电子政务 E-GOVERNMENT 2015年第7期(总第151期)
93
学术篇
美国关键信息基础设施保护与中国等级保护制度
*
的比较研究及启示
顾伟
中国社会科学院研究生院 北京 100071
摘 要:随着互联网产业经济的日趋成熟,网络安全问题日益成为全球性问题,由于网络本身的互联互通,各国网络安全法律
之间也因此呈现一定的融合趋势。不同于国际信息网络安全领域的主流方案——关键信息基础设施保护,中国采用独具特色的信息安全等级保护制度。自实施以来,等级保护制度有力地改善了中国的网络安全环境,但也不可避免地面临种种问题,文章从管理体制、标准体系、保护范围、实施程序等方面比较研究了中美两类信息网络安全制度的区别,针对中国等级保护中的突出问题,从制度建设、变革管理思路、明确管理重点、激励多元主体参与等方面提出了建议。
关键词:关键信息基础设施;等级保护;网络安全;信息安全
基础信息网络和重要信息系统的安全,历来是网络安全问题的关键,也是各国信息化立法与监管的重点所在,在许多国家甚至被视作国家安全的重要组成部分。由于政治、法律传统等差异,基础信息网络和重要信息系统的安全保护在不同国家表现为不同的制度安排,相应的顶层设计及法律体系也各具特点,但主流模式仍然比较明显,多数互联网普及率较高的国家和地区采用关键信息基础设施保护(CIIP)制度,在基本概念与制度框架上有很大的共通性,其中以美国最为典型。虽然中国也非常重视对基础信息网络和重要信息系统安全的保护,但并没有采纳主流模式,因为单纯从时间点而言,中国实施的等级保护制度甚至早于美国等国关键信息基础设施保护制度的正式出现1,中国是借鉴相关国际技术标准,自主发育形成了具有中国特色的信息网络安全制度。
然而,实践表明,当前中国的等级保护制度实施得并不理想,信息网络安全问题还比较突出。为此,比较
研究等级保护与关键信息基础设施保护,探析国外有益的立法经验和实践做法,对完善中国网络安全法律制度很有意义。
一、概述
(一)关键信息基础设施保护制度
国外对基础信息网络和重要信息系统的保护,主要借助对基础信息网络和重要信息系统所依附的基础设施系统的整体保护。基础设施(Infrastructure)一般是指为社会生产和居民生活提供公共服务的物质工程设施,是用于保证国家或地区社会经济活动正常进行的公共服务系统。在西方社会,基础设施保护问题原本属于国防军事问题,较少受到公众关注,特别是随着冷战结束,基础设施因遭受攻击或者其他破坏而停止运行的可能性大大降低而退居次要地位。[1]然而,在20世纪90年代中期,信息革命和互联网络兴起,信息通信技术迅速渗透,给社会生活各方面带来前所未有的变化,同时大幅
*基金项目:国家社科基金特别委托项目“《网络安全法》立法研究及草案起草”的中期研究成果。收稿日期:2015-03-20
1 中国信息安全等级保护制度源自1994年的国务院第147号令,而美国关键信息基础设施保护制度(CIIP)形成的标志是1996年7月15日发布的第13010号行政令和1998年第63号总统令(PDD63)《克林顿政府对关键基础设施保护的政策》。
94电子政务 E-GOVERNMENT 2015年第7期(总第151期)
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
度扩大了威胁的范围和影响。因而,关键基础设施保护问题开始受到美国等西方国家政府及公众的重视。
美国政府首倡关键基础设施保护。1996年7月15日,时任美国总统克林顿发布第13010号行政令《关键基础设施保护》,宣布成立关键基础设施保护总统委员会(PCCIP)。1997年,该委员会发布报告指出,安全、经济、生活方式,或许还包括工业化世界的生存,如今全都离不开电力、通信和计算机这三者的交互作用。发达社会严重依赖关键基础设施,而关键基础设施极易受传统的物理破坏和新兴的虚拟威胁。这些基础设施的脆弱性是伴随着相互依赖程度的增加而出现的。报告强调,由于大多数关键基础设施要么建立在脆弱的系统上,要么受系统监视和控制,因此“网络”基础设施成为保护策略的一个新焦点。全球或国家信息基础设施中维系关键基础设施服务持续运转的这一部分称作“关键信息基础设施”。[2]
