癱瘓等問題，具有很大的破壞性和殺傷力。二、國外關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)概要美國在保護(hù)關(guān)鍵（信息）基礎(chǔ)設(shè)施安全方面，無論其戰(zhàn)略構(gòu)想還是實(shí)施步驟均走在世界前列。早在克林頓政府時(shí)期美國便出臺(tái)了大量相關(guān)法律文件，逐步構(gòu)建起比較完善的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。相關(guān)進(jìn)程和具體舉措值得我們學(xué)習(xí)、研究和借鑒。例如，為應(yīng)對(duì)美國政府經(jīng)常調(diào)整保護(hù)關(guān)鍵基礎(chǔ)設(shè)施安全領(lǐng)導(dǎo)機(jī)構(gòu)的問題，第13010號(hào)行政令（1996年）便建立了“總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)”的機(jī)構(gòu)，由其專門負(fù)責(zé)向總統(tǒng)匯報(bào)關(guān)鍵基礎(chǔ)設(shè)施的脆弱點(diǎn)信息，應(yīng)對(duì)加強(qiáng)基礎(chǔ)設(shè)施保護(hù)提案所引發(fā)的法律問題等。此外，歐盟、日本等也在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面亦出臺(tái)了一些政策、法律等，著力保護(hù)本國或本地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施的安全。例如：歐盟2004年發(fā)布了《打擊恐怖主義保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的通訊》，2006年發(fā)布了《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃》，2009年發(fā)布了《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的通信》，2013年發(fā)布了《關(guān)鍵信息基礎(chǔ)設(shè)施——面向全球網(wǎng)絡(luò)安全的決議》。日本國家信息安全中心2005年發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動(dòng)計(jì)劃》等。三、我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)框架一是編制關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃。二是建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的“三同步”制度。三是規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的安全保護(hù)義務(wù)。四是建立關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購的網(wǎng)絡(luò)安全審查制度。五是建立關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購的保密協(xié)議制度。六是建立數(shù)據(jù)本地存儲(chǔ)制度。七是建立定期檢測(cè)評(píng)估制度。第二節(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定

一、關(guān)鍵信息基礎(chǔ)設(shè)施概念梳理（一）國外相關(guān)概念的考察美國：指電子的信息和通信系統(tǒng)以及這些系統(tǒng)中的信息，其中信息和通信系統(tǒng)由對(duì)各類型數(shù)據(jù)進(jìn)行處理、儲(chǔ)存和通信的軟硬件所組成，其包括計(jì)算機(jī)信息系統(tǒng)、控制系統(tǒng)和網(wǎng)絡(luò)。歐盟：指在關(guān)鍵基礎(chǔ)設(shè)施概念基礎(chǔ)上，將運(yùn)行關(guān)鍵基礎(chǔ)設(shè)施的計(jì)算機(jī)系統(tǒng)，包括工業(yè)控制系統(tǒng)、數(shù)據(jù)采集系統(tǒng)等在內(nèi)的系統(tǒng)。德國：指為確保國家關(guān)鍵基礎(chǔ)設(shè)施服務(wù)得以持續(xù)運(yùn)行的不可或缺之要素。英國：英國通常使用“關(guān)鍵國家基礎(chǔ)設(shè)施”（縮寫為CNI），即由不間斷向國家提供基本服務(wù)來說不可或缺的關(guān)鍵元素組成的國家基礎(chǔ)設(shè)施。澳大利亞：是由國家范圍的電信網(wǎng)絡(luò)、計(jì)算機(jī)、數(shù)據(jù)庫和電子系統(tǒng)組成，包括互聯(lián)網(wǎng)、公共交換網(wǎng)、公共和私有網(wǎng)絡(luò)、有線和無線，以及衛(wèi)星通信。（二）相關(guān)概念在我國規(guī)范文本中的演變我國最早使用與關(guān)鍵信息基礎(chǔ)設(shè)施相似的概念是“計(jì)算機(jī)信息系統(tǒng)”，之后隨著社會(huì)發(fā)展變化，所使用的概念亦隨著發(fā)生變化，直到《網(wǎng)絡(luò)安全法》的頒布和實(shí)施，“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念才在法律層面上固定下來。