作者:崔聪聪 中国网络空间安全协会法律与公共政策专业委员会秘书长
网络社会,国家安全、经济繁荣以及人民福祉严重地依赖“关键信息基础设施”这一复杂的动态巨系统。关键信息基础设施的战略性和基础性地位使其成为大国之间网络安全博弈的焦点,也是今后“网络战”的重点攻击目标。近年来,关键信息基础设施面临的安全威胁在急剧增加,针对关键信息基础设施的新型攻击和破坏手段层出不穷。关键信息基础设施安全关涉国家核心利益,完善关键信息基础设施保护法律体系,全面提升关键信息基础设施安全保障能力和保护水平,是全面建成小康社会、实现“两个一百年”奋斗目标和中华民族伟大复兴中国梦的重要保障。
一、完善关键信息基础设施保护法律体系的必要性
互联网本身的脆弱性与关键信息基础设施持续安全稳定运行的高要求存在尖锐矛盾。关键信息基础设施间的相互关联与耦合,在提升社会整体协同与运作效率的同时,也面临着恶意攻击、自然灾害破坏引发的连锁反应,可能造成跨部门、跨区域的大面积基础设施受损或瘫痪并引发相应的服务中断与缺失。这种脆弱性与传统的威胁交织在一起成为网络社会新型危机的根源。
金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重。近年来,一系列针对关键信息基础设施特别是工业系统和金融系统的破坏性攻击被曝光:乌克兰停电事件,沙特Shamoon2.0事件,孟加拉央行被窃事件,美国亚特兰大市政府和印度电力公司遭勒索软件攻击事件等。同时,伴随云计算、大数据、物联网、人工智能等新技术的快速应用,关键信息基础设施的脆弱性和安全威胁呈现快速增长态势,高级定向威胁、武器化的勒索蠕虫、利用物联网形成的超大规模僵尸网络,使得攻击成本不断下降,攻击能力却成几何级增长,关键信息基础设施面临着巨大挑战。在未来几年中,针对能源、交通、制造、金融、通信等领域的关键信息基础设施破坏性攻击仍将持续加剧,安全生产事故,甚至是安全生产灾难,随时都有可能大规模爆发。
当前,我国关键信息基础设施面临的安全形势非常复杂,网络运营者安全防护能力十分欠缺,工控系统安全隐患非常突出,党政机关网站被不法分子攻击篡改严重,个人信息和数据泄露实践频繁发生,网络安全威胁的隐蔽性导致网络运营者遭受重大损害时才发现补救。2017年5月永恒之蓝勒索病毒事件,公安、石油、教育等机构发生感染,导致部分关键业务停摆,彰显了关键信息基础设施的脆弱。在大量不可预知的安全风险和隐患面前,我国网络关键信息基础设施面临的安全形势极其严峻。
党的十八大以来,以习近平同志为核心的党中央高度重视关键信息基础设施安全保护工作,就加强关键信息基础设施安全保护做出了一系列重大决策部署。在中央网络安全和信息化领导小组第一次会议上,习近平总书记指出要完善关键信息基础设施保护等法律法规。在网络安全和信息化工作座谈会上,习近平总书记明确要求“加快构建关键信息基础设施安全保障体系”。为维护国家网络空间主权和国家安全、社会公共利益,全国人大常委会于2016年11月7日通过了《网络安全法》,专设关键信息基础设施运行安全一节,构建起以信息共享为基础,事前预防、事中控制、事后恢复与惩治的关键信息基础设施保护体系。
在《网络安全法》正式实施后不久全国人大常委会就《网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》贯彻实施情况开展执法检查。实施情况报告指出,围绕关键信息基础设施法律实施、监督检查、应急响应、技术手段、人才培养等方面,各有关部门开展了大量工作,提升了行业网络安全防护水平,但是,关键信息基础设施安全保护仍存在以下问题:(1)网络安全态势感知平台建设滞后;(2)容灾备份体系建设总体滞后;(3)重要工业控制企业的设备和控制系统国产化程度有待提高;(4)应急预案流于形式。在测试的120个关键信息基础设施中,共存在30个安全漏洞,包括高危漏洞13个。此外,问题还涉及网络安全意识有待增强、配套法律法规有待完善、管理部门权责划分需进一步界定和协调、网络安全基础性工作仍需夯实等几个方面。
因此,迫切需要在习近平新时代中国特色社会主义思想的指引下,遵循总体国家安全观,以建设网络强国为目标,加快制定关键信息基础设施安全保护条例等法律法规,防控重大网络安全风险,确保国家网络空间长治久安。
二、关键信息基础设施安全保护法律体系的理念和思路