PCCIP报告发布之后,克林顿政府开始敦促加强对美国境内关键基础设施的保护。2001年“9·11事件”的发生则进一步提高了人们对关键基础设施脆弱性的认识,由此关键基础设施保护立法进程加快。根据《2011年爱国者法》(USA Patriot Act of 2011)1016(e)条的定义,关键基础设施指“各种系统和资产的集合,包括物质的和虚拟的。这些系统和资产对美国极其重要,其失效或者破坏都会对国家安全、经济安全、公共卫生安全中的一种或几种产生负面影响”。《2002年关键基
需要说明的是,在美国等国家政策法律文件中,区分“关键基础设施保护”(CIP)和“关键信息基础设施保护”(CIIP)之间的区别非常必要,但又很难做到。在正式出版物中,这两个术语的使用并不一致,然而即便论述的是CIIP,也经常会采用CIP来表述,特别是早期文件中往往将这两个术语平行使用。[3]近两年,这两个术语的概念在理论与实务界基本没有争议,一般认为CIP牵涉一国基础设施所有关键部门,而CIIP仅仅是全面保护工作的一个分支。不过混同使用现象依然存在,毕竟CIP就是因为信息化及信息安全问题而产生的。鉴于此,本文将更多地从实际意义的角度使用这两个概念。
(二)等级保护制度
与西方国家不同,中国公共政策领域对基础设施保护问题一直缺乏关注。对基础信息网络和重要信息系统的保护,主要是基于接入国际互联网以及国内联网后对网络安全乃至国家安全的考虑。目前,中国等级保护工作在制度建设上已经取得初步进展。首先,政策法律体系已初步完备。等级保护制度始于1994年发布的《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令),其中明确提出了“计算机信息系统实行安全等级保护”。1999年发布的《计算机信息系统安全保护等级划分准则》(GB17859-1999)则从标准角度解析了等级保护制度的划分。中国等级保护工作推动取得突破性进展的标志是2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
础设施信息保护法》(Critical Infrastructure Information 〔2003〕27号,以下简称“27号文”)和2004年发布的Act of 2002)作为《国土安全法》第二部分(Subtitle 《关于信息安全等级保护工作的实施意见》(以下简称B of Title II of the Homeland Security Act)的一部分得以出台,它对关键基础设施保护的原则、适用的范围和效力、项目管理、保护条件、程序、措施及法律责任等都作了详细规定。
“66号文”),两者确立了等级保护作为国家信息安全保障的基本制度。66号文发布后,中国等级保护按照信息系统的涉密情况分成两条线管理,分为非涉密信息系统的“信息系统安全等级保护”和“涉及国家秘密的
电子政务 E-GOVERNMENT 2015年第7期(总第151期)
95
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
信息系统分级保护”2。2005年底,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》。2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门共同发布《信息安全等级保护管理办法》,进一步完善了等级保护制度的要求与业务分工。
其次,标准化建设也初步完成。全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,包括作为基础标准的GB17859-1999和相应的定级指南、基本要求、实施指南、设计技术等核心技术标准,以及与安全保护等级相适应的系列安全产品技术标准。在涉密信息系统分级保护方面,国家保密局也陆续制定和颁布了系列保密技术标准和规范,包括分级保护的技术要求、管理规范、方案设计指南、测评指南等国家保密标准。
目前,全国范围内的重要信息系统安全等级保护定级、备案、整改工作已经基本完成,公安机关对重要信息系统基本能够做到“底数清,情况明”[4]。
性。此外,各国在信息基础设施领域均显得比较谨慎,基本上都有相应的审查许可或类似制度。
