論我國關鍵信息基礎設施的保障對策

趙帥　廖根為

內容摘要：關鍵信息基礎設施已逐漸成為國家安全戰略重點，然而我國現階段對關鍵信息基礎設施保障仍存在許多不足之處。技術上，缺乏完善有效的脆弱性評估體系，安全技術應用水平較低；法律上，相關規定較零亂，缺乏專門性法律規定。為此，技術上應完善安全風險評估機制，加大技術創新支持力度；法律上完善相關法律法規，加強法律保護力度；思想道德上應加強建設；監管上加強主體責任義務，完善分期多級的交互監管機制。

關鍵詞：關鍵信息基礎設施；技術保障；法律保障；保障對策

以數字化形式存在的信息，其自身無法單獨存在，它必須按照一定的規則存儲在一定的硬件設施上。電子數據的交換和共享也依賴于物理的計算機基礎設施，這些設施是數據安全運行的承載體。其中，部分硬件基礎設施及其運行系統的安全性尤顯重要，若其遭受破壞，將對國家安全、社會經濟秩序、公共安全以及公民權益將產生不可預估的影響。對于這些關鍵信息基礎設施如何重點保護，事關國家安全，對其專門研究有十分重要的意義。

一、 關鍵信息基礎設施的概念

隨著科學技術的發展，國家基礎設施已逐步實現信息化，這些信息基礎設施一旦遭受破壞，其對國家、社會和個人的危害無法估量，因而應對其給予重點保護。關鍵信息基礎設施（Critical information infrastructure，CII）一直都是各國網絡安全戰略的重點，甚至是國家安全戰略的組成結構之一。 因此，各國都對關鍵信息基礎設施進行立法保護、技術保障，建立健全關鍵信息基礎設施保護機制。關鍵基礎設施（Critical infrastructure，CI）是關鍵信息基礎設施的上位概念，關鍵信息基礎設施的安全保護源于各國針對關鍵基礎設施的保護。雖然二者并不完全一致，但在大多情況下可混同相待。

作為關鍵基礎設施安全的關鍵信息基礎設施安全的衍生定義，應從關鍵基礎設施的含義出發，對關鍵信息基礎設施明確定義。美國《愛國者法案》中對關鍵基礎設施有著較為成熟的定義：“對美國極為重要的物理或虛擬的系統、資產，受到破壞或失去正常運轉能力時，將會對美國國家安全、經濟安全、公民健康、公共安全等諸多安全領域中一項或多項產生破壞性影響。” 2009年美國《國家基礎設施保護計劃》對關鍵信息基礎設施定義如下：“電子信息和通信系統以及其中信息，其中電子信息和通信系統對各類型數據進行收集、存儲、分析、處理、通信的軟硬件所組成，其中包括計算機信息系統、控制系統和網絡。” 因此，關鍵基礎設施和關鍵信息基礎設施具有共同的保護目的，即國家、社會公共安全，國民經濟秩序以及公民權利。關鍵信息基礎設施是指涉及國家重點領域，如政府、銀行證券、石油石化、國防軍工、醫療衛生、軌道交通、民航鐵路等等方面的確保國家、地區社會正常運行的公共信息服務系統，是社會賴以運轉的物質條件。它具體包含了諸如通信管道、網絡設備、機房配件以及相關配套的數據運行的物理和軟件設施。

二、關鍵信息基礎設施專門保護的必要性

對關鍵信息基礎設施實施專門保護，不僅僅依賴相關的計算機科學技術水平，還需要有一套成熟的技術管理制度和相應的法律法規的支撐，這些恰恰是容易忽視的環節。

（一）法律方面的不足

縱觀我國涉及關鍵信息基礎設施的法規，還未就關鍵信息基礎設施出臺專門性的規定，散見于各層次法律中，隱含在網絡安全方面的懲罰性或保護性規定中，其中效力最高當屬刑法規定。刑法以破壞廣播電視設施、公用電信設施罪和擾亂無線電管理秩序罪對破壞關鍵信息基礎設施的行為作直接評價，但關鍵信息基礎設施范圍明顯超出廣播電視、公用電信設施和無線電這三種設施，刑法因此無法全面評價對針對關鍵信息基礎設施的犯罪行為。此外，由于計算機信息系統通常與承載其運行的物理性設施的安全性緊密結合，破壞數據運行系統的關鍵基礎設施往往也會影響或破壞信息系統的正常運行，因此，部分針對關鍵信息基礎設施犯罪行為也可以以破壞計算機信息系統罪的方式進行懲治。但這種評價方式將物理性破壞硬件設施和對計算機信息系統功能進行刪除、修改、增加、干擾的方式糅雜在一起，與立法原意相差甚遠，并且沒有很好地區分物理設施和信息系統的價值差異。重要信息系統本身和蘊含的電子數據是直接承載重要價值的信息，更關注電子數據的機密性、完整性、可用性，如國家絕密性文件、軍事的戰略部署計劃。而關鍵信息基礎設施更偏向于財產屬性，同時也間接影響信息系統安全，進而造成國家、社會重要運轉系統的癱瘓，對國家安全、國民經濟以及公民造成影響。因此，這二者不能等同進行評價。由此分析，在信息安全保障法律體系中，缺乏關鍵信息基礎設施的獨立性規范，對關鍵信息基礎設施的進行專門立法保護具有法理基礎、社會經濟基礎以及現實意義。

