关于“关键信息基础设施”(critical infor- mation infrastructure,简称 CII),《网络安全法》给出的定义,即:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施。”CII最初是由通信信息网络发展而来,信息和电信部门构成了其主要部分。随着网络的应用和普及,CII不仅仅局限于此,还涵括了电信、计算机、互联网、卫星、光纤等支撑基础设施运行的部分。
在我国,《关键信息基础设施安全保护条例(征求意见稿)》对关键信息基础设施(“CII”)的范围进行了界定。关键信息基础设施保护范围界定如下:
1.政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
2.电信网、广播电视网、互联网等信息网络,以及提供、和其他大型公共信息网络服务的单位;
公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施。
一是关键信息基础设施关乎国家安全和社会稳定。随着信息化的快速普及和发展,关键信息基础设施作为事关国家安全和社会稳定的重要战略资源的地位日益凸显。首先,互联网的飞速发展,使得网络入侵和网络攻击事件频发,严重威胁着关键信息基础设施的正常运转,给国家安全带来极大隐患。其次,关键信息基础设施是和网络攻击的重点对象,各国均将视为网络安全的重点并上升到国家安全的高度。通常认为,关键基础设施或关键信息基础设施是支撑国家安全和公共利益的重要基础设施。同时,国家之间的网络战争威胁日益加剧。信息技术的快速发展极大地开拓了互联网络平台,网络攻击不再仅仅依附于传统的常规战争而存在,已经拓展和波及所有与网络相关的事件和人员,通过技术手段破坏关键信息基础设施从而导致政府机构、通信瘫痪已然成为网络战争的重要手段。基于此,为了更好地应对各种形式的网络攻击,维护国家安全和社会稳定,应加强对关键信息基础设施的保护。
二是加强关键信息基础设施安全保护是社会持续运转的重要保障。关键信息基础设施为国家机构、各行业正常运转提供必需的产品和服务。关键信息基础设施承载或支撑着各行业关键核心业务,即支撑部门行使职能,对于部门或行业稳定运行具有战略性作用。其次,关键信息基础设施是行业运作体系中被强依赖的关键节点,它所承载的业务对其他部门或行业核心业务有较大关联性影响。对这类关键信息基础设施的攻击所产生的破坏,通过关联的行业、领域逐渐传递,会造成连锁连片的严重后果。且随着国家信息化战略的实施和通信技术的不断升级,关键信息基础设施建设不断提速,信息技术的研发和应用正在催生新的经济增长点,这对于调整经济结构、转变发展方式具有十分重要的作用。因此,社会的持续运转需要大力加强对关键信息基础设施的保护。
三是对关键信息基础设施进行法律保护是顺应国际形势的必要举措。目前各个国家均已建立关键信息基础设施安全保护的相关制度,美、德、英、日等国家通过出台和发布政策、法律、标准等多种措施,构建了国家关键信息基础设施保护体系。各国通过发布或升级监管框架、出台指南、完善机构设置等方式进一步推动关键信息基础设施的安全防护工作落地和具体化,提升工业信息安全防护水平。而针对新一代信息技术的应用可能面临的信息安全风险,也已有一些国家做出了相关的尝试,如英国政府致力于保护关键基础设施免受针对计算机或通信系统的电子攻击威胁,并建立了由国务大臣负责的国家基础设施保护中心为核心,各基础设施部门具体实施相关职责的关键基础设施保护管理体系。因此,为了提升我国关键信息基础设施防护水平,加强监管,防止安全事件发生,我国须加快对关键信息基础设施相关法律法规细则进行研究制定工作。
四是加强关键信息基础设施安全保护对于公民福祉的保障意义重大。加强关键信息基础设施安全保护的根本是对公民福祉、公民利益的保护。关键信息基础设施运行过程中存储或传输的信息数据大量集中或极其敏感,其中供水、供电、医疗卫生、社会保障等公共服务领域的信息系统、政务网络及网络服务提供者所有和管理的网络及系统中有大量的公民身份信息、金融信息等,这些信息一旦被恶意收集或利用,必将损害公民的利益。其次,基于其他行业对于关键信息基础设施的依赖性,加强关键信息基础设施的保护,可以使得公民的工作、生活等更加便利。国家安全、社会稳定及社会的持续运转等是公民福祉得以保障的前提,故加强关键信息基础设施建设也关乎公民福祉。
互联互通社区专注于IT互联网交流与学习,旨在打造最具价值的IT互联网智库中心,关注公众号:互联互通社区,每日获取最新报告并附带专题内容辅助学习。
方案咨询、架构设计、数字化转型、中台建设、前沿技术培训与交流,合作请+微信:hulianhutongshequ