相对安全观告诉我们,任何网络系统都不能够实现百分之百的安全。基于网络攻击的低成本性、隐蔽性以及影响范围广等特征,仅仅依靠事后惩治显然不能对网络攻击和各种破坏活动起到有效的威慑作用。关键信息基础设施一旦瘫痪或被摧毁,国家的经济和社会福祉乃至国家安全都会受到致命影响。因此,网络风险防控远比事后惩治和打击重要。网络安全风险的客观性和风险导致损害的不可逆性,要求关键信息基础设施安全保护法律体系的构建应以网络安全风险防控作为制度设计的出发点和落脚点,从发现和隔离网络安全风险、控制和降低网络安全风险引发的损害、科学合理分配网络安全风险引发的损失的整个流程构建一整套包括监测、预警、响应、控制以及应急恢复等在内的关键信息基础设施安全保护制度体系,确保关键信息基础设施的安全稳定运行。
(一)风险评估
风险由资产、威胁、脆弱性三要素构成。其中,对网络运营者而言只有脆弱性是可控的。来自网络系统内部的脆弱性往往表现为安全漏洞。风险评估作为实现关键信息基础设施安全纵深防御的前提,其主要作用就是准确地评估关键信息基础设施存在的主要安全隐患和潜在风险,风险评估结果是关键信息基础设施安全防护与监控策略的基础。风险评估应贯穿于关键信息基础设施的整个生命周期,即从设备的采购、运行、维护、报废阶段分别进行,但不同阶段的重点应有所不同。
(二)态势感知
态势感知是发现和隔离网络安全风险、应对网络安全威胁的有效措施。网络安全的整体性、动态性、开放性,使传统的围墙式防御思维无法应对变化多端的新安全形势,必须落实全天候全方位感知网络安全态势的工作要求,在传统的安全防御能力之上叠加上新的基于持续监测和及时响应处置的安全能力,也就是态势感知能力。
提高态势感知、应急响应和恢复能力,在强化运营者自身收集、分析网络安全信息能力的同时,需要建立完善的网络安全信息共享机制。网络安全信息共享不仅有助于理解现实的安全状况、风险与潜在威胁,还能从整体上把握安全态势,借助海量数据实时发现网络攻击行为,并且有效、快速地进行安全预警和安全防御,将损害降至最低。
(三)风险分配
风险分配是风险处置流程的重要环节,是防控网络安全风险的重要措施,但网络安全风险分配制度尚未引起我们足够的重视,实务界和理论界都鲜有提及。网络安全风险分配机制的积极作用在于防止网络运营者不当转嫁网络安全风险引发的损失,促使其提升防控网络安全风险的积极性。以数据泄露为例,由于缺乏公平合理的风险分配机制,导致网络运营者将本应由自身承担的损失不当转嫁给了用户,其结果是网络运营者没有增加成本、采用最新网络安全技术防止数据泄露的积极性,层出不穷的数据泄露事件也就在所难免。
信息技术的广泛应用增加了人类的风险,但网络安全风险问题仍要依靠技术进步来解决。网络安全风险多数是由网络技术不完善引起的,网络安全风险分配应以促进网络安全技术进步为出发点,依照可控性、可预见性规则,将网络安全风险分配给最有能力控制和预防风险的一方——网络运营者,促使其及时采用网络安全技术的最新成果,以防范、控制网络安全风险。这一过程可描述为:风险发生——网络运营者承担风险,增加成本——为了降低成本,要求有更新、功能更强的网络安全技术——上述需求反馈于市场——市场提供新的网络安全技术。
三、关键信息基础设施安全保护法律体系的核心要素
(一)保护客体(对象)
科学确定关键信息基础设的保护客体是对其进行保护的前提。将关涉国家安全、国计民生和公共利益的网络设施、信息系统纳入保护客体,目前已取得广泛共识,但数字资产能否纳入关键信息基础设施的范畴,尚存争议。仅将关键信息基础设施定义为信息系统、网络设施或应用软件,已不能适应越来越严峻复杂的网络安全风险和威胁。美国2001年《爱国者法案》以及2009年《国家基础设施保护计划》,加拿大和澳大利亚等国的相关立法,经济合作与发展组织2008年《关于关键信息基础设施保护建议》等,均将数字资产纳入关键信息基础设施的保护范围。关键信息基础设施往往存储着大量敏感数据,这些数据一旦泄露将危害国家安全。技术变革以及威胁变化势必带来安全观念的变革,关键信息基础设施的范畴也将处于动态变化之中。鉴于数据资产在一国经济建设、国防建设和社会发展中的作用,应将数字资产纳入关键信息基础设施的保护客体(对象)。
(二)落实和强化主体责任