从等级保护制度与关键信息基础设施保护的内容看,二者渊源颇深。中国的信息安全标准研究起步较晚,主要是吸收和转化了几个国际通用标准,在此基础上开发了包括等级保护系列标准在内的信息安全标准,只是与国际信息安全标准的发展和研究相比还存在一定的差距。而且,在保护层次上,国内外标准均十分重视宏观网络安全与中观、微观网络安全相结合,在强调整体国家安全、网络安全之余,都重视具体行业领域的安全管理水平,并出台相关行业领域的具体规定、标准乃至指南,指导行业信息基础设施保护工作,也都特别关注相应微观组织信息安全相关事项的评估、测评工作。
三、关键信息基础设施保护与等级保护的客观差别
等级保护制度与关键信息基础设施保护制度固然有共性,但差别更加明显。相比中国的等级保护制度,美国关键信息基础设施保护的组织更加有力,更加强调管理标准,保护范围更加明确具体,并且实现方式更加多元。
二、关键信息基础设施保护与等级保护的共性
自20世纪90年代中期开始,席卷全球的信息产业革命不断向纵深拓展,单一基础设施面临的风险因联网普及而呈持续倍增的趋势,分级分类地实施相关要点重点保护成为各国的必然选择,等级保护制度与关键信息基础设施保护制度随之应运而生。由此,基础信息网络和重要信息系统被置于广泛而丰富的制约机制之下,有效地减少了该领域逾矩的可能和违规的程度。对信息基础设施的保护,不能说内外无差、东西无别,但是信息基础设施与国家安全、公共秩序的关系,均被中外互联网大国不约而同地提及和强调,应当说具有一定的普遍
(一)管理体制
美国关键基础设施保护制度背后的管理体制一直相对稳定,并且主要负责部门与相关业务主管部门分工明确。美国关键基础设施管理体制形成于2002年11月,时任总统布什签署《2002年国土安全法》(The Homeland Security Act of 2002),宣布成立国土安全部,统筹负责关键基础设施保护等工作,该部的重要组成机构之一是信息分析与基础设施保护分局。而后,根据《2006年紧急应变管理改革法》(The Post-Katrina Emergency Management Reform Act of 2006),CIIP主要事项调整由国土安全部全国防护及计划司负
2“涉密信息系统分级保护制度”实际上在中共中央保密委员会2004年12月印发的《关于加强信息安全保障工作中保密管理的若干意见》中就已经被明确提出。
96电子政务 E-GOVERNMENT 2015年第7期(总第151期)
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
责。2013年,奥巴马签署《保护关键基础设施之安全和可恢复的总统令》,又进一步调整细化了国土安全部与相关联邦部门的分工,国土安全部长负责对所有关键基础设施部门定期评估,同时具体负责化学、商业设施、通信、关键制造业、水坝、应急服务、信息技术、核反应堆与核材料及核废料领域的保护工作,并与总务管理局共同负责政府设施的保护,与运输部共同负责交通运输系统的保护。此外,国防工业基地的相关工作由国防部负责,能源方面由能源部负责,金融服务方面由财政部负责,粮食与农业方面由卫生与公共服务部及农业部负责,医疗保健与公共卫生方面由卫生与公共服务部负责,水与废水系统方面则由国家环保局负责。[5]
与美国关键基础设施保护制度相比,中国等级保护制度的管理体制并不顺畅。自1994年国务院第147号令规定由公安部会同有关部门制定安全等级的划分标准和安全等级保护的具体办法以来,中国等级保护工作一直面临着管理权限频繁变动或者权限不明确的问题。在2001年以前,中国非涉密领域等级保护主要是公安部门负责协调,1995年制定的《警察法》第六条明确规定,公安机关的人民警察依法履行“监督管理计算机信息系统的安全保护工作”。2001年8月,中共中央、国务院决定重新组建国家信息化领导小组,并成立国务院信息化工作办公室,等级保护作为信息化和信息安全的重要内容,其政策规划与综合协调归属于国家信息化领导小组。但随着2008年国家大部制改革的启动,国务院信息化工作办公室被撤销,根据《国务院关于机构设置的通知》(国发〔2008〕11号)及工信部的三定方案,由工信部信息安全协调司负责“协调推进信息安全等级保护
等基础性工作”。但就2008年以来的信息系统安全等级保护实践而言,主要工作仍然由公安部牵头完成,工信部信息安全协调司囿于级别与权限,并没能很好地发挥作用。2014年2月,中央网络安全与信息化领导小组成立,承担具体职责的是中央网络安全和信息化领导小组办公室,等级保护工作又面临新一轮机构与职能调整的考验。等级保护作为跨部门的综合性工作,其领导与综合协调机构的频繁变动,对整体工作的影响不可谓不大。