（相關(guān)概念的演變?cè)斦?qǐng)參見下表）時(shí)間立法/政策性規(guī)范文件內(nèi)容1994年《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》該條例使用“計(jì)算機(jī)信息系統(tǒng)”的概念。第四條規(guī)定：“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作，重點(diǎn)維護(hù)國家事務(wù)、經(jīng)濟(jì)建設(shè)、國防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全?！?003年《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》該意見使用了“重要信息系統(tǒng)”的概念。2007年《國務(wù)院辦公廳關(guān)于開展重大基礎(chǔ)設(shè)施安全隱患排查工作的通知》該通知使用了“重大基礎(chǔ)設(shè)施”的概念，并列舉了公路、鐵路、水運(yùn)交通設(shè)施、大型水利設(shè)施、大型煤礦、重要電力設(shè)施、石油天然氣設(shè)施、城市基礎(chǔ)設(shè)施等九種類別。2012年《2012年重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查總結(jié)報(bào)告》該報(bào)告使用了“重要網(wǎng)絡(luò)與信息系統(tǒng)”。該報(bào)告列舉了關(guān)系國家安全、經(jīng)濟(jì)秩序正常運(yùn)行和社會(huì)穩(wěn)定的關(guān)鍵網(wǎng)絡(luò)與信息系統(tǒng)。2013年《關(guān)于開展國家重要信息系統(tǒng)調(diào)查工作的函》該函使用了“國家重要信息系統(tǒng)”的概念。2014年習(xí)近平總書記在召開的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議本次會(huì)議上習(xí)近平總書記使用了“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念，并強(qiáng)調(diào)要完善與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)立法。2016年《網(wǎng)絡(luò)安全法》首次在法律中使用“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念。二、關(guān)鍵信息基礎(chǔ)設(shè)施概念內(nèi)涵及特點(diǎn)（一）關(guān)鍵信息基礎(chǔ)設(shè)施概念的內(nèi)涵2018年6月13日，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處發(fā)布了《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》（征求意見稿）中，明確將關(guān)鍵信息基礎(chǔ)設(shè)施（CII）界定為：“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的信息設(shè)施?！保ǘ╆P(guān)鍵信息基礎(chǔ)設(shè)施的特點(diǎn)1、關(guān)鍵信息基礎(chǔ)設(shè)施性質(zhì)的獨(dú)特性2、關(guān)鍵信息基礎(chǔ)設(shè)施影響的關(guān)鍵性3、關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)容的動(dòng)態(tài)性4、關(guān)鍵信息基礎(chǔ)設(shè)施存儲(chǔ)數(shù)據(jù)的敏感性三、關(guān)鍵信息基礎(chǔ)設(shè)施范圍與分類（一）關(guān)鍵信息基礎(chǔ)設(shè)施的范圍我國《網(wǎng)絡(luò)安全法》、《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》的規(guī)定，主要根據(jù)我國實(shí)踐需要，借鑒一些主要發(fā)達(dá)國家和地區(qū)的經(jīng)驗(yàn)，將那些為社會(huì)提供基礎(chǔ)性和關(guān)鍵性服務(wù)的設(shè)施列入關(guān)鍵信息基礎(chǔ)設(shè)施的范圍。（二）關(guān)鍵信息基礎(chǔ)設(shè)施的分類1、基礎(chǔ)信息網(wǎng)絡(luò)2、重要行業(yè)和公共服務(wù)領(lǐng)域的重要信息系統(tǒng)3、電子政務(wù)網(wǎng)絡(luò)4、國家安全網(wǎng)絡(luò)5、網(wǎng)絡(luò)運(yùn)營商（服務(wù)商）系統(tǒng)四、關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別規(guī)則第一步，確定關(guān)鍵業(yè)務(wù)?！恫僮髦改稀访鞔_了需結(jié)合本地區(qū)、本部門、本行業(yè)的實(shí)際來梳理關(guān)鍵業(yè)務(wù)。以“電信與互聯(lián)網(wǎng)”為例，關(guān)鍵業(yè)務(wù)就應(yīng)包括域名解析服務(wù)、數(shù)據(jù)中心云服務(wù)、語音數(shù)據(jù)互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)及樞紐等業(yè)務(wù)。