一場(chǎng)肆虐全球的勒索病毒風(fēng)暴帶來互聯(lián)網(wǎng)災(zāi)難，不僅給廣大電腦用戶造成了巨大損失，同時(shí)嚴(yán)重影響到金融、能源、醫(yī)療、政府等眾多關(guān)系國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵行業(yè)部門，造成嚴(yán)重的危機(jī)。從中引出的“關(guān)鍵信息基礎(chǔ)設(shè)施”安全問題成為網(wǎng)絡(luò)安全、信息安全的重中之重。

　　關(guān)鍵信息基礎(chǔ)設(shè)施

　　《網(wǎng)絡(luò)安全法》第三十一條 國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

　　《網(wǎng)絡(luò)安全法》首次提出“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念并對(duì)其范圍進(jìn)行了明確。根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，我們可以大體將關(guān)鍵信息基礎(chǔ)設(shè)施劃分為以下五大類：（1）基礎(chǔ)信息網(wǎng)絡(luò)，主要包括廣電網(wǎng)、電信網(wǎng)、互聯(lián)網(wǎng)；（2）重要行業(yè)和公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，例如核島控制系統(tǒng)、銀聯(lián)交易系統(tǒng)、智能交通系統(tǒng)、供水管網(wǎng)信息管理系統(tǒng)、社保信息系統(tǒng)等；（3）電子政務(wù)，例如電子政務(wù)系統(tǒng)、政府門戶網(wǎng)站等；（4）國(guó)家安全網(wǎng)絡(luò)，例如軍事通信網(wǎng)、軍隊(duì)指揮自動(dòng)化系統(tǒng)等；（5）用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)商系統(tǒng)，例如百度、阿里、騰訊等IT巨頭運(yùn)營(yíng)的特定網(wǎng)絡(luò)和系統(tǒng)等。對(duì)于前述關(guān)鍵信息基礎(chǔ)設(shè)施的分類和范圍劃分只是學(xué)者和行業(yè)從業(yè)者的一些解讀，關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法還有待國(guó)務(wù)院后續(xù)制定法規(guī)確定，建議企業(yè)應(yīng)當(dāng)密切關(guān)注。根據(jù)國(guó)家網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局負(fù)責(zé)人的說法，目前國(guó)家互聯(lián)網(wǎng)信息辦公室正會(huì)同有關(guān)部門按照《網(wǎng)絡(luò)安全法》的要求，抓緊研究制定相關(guān)指導(dǎo)性文件和標(biāo)準(zhǔn)，指導(dǎo)相關(guān)行業(yè)領(lǐng)域明確關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍。

　　在《網(wǎng)絡(luò)安全法》出臺(tái)以前，現(xiàn)有法律條文中并沒有給出關(guān)鍵信息基礎(chǔ)設(shè)施的明確概念，在涉及重要或者關(guān)鍵的信息基礎(chǔ)設(shè)施的保護(hù)時(shí)經(jīng)常處于無法可依的狀況或者存在相關(guān)法規(guī)層級(jí)較低而無法有力保護(hù)的情況。現(xiàn)有法規(guī)文件主要從重大基礎(chǔ)設(shè)施、重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng)等幾個(gè)方面做出了規(guī)定。

　　重大基礎(chǔ)設(shè)施:“《國(guó)務(wù)院辦公廳關(guān)于開展重大基礎(chǔ)設(shè)施安全隱患排查工作的通知》國(guó)辦發(fā)〔2007〕58號(hào)”中使用了“重大基礎(chǔ)設(shè)施”的概念，并列舉了公路、鐵路、水運(yùn)交通設(shè)施、大型水利設(shè)施、大型煤礦、重要電力設(shè)施、石油天然氣設(shè)施、城市基礎(chǔ)設(shè)施等九種類別。