(二)标准体系
标准体系的比较虽然不涉及制度体系内容本身,却能够深刻反映不同制度之间监管思路的差异。2014年2月12日,美国白宫发布了由国家标准技术研究院(NIST)起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》(Framework for Improving Critical Infrastructure Cybersecurity,FICIC3)。根据FICIC规范,美国的关键基础设施信息安全防护体系框架分为识别、保护、侦测、响应和恢复五个层面,是一种基于生命周期和流程的风险防控体系,主要标准是信息安全管理标准ISO/IEA27001、推荐的联邦政府信息和组织的安全控制措施NISTSP800-53、工控信息安全标准ISA62443及国际上通用的信息系统审计标准COBIT。[6]
中国信息安全等级保护思想源自国外的先进方法。1999年发布的《计算机信息系统安全等级保护划分准则》即源自1983年美国国家计算机安全中心(NCSC)制定的可信计算机系统评估准则(TCSEC4)。TCSEC与CCPECT、FC以及欧洲四国标准ITSEC共同转化为国际通用标准CC,最终被国际标准化组织ISO吸纳成为ISO15408,中国相关标准也多参照ISO15408。在基础性
3 这是棱镜事件后,美国政府首次出台的国家信息安全指导规范,也是奥巴马政府2013年启动保护关键基础设施信息安全战略以来的第一个基础性框架文件。虽然不是强制规范,但很多方面已经有些类似中国的等级保护基本要求,因此也有美国媒体指出此规范有扩大行政监管范围之嫌。
4 中国1999年发布的《计算机信息系统安全等级保护划分准则》实际是TCSEC的一个翻版。
电子政务 E-GOVERNMENT 2015年第7期(总第151期)
97
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
标准基础上,中国陆续发布了定级指南、基本要求、实施指南、测评要求等十余个技术标准,对信息系统特别是业务应用系统安全分等级、按标准进行建设、管理和监督逐步建立健全。
通过标准之间的背景比较可以看出,美中两国基本管理思路存在的差异。美国CIIP所要求的标准侧重管理要求,倾向于提供可供选择的信息安全最佳实践和模型,虽然如ISO/IEC27001在改版后充分考虑了信息处理技术的发展,但它没有涉及对系统和产品技术指标的评估,总体上是偏重于管理的信息安全标准。而中国信息安全等级保护标准,则明显偏向于信息安全产品评估和信息系统技术构建,规定明确具体,选择空间余地小。究其原因,主要是两者出发点不同。CIIP要求的系列标准是以保证组织业务的连续性、缩减业务风险、保证业务安全与最大化投资收益为目的,尤其重视私营组织利益5。[7]信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点,从宏观上指导全国的信息安全工作,目的是构建国家整体的信息安全保障体系。相较而言,美国CIIP偏向考虑监管对象的安全利益与接受程度,而中国等级保护更多是从国家整体层面的安全利益考虑。
此外,虽然CIIP制度与等级保护都是从分级或分类入手,但两者分级或分类的依据也明显不同。等级保护的分级主要考虑四个方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,等级保护的分级以组织外部影响为依据。而CIIP下的关键基础设施,则是依照ISO27001等标准,根据资产、威胁、脆弱点、影响、风
险等各个因素之间的关系,采取定量或者定性的方法进行分级分类,采取何种风险处置措施,也是组织根据自身对风险的接受程度而决定。标准以组织内部业务影响为依据。
(三)保护范围