第二步，確定關(guān)鍵業(yè)務(wù)相關(guān)的信息系統(tǒng)或工業(yè)控制系統(tǒng)。確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，應(yīng)當(dāng)根據(jù)關(guān)鍵業(yè)務(wù)，逐一梳理出支撐關(guān)鍵業(yè)務(wù)運(yùn)行或關(guān)鍵業(yè)務(wù)相關(guān)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，形成候選關(guān)鍵信息基礎(chǔ)設(shè)施清單。比如火電企業(yè)的發(fā)電機(jī)組控制系統(tǒng)、管理信息系統(tǒng)。市政供水相關(guān)的水廠生產(chǎn)控制系統(tǒng)、供水管網(wǎng)監(jiān)控系統(tǒng)等。第三步，認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施?！恫僮髦改稀穭t列舉了網(wǎng)站類、平臺(tái)類和生產(chǎn)業(yè)務(wù)類三種具體情況相應(yīng)量化標(biāo)準(zhǔn)。如平臺(tái)類，規(guī)定注冊(cè)用戶超過1000萬、活躍用戶超過100萬或者日交易額超過1000萬的，就可認(rèn)定為CII。第三節(jié)

關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)

一、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的安全保護(hù)義務(wù)（一）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的安全保護(hù)義務(wù)內(nèi)容1、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的一般安全保護(hù)義務(wù)《網(wǎng)絡(luò)安全法》第二十一條明確規(guī)定了我國實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。2、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的特殊安全保護(hù)義務(wù)《網(wǎng)絡(luò)安全法》第三十四條明確規(guī)定，除本法第二十一條的規(guī)定外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還應(yīng)當(dāng)履行下列安全保護(hù)義務(wù)：（1）設(shè)置專門安全管理機(jī)構(gòu)和安全管理負(fù)責(zé)人，并對(duì)該負(fù)責(zé)人和關(guān)鍵崗位的人員進(jìn)行安全背景審查；（2）定期對(duì)從業(yè)人員進(jìn)行網(wǎng)絡(luò)安全教育、技術(shù)培訓(xùn)和技能考核；（3）對(duì)重要系統(tǒng)和數(shù)據(jù)庫進(jìn)行容災(zāi)備份；（4）制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，并定期進(jìn)行演練；（5）法律、行政法規(guī)規(guī)定的其他義務(wù)。（二）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者安全保護(hù)義務(wù)的特點(diǎn)第一，義務(wù)內(nèi)容的復(fù)合性。第二，義務(wù)主體的復(fù)合性。第三，義務(wù)的全程性。第四，義務(wù)的合理限度性。第五，義務(wù)履行的程序性。二、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的網(wǎng)絡(luò)安全審查制度（一）關(guān)于網(wǎng)絡(luò)安全審查制度的法律規(guī)定及釋義《網(wǎng)絡(luò)安全法》第三十五條規(guī)定，當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)之時(shí)，針對(duì)可能影響國家安全的情況，應(yīng)當(dāng)通過國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織的國家安全審查。這標(biāo)志著我國網(wǎng)絡(luò)安全審查制度的正式確立。（二）網(wǎng)絡(luò)安全審查制度的歷史沿革網(wǎng)絡(luò)安全審查制度是一項(xiàng)頗具中國特色的法律制度，國際上并無“網(wǎng)絡(luò)安全審查”的法律概念，但類似的法律實(shí)踐卻比較常見。我國網(wǎng)絡(luò)安全審查制度的形成并非一蹴而就，而是有著自身演進(jìn)的軌跡。（三）網(wǎng)絡(luò)安全審查制度的框架1、審查性質(zhì)。我國《網(wǎng)絡(luò)安全法》第三十五條的規(guī)定而言，我國網(wǎng)絡(luò)安全審查制度不是常態(tài)審查，并非對(duì)所有的供應(yīng)商均展開審查，只有具備采購活動(dòng)影響到國家安全時(shí)才予以啟動(dòng)。2、審查對(duì)象和范圍。我國網(wǎng)絡(luò)安全審查對(duì)象明確為網(wǎng)絡(luò)產(chǎn)品和服務(wù)，審查的范圍限于關(guān)鍵信息基礎(chǔ)設(shè)施。