（二）技術制度方面的不足

雖然我國已經逐漸加大對關鍵信息基礎設施的保護力度，但在保護技術和標準上還存在不足之處。

第一，缺乏完善有效的信息設施脆弱性評估機制。大多數的關鍵信息基礎設施的運營者還未形成統一的行業安全評估標準，缺乏規范的針對設施脆弱性和風險的評估檢測機制。并且沒有完善的事后安全恢復計劃和指南，無法明確哪些環節需要加強重點保護以及評估，這些給安全保障帶來極大隱患。

第二，技術產品自主化程度相對較低。我國在涉及國家核心網絡安全的元器件、關鍵芯片等等軟件、硬件、通信設備的基礎產品自主性以及可控能力較低，較為嚴重地依賴進口產品，技術標準也基本引進于國外，國外公司有可能對系統進行遠程控制而實施攻擊， 導致安全防護缺乏主動權，關鍵信息基礎設施的相關產品的安全風險持續升高。 國家關鍵信息基礎設施已經成為網絡空間戰略的核心目標，如果這些重點設施成為網絡攻擊的對象，嵌入未知的預置“后門”，將對我國金融、交通、電信等等關鍵信息基礎設施安全造成不可預測的影響，直接威脅國家安全。

第三，安全技術應用水平較低。有效的安全保障技術是保護關鍵信息基礎設施的重要屏障。如何提高安全技術是當前安全保障中不容忽視的問題，這些安全技術可能包括關鍵基礎設施的應急防御技術、密碼保護控制技術等。但目前我國安全技術與國外仍有較大差距，實際應用于產品設計還缺乏一定的實際可執行性。

三、關鍵信息基礎設施的防控策略

根據當前我國關鍵信息基礎設施安全保障建設起步較晚的情況，立法和實踐均存在一定的現實問題。筆者認為可從法律、技術、思想道德建設以及監管機制方面提出以下防控策略。

（一）法律方面

1.構建法律頂層設計，明確各方法律責任

關鍵信息基礎設施防護缺乏高層次法律法規，保護的滯后性日趨明顯，因此亟需構建頂層設計，制定統一協調的關鍵信息基礎設施防護體系，完善關鍵信息基礎設施管理和責任追究體制。目前來看，需要進一步完善和改進網絡安全法（草案），厘清關鍵信息基礎設施的定義、基本保護原則，明確以及協調各方保護責任，避免出現推諉免責的問題。

2. 專門立法，加強法律保護力度

針對關鍵信息基礎設施保護通常以會議通知或報告的形式加以說明，現行法律保護力度明顯孱弱，專門法律保障仍屬空白，至今沒有一部關于關鍵信息基礎設施的專門立法。因此，需要進行針對關鍵信息基礎設施專項立法，建立健全高低層級相輔、法律和技術規范相協調的關鍵信息基礎設施法律保護體系，加強針對關鍵信息基礎設施的保護力度。

3. 加強關鍵信息基礎設施安全的刑事立法進程

國內外的重點關鍵信息基礎設施大多采用公私相結合的結構形式，既有國家重點信息設施，如電信網絡設施，也有社會公眾服務信息設施，如重要的公益性組織信息網絡設施，更有涉及面廣，影響力大的公司企業，如阿里巴巴、騰訊公司的信息網絡設施，為了保障國家安全、社會公共安全必須從刑事層次明確具體關鍵信息基礎設施的刑法保護法益。因此，從具體分析每一類關鍵信息基礎設施刑法應當保護的法益出發，修改現行刑法中涉及關鍵信息基礎設施的存在沖突的法條規定。此外，關鍵信息基礎設施涉及廣泛，也應完善現行刑法還未涵蓋的關鍵信息基礎設施類型，形成完整的關鍵信息基礎設施的刑法保護體系。

（二） 技術方面

1.建立技術排查機制，完善安全風險評估機制

當前我國某些重要的關鍵信息基礎設施仍需發達國家的產品支持，而這無疑會產生潛在的安全威脅。因此，需要完善常態審查排除隱患機制，建立健全信息設施進口審查制度，對重要的服務器、路由器、交換機、存儲器、計算機等重要網絡設施進行技術審查，防范涉密信息的泄露，必要時可以和專門的信息安全機構合作，開展技術排除工作。

其次，建立安全評估和安全防治的循環保護機制。

安全評估：明確針對重要部門、組織和機構的關鍵信息基礎設施的安全威脅來源；分析可能存在的被攻擊點和脆弱點以及安全威脅對重點對象的影響層次；評價安全風險對關鍵對象的影響作用和是否每個特定風險都需要處置。