与国外关键信息基础设施保护相比,中国等级保护制度面临的最突出问题是保护重点不清、范围界定不明。根据27号文,等级保护对象是基础信息网络和重要信息系统6,但它的具体范围却没有确切定义,从实践结果看,大部分行政管理部门受行政教条、“条块”管理的影响,都将本部门所管辖重要行业确定为等级保护范围。[8]截至2014年初,电力、电信、广电、教育、铁路、农业等50余个行业出台了120余份行业等级保护政策文件,电力、银行、税务等30余个行业出台了100余个行业等级保护标准。[9]而同期国外实行关键信息基础设施保护的国家,如美国,则是通过行政法律文件明确保护范围与重点。从克林顿政府时期的八类关键基础设施,到小布什政府时期的十八类,以及奥巴马政府时期的十六类,美国关键基础设施都有明确的法定范畴。
对比而言,中国需要重点保护的行业与领域明显太多,要点不突出,缺乏针对性,管理分散化,制度实施和后续监管难度很大。实际上等级保护制度已经存在行业发展不平衡问题,银行、卫生、交通、广电等本应当重点加强保护的行业目前整体等级保护工作进展缓慢。[8]
(四)实施程序
美国CIIP的核心内容是通过政府提供的多种风险评估方法来识别风险和威胁,进而确定组织的信息安全需求,选择风险控制措施。根据相关立法规定,美国关键基础设施保护主要分为三类对象实施:首先是联邦政府部门与
5 美国约有85%的工业、服务系统、设施是私营的,因而美国在关键基础设施领域对公私合作及私营组织利益非常重视。
6 27号文指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。”
98电子政务 E-GOVERNMENT 2015年第7期(总第151期)
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
各独立监管机构,根据2003年发布的《国土安全第7号总信息的法律障碍。该法案规定,关键基础设施机构可以自
统令》(Homeland Security Presidential Directive 7: Critical 愿向国土安全部提交关键基础设施及其保护系统的漏洞信Infrastructure Identification, Prioritization, and Protection),所有联邦部门和机构负责人负责本部门的关键基础设施和核心资源的保护工作,严格落实《2002年联邦信息管理法》有关信息安全保护和风险防范的要求;其次是各州、各地方政府、部落地区及海外领地,根据《2002年国土安全法》,联邦关键基础设施保护规定同样适用,对于国土安全部(Homeland Security Office)发布的《国家基础设施保护计划》,各地方亦应当建立相应的符合规定的计划,同样这也是强制性实施;最后,对于占有关键基础设施最多的私营组织,根据《2002年关键基础设施信息保护法》及相关规定,美国政府主要扮演服务者的角色,鼓励私营组织自愿参与关键基础设施保护计划,鼓励私营组织参与信息共享。7而中国等级保护工作的重点在定级与备案。信息系统定级工作按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
比较而言,区分政府部门与私营组织,重视公私合作是美国CIIP制度的突出特点。《2002年关键基础设施信息保护法》有效清除了私营部门和政府共享关键基础设施
四、关键信息基础设施保护对中国等级保护制度变革的启示
通过比较不难看出,中国的信息安全等级保护还存在很大不足,不仅制度建设不健全,在管理体系上也存在一些问题。等级保护制度的某些缺陷,一部分源于传统的管控思维,一部分源于法治建设的滞后。通过与国际社会的比较,我们必须正视市场经济体制与网络全球化对网络安全的影响,充分借鉴国外关键信息基础设施保护的有益经验,同时考虑到本国国情,科学合理地推动中国等级保护制度的变革。
首先要加强制度建设。一是要将等级保护上升到《网络安全法》层面,使信息安全等级保护工作于法有据。目前等级保护制度仍缺乏明确的法律支撑,主要依据是国务院的文件以及部门规章,缺乏立法保障。二是在立法中注重顶层设计,明确等级保护工作的主管部门与部门分工。等级保护涉及部门行业较多,跨部门协作息,“可以自愿”是一种“谨慎的”信息共享的理念。政府只要求私营部门“自愿”提供关键基础设施信息,而不能强制性地要求私营部门提供这些信息,这是该法案的核心原则。联邦政府部门也特别重视与私营企业及研究机构的合作。早在1996年,美国联邦调查局就与多达8300家企业联手组建了一个名为“InfraGard”的特殊联盟,FBI与这些企业