　　重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息系統(tǒng):《2012年重點(diǎn)領(lǐng)域網(wǎng)絡(luò)與信息安全檢查總結(jié)報(bào)告》中指出各重點(diǎn)領(lǐng)域的“重要網(wǎng)絡(luò)與信息系統(tǒng)”，其中的調(diào)查報(bào)告則初步列舉了我國(guó)多個(gè)關(guān)系國(guó)家安全、經(jīng)濟(jì)秩序正常運(yùn)行和社會(huì)穩(wěn)定的“關(guān)鍵網(wǎng)絡(luò)與信息系統(tǒng)”。初步劃定了我國(guó)信息安全保障的重點(diǎn)。

　　“三同步”原則

　　《網(wǎng)絡(luò)安全法》第三十三條 建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運(yùn)行的性能，并保證安全技術(shù)措施同步規(guī)劃、同步建設(shè)、同步使用。

　　《網(wǎng)絡(luò)安全法》明確建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施的三同步原則。三同步原則以“同步規(guī)劃、同步建設(shè)、同步使用”為指導(dǎo)思想，本著“誰(shuí)主管、誰(shuí)負(fù)責(zé)”工作原則落實(shí)執(zhí)行，在系統(tǒng)生命周期各階段明確責(zé)任部門及安全職責(zé)，在全過程中推行安全同步開展，強(qiáng)化安全工作前移，降低運(yùn)維階段的服務(wù)壓力。《網(wǎng)絡(luò)安全法》的三同步原則在《安全生產(chǎn)法》、《環(huán)境影響評(píng)價(jià)法》中都有類似規(guī)定，經(jīng)過長(zhǎng)期的實(shí)施也已經(jīng)相對(duì)規(guī)范，建議企業(yè)在應(yīng)對(duì)新法實(shí)施中的具體問題時(shí)可以參考前述規(guī)定的實(shí)施情況來理解、落實(shí)具體項(xiàng)目的“三同步原則”。

　　企業(yè)在具體落實(shí)三同步原則時(shí)，可以從以下方面理解三同步原則：

　　同步規(guī)劃：在業(yè)務(wù)規(guī)劃的階段同步納入安全要求，引入安全措施。

　　同步建設(shè)：在項(xiàng)目建設(shè)階段，通過合同條款落實(shí)系統(tǒng)集成商、廠商的責(zé)任，保證相關(guān)安全技術(shù)措施的順利準(zhǔn)時(shí)建設(shè)；保證項(xiàng)目上線時(shí)，安全措施的驗(yàn)收和工程驗(yàn)收同步，確保只有符合安全要求的系統(tǒng)才能上線。

　　同步使用：安全驗(yàn)收后的日常運(yùn)營(yíng)維護(hù)中，應(yīng)當(dāng)保持系統(tǒng)處于持續(xù)安全防護(hù)水平。

　　網(wǎng)絡(luò)安全審查制度

　　《網(wǎng)絡(luò)安全法》第三十五條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。

　　根據(jù)《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第五至第八條規(guī)定，網(wǎng)絡(luò)安全審查工作的組織和領(lǐng)導(dǎo)工作由網(wǎng)絡(luò)安全審查委員會(huì)承擔(dān)，該委員會(huì)由國(guó)家網(wǎng)信辦會(huì)同有關(guān)部門成立。委員會(huì)下設(shè)網(wǎng)絡(luò)安全審查辦公室，網(wǎng)絡(luò)安全審查辦公室具體組織實(shí)施網(wǎng)絡(luò)安全審查。此外，委員會(huì)還組建網(wǎng)絡(luò)安全審查專家委員會(huì)。網(wǎng)絡(luò)安全審查委員會(huì)、辦公室、專家委員會(huì)整體構(gòu)成了網(wǎng)絡(luò)安全審查工作的頂層制度設(shè)計(jì)。《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》同時(shí)明確“重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性”。