安全防治：實施正確的管理和技術方案，確保有效地阻止針對關鍵信息基礎設施的安全威脅，及時建立預防保護機制，落實物理和系統邏輯的雙重防護策略；實施監測或其他觀測手段，監視當前所有活動和可能存在的安全隱患，評估潛在的影響因子；及時響應安全保護機制，具體解決破壞行為及其造成的后果；一旦發現并確認破壞行為或事實的存在，立即組織人員調查確定破壞事件的相關信息，激活防護機制，降低和限制破壞結果的擴散，防止破壞事件在短時間內再一次發生。

安全評估和安全防治需要循環不斷的落實，建立動態防護模式，最大程度避免或減少破壞行為對關鍵信息基礎設施的影響。

2. 加大技術創新支持力度，推動國產化信息設施開發建設

我國很多重要的信息資源服務器設立在境外，網絡資源受制于他國。另外關鍵信息基礎設施研發和保護技術的落后，這些勢必會產生諸多安全隱患，甚至威脅到國家安全。因此，需要開發出針對我國國情的關鍵信息基礎設施，設計專門的保護技術措施，逐漸減少和降低對國外網絡資源和設施引進的數量和力度。加大針對關鍵信息基礎設施技術研發支持力度，堅持自立創新的研發精神，推動信息設施開發建設的國產化進程。

（三）思想道德方面

信息犯罪行為的發生，是信息系統和網絡用戶公共道德觀念差和法律意識薄弱促發引起的，提高信息犯罪的防范意識，更新信息安全觀念是預防信息犯罪的必要舉措。

首先，提高防范意識。信息安全方面存在的不足，除了互聯網絡、計算機信息系統設施本身存在的漏洞之外，大量公司、機構以及用戶對網絡安全預防意識薄弱，管理疏于防范，這也是導致信息犯罪成功的一個重要的原因，有必要在全社會范圍內提高對于信息犯罪的思想防范意識。

其次，增進道德建設。道德與法律都是規范人們行為重要的手段，法律以外部強制性約束，道德以內心自發的方式約束，加強道德修養，形成良好的網絡道德環境，全社會的道德防范可以影響廣大網民自覺地遠離一切網絡違法行為，抵御互聯網上一切黃色、下流、庸俗、反動、破壞性的事物。

（四）監管機制方面

關鍵信息基礎設施是物理性設備，從信息設備的生產銷購到安裝調試，再到上線運營以及后期維護等各個階段，都必須有相應的機構進行監督和管理。整個監管模式是由多級主體在信息設備的制造到維護的前中后期間，實施定點、定期、定級的監督和管理。做到每一個階段、每一項進程、每一套設備、每一個組件都有制度標準可依，有專門系統監察，有專項人員管理，實現關鍵信息基礎設施的有效保護。

1.構建分期多級的交互監管機制

關鍵信息基礎設施關乎國家、國民經濟利益和安全問題，無論是從國外引進還是國內自產，設備的制造銷購必須有相應的規范標準和審核制度。尤其在現階段，我國仍有很多涉及國家安全的機密信息設備主要依靠國外引進，這顯然對國家、軍事安全有著不可忽視的潛在威脅，因此在引進購買國外信息設備時必須進行嚴格而詳盡的監督審查。隨著我國核心信息技術和工業的不斷創新發展，諸多關鍵設備逐漸國產化，需要對應用于重要部門的關鍵信息基礎設施的設計、開發、制造等有標準化和機密性的重點要求，制定相應的監察制度。在設備的安裝、調試直至上線運營都必須有適格的專門人員進行操作，避免出現破壞性、干擾性的漏洞。在信息設備正常運轉之后，成立監察小組，定期對環境、設備、人員、系統等的檢查，合理維護。除此之外，建立應急響應制度和風險評估機制，適時進行突發事件的應急響應演練。此階段獲取的信息應及時反饋給前中期的相關機構，交互共享相關問題與信息。

關鍵信息基礎設施監察機制可由國家機關、相關部門機構以及企（事）業單位形成三級監管協作機制。國家機關頒布原則性的指導意見或文件，由相應的部門機構建立健全審查制度和詳細的責任分配機制，再由實際掌控信息設備的企（事）業單位具體落實安保義務，設置安全管理人員，定期對設備操作人員進行網絡安全教育、技術培訓和技能考核，對重要的數據進行容災備份，制定應急響應預案并定期組織演練。國家機關會同相關部門對引進或采購信息設備進行安全審查，統籌相關部門，建立協作機制，定期對重點部門、機構或企（事）業單位的關鍵信息基礎設施的安全風險進行抽查檢測和評估。相關部門、機構及時與重要的企（事）業單位進行溝通協作，促進運營者、網絡安全機構、相關安全研究單位之間的信息共享。

2.明確各級主體的責任義務

監察機制由國家機關、部門機構、企（事）業單位三級主體構成。在實際運營中，只依運營者自身能力可能無法很好的保障關鍵信息基礎設施的安全，必須引導外力加以輔助甚至主導特殊情況下的關鍵信息基礎設施保護的實施。 因此，由國家相關部門對針對關鍵信息基礎設施的應急處置建立應急備份和災難恢復機制，承擔救助義務。有重大影響的企（事）業單位和部分部門機構是主要的關鍵信息基礎設施的實際運營者，負責落實日常安全維護和人員審查以及其他保護性措施。