3、審查內(nèi)容。根據(jù)我國《網(wǎng)絡(luò)安全法》等有關(guān)規(guī)定，網(wǎng)絡(luò)審查制度主要內(nèi)容是審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性與可靠性。4、審查機(jī)構(gòu)。根據(jù)我國《網(wǎng)絡(luò)安全法》第三十五條的規(guī)定，審查機(jī)構(gòu)是由國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門組織構(gòu)成。三、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的安全保密協(xié)議（一）關(guān)于安全保密協(xié)議的法律規(guī)定及釋義根據(jù)《網(wǎng)絡(luò)安全法》第三十六條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)按照規(guī)定與提供者簽訂安全保密協(xié)議，明確安全和保密義務(wù)與責(zé)任。本條是關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的保密協(xié)議規(guī)定，也是我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保密制度的主要法律根據(jù)。其旨在合理應(yīng)對(duì)源自產(chǎn)品和服務(wù)供應(yīng)鏈的安全風(fēng)險(xiǎn)。根據(jù)本條規(guī)定，在實(shí)踐中關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)采取以下應(yīng)對(duì)措施：第一，謹(jǐn)慎選擇供應(yīng)商，加強(qiáng)網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)商的資質(zhì)資信審查；第二，按照法律規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)的供應(yīng)商簽訂保密協(xié)議，明確供應(yīng)商的安全保密義務(wù)及不履行義務(wù)應(yīng)當(dāng)承擔(dān)的法律后果；第三，應(yīng)當(dāng)監(jiān)督供應(yīng)商進(jìn)行設(shè)備安裝、測(cè)試、檢測(cè)、運(yùn)維等各個(gè)方面的活動(dòng)，并留存操作記錄，切實(shí)保證供應(yīng)商按照協(xié)議規(guī)定履行其義務(wù)。（二）安全保密協(xié)議的基本框架1、與安全保密協(xié)議相關(guān)法律法規(guī)（1）《政府采購法》第十一條、第五十一條、第五十三條、第八十五條的規(guī)定。（2）《政府采購實(shí)施條例》第四十條、第五十條的規(guī)定。（3）《反不正當(dāng)競(jìng)爭法》（2017年修訂）第九條之規(guī)定。（4）《合同法》第四十三條、第六十條之規(guī)定。（5）《勞動(dòng)合同法》第二十三條、第二十四條之規(guī)定。（6）《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》（工信部信軟〔2016〕338號(hào)）關(guān)于供應(yīng)鏈管理之規(guī)定。（7）《證券期貨業(yè)信息安全保障管理辦法》（2012年9月24日證監(jiān)會(huì)令第82號(hào)）第三十條、第三十七條之規(guī)定。2、安全保密協(xié)議的形式和內(nèi)容安全保密協(xié)議的形式主要有兩種：一種以采購合同安全保密條款的形式出現(xiàn)；另一種以獨(dú)立的安全保密協(xié)議出現(xiàn)。安全保密協(xié)議的內(nèi)容主要包括以下方面：對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供情況予以保密；對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的技術(shù)細(xì)節(jié)予以保密；對(duì)獲取的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的重要和敏感數(shù)據(jù)予以保護(hù)。四、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)安全保護(hù)制度《網(wǎng)絡(luò)安全法》第三十七條規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的數(shù)據(jù)安全保護(hù)制度，主要指數(shù)據(jù)本地化與跨境流動(dòng)。五、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的檢測(cè)評(píng)估制度（一）關(guān)于檢測(cè)評(píng)估制度的法律規(guī)定及釋義《網(wǎng)絡(luò)安全法》第三十八條規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。本條規(guī)定了我國關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的檢測(cè)評(píng)估制度，是我國關(guān)鍵信息