主体责任要求关键信息基础设施运营者按照“谁主管谁负责、谁运行谁负责”的总体要求,落实“三同步”要求,设置专门安全管理机构和安全管理负责人,对安全机构负责人和关键岗位的人员进行安全背景审查,对重要系统和数据库进行容灾备份,严格执行网络安全审查、个人信息和重要数据境内存储及其出境安全评估的规定,按照规定对其网络的安全性和可能存在的风险进行检测评估,制定应急预案并组织演练等,确保关键信息基础设施的运行安全。
与法律责任的事后惩罚性不同,关键信息基础设施主体责任的特殊性着眼于运营者自身的积极性和主动性。人财物投入是提升网络安全保障能力的基础,严格履行上述法定义务是能力提升的保障,同时考虑到机构企业的决策管理机制现状,应当建立关键信息基础设施运营者的主要负责人负总责的“一把手负责制”,在保障人财物投入的同时,将上述法定义务内化于各项工作中,增强自身的强壮性以有效抵御网络安全风险。
(三)监管体制
关键信息基础设施关涉国家安全和社会公共利益,在强化主体责任的同时,应建立健全关键信息基础设施安全监督管理体制。在确定关键信息基础设施领导机构的基础上,应依照《网络安全法》的规定明确国家网信部门负责指导协调关键信息基础设施安全保护工作,相关行业主管监管部门负责关键信息基础设施的具体保护工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责关键信息基础设施安全保护和监督管理工作。
整体安全观和共同安全观需要有完善高效的顶层协调机制,应充分发挥国家网信部门的指导和统筹协调职能。统筹协调有利于构建国家、部门、关键信息基础设施运营者以及社会各方面共同参与支持的安全保障体系。关键信息基础设施保护涉及不同行业、领域,需要通过统筹协调充分发挥不同行业主管部门的积极性。通过统筹协调,合理分配网络安全保护资源,集中国家力量和有限的资源,既做到全方位实施保护,又体现突出重点和保护重点。网络安全风险处置需要整体协作、提升效率,通过统筹协调,建立网络安全信息共享机制、完善监测预警和应急体系,有利于从整体上防控关键信息基础设施的网络安全风险,也有利于关键信息基础设施遭受大规模攻击后的集中应急处置。统筹协调有利于厘清政府与市场的关系,既发挥政府的主导作用,又充分发挥市场的能动作用,通过网络安全服务市场充分竞争、有效竞争,解决技术产业支撑能力不足的突出问题。频繁的“关键信息基础设施安全检查”可能会干扰企业的正常经营活动,统筹协调有利于避免各行业部门采取不同的尺度、重复性的管理活动,避免重复检测、检查问题。
(四)提升网络安全意识
运营单位的网络安全意识欠缺是关键信息基础设施面临的最大风险。虽然网络安全已上升到国家安全高度,但对关键信息基础设施安全的认识和行动仍存在不平衡、不充分的现象,重事后补救而轻视事前预防,过多依赖技术手段而轻视管理手段,经费投入与专业技术人员严重不足,教育培训流于形式,口号多于行动等等。众多安全事件表明,人的网络安全意识和能力的短板是不可忽视的安全风险。通过开展网络安全专项教育和网络安全知识培训,使运营单位深刻认识到关键信息基础设施的关键地位和基础性、全局性、支撑性作用,认识到保证关键信息基础设施安全对于维护国家网络空间主权和国家安全、保障经济社会健康发展、维护公共利益和保障公民人身和财产安全的重大意义,树立并自觉践行相对、动态、整体、共同和开放的网络安全观,全面摸清“家底”和安全保护状况,排查网络安全风险,堵塞网络安全漏洞,落实网络安全责任,切实提高网络安全防护意识,全面提高网络安全保障能力和防护水平,坚决杜绝重大网络安全事件的发生。
中国特色社会主义事业进入新时代,党和国家事业正在发生历史性变化,网络与政治、经济、文化、社会、军事、外交等各个领域全面深度融合,以关键信息基础设施安全为核心内容的网络空间安全逐渐成为国家安全的核心要素。完善关键信息基础设施安全保护法律体系,是贯彻习近平新时代中国特色社会主义法治思想、总体国家安全观,推动实施网络强国战略,推进国家治理体系和治理能力现代化的重要举措。在关键信息基础设施安全保护顶层设计日臻完善的背景下,应尽快出台《关键信息基础设施安全保护条例》,并在《网络安全法》和条例的框架内,推动制定完善关键信息基础设施认定、关键岗位和关键人员的安全背景审查、安全检测和评估、网络安全信息共享、网络安全服务机构管理等制度规范和标准,与已经出台的《网络产品和服务安全审查办法(试行)》《国家网络安全事件应急预案》《一流网络安全学院建设示范项目管理办法》等制度规范协同配合,共同保障关键信息基础设施安全。