　　《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第十二條 網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)安全審查工作予以配合，并對(duì)提供材料的真實(shí)性負(fù)責(zé)。第三方機(jī)構(gòu)等相關(guān)單位和人員對(duì)審查工作中獲悉的信息等承擔(dān)安全保密義務(wù)，不得用于網(wǎng)絡(luò)安全審查以外的目的。

　　《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第十四條 網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者認(rèn)為第三方機(jī)構(gòu)等相關(guān)單位和人員有失客觀公正，或未能對(duì)審查工作中獲悉的信息承擔(dān)安全保密義務(wù)的，可以向網(wǎng)絡(luò)安全審查辦公室或者有關(guān)部門舉報(bào)。

　　安全審查中還需要注意的一點(diǎn)是網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的注意事項(xiàng)，金融機(jī)構(gòu)經(jīng)常會(huì)采購(gòu)的設(shè)備和軟件很多可能屬于關(guān)鍵信息基礎(chǔ)設(shè)施的范疇，建議在未來采購(gòu)中要求供應(yīng)商提供有關(guān)的安全認(rèn)證和安全檢測(cè)結(jié)果。對(duì)于尚未明確的判斷標(biāo)準(zhǔn)，金融機(jī)構(gòu)應(yīng)當(dāng)持續(xù)關(guān)注后續(xù)配套法規(guī)的出臺(tái)以及相關(guān)部門在實(shí)施中作出的解讀。

　　網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)

　　《網(wǎng)絡(luò)安全法》第三十八條 關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)自行或者委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)其網(wǎng)絡(luò)的安全性和可能存在的風(fēng)險(xiǎn)每年至少進(jìn)行一次檢測(cè)評(píng)估，并將檢測(cè)評(píng)估情況和改進(jìn)措施報(bào)送相關(guān)負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門。

　　《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第七條 國(guó)家依法認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)，承擔(dān)網(wǎng)絡(luò)安全審查中的第三方評(píng)價(jià)工作。

　　《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》第十一條 承擔(dān)網(wǎng)絡(luò)安全審查的第三方機(jī)構(gòu)，應(yīng)當(dāng)堅(jiān)持客觀、公正、公平的原則，按照國(guó)家有關(guān)規(guī)定，參照有關(guān)標(biāo)準(zhǔn)，重點(diǎn)從產(chǎn)品和服務(wù)及其供應(yīng)鏈的安全性、可控性，安全機(jī)制和技術(shù)的透明性等方面進(jìn)行評(píng)價(jià)，并對(duì)評(píng)價(jià)結(jié)果負(fù)責(zé)。

　　現(xiàn)有規(guī)定未就網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)的資質(zhì)和評(píng)估標(biāo)準(zhǔn)作出具體規(guī)定。根據(jù)《網(wǎng)絡(luò)安全法》的描述，網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)負(fù)責(zé)對(duì)網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估，而《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》規(guī)定，國(guó)家將統(tǒng)一認(rèn)定網(wǎng)絡(luò)安全審查第三方機(jī)構(gòu)，并由經(jīng)認(rèn)定的機(jī)構(gòu)承擔(dān)網(wǎng)絡(luò)安全審查中的第三方評(píng)價(jià)工作。因此，我們認(rèn)為網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)應(yīng)當(dāng)是經(jīng)認(rèn)定的網(wǎng)絡(luò)安全審查第三方評(píng)價(jià)機(jī)構(gòu)。

　　結(jié)語(yǔ)

　　為了維護(hù)國(guó)家安全、經(jīng)濟(jì)安全和保障民生，《網(wǎng)絡(luò)安全法》設(shè)專節(jié)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施作了規(guī)定，范圍包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域等，在數(shù)據(jù)安全、網(wǎng)絡(luò)安全問題日益突出的今天，顯然是十分必要的，對(duì)相關(guān)行業(yè)業(yè)務(wù)的發(fā)展必然帶來深遠(yuǎn)影響，我們團(tuán)隊(duì)也將持續(xù)關(guān)注新法實(shí)施后的行業(yè)動(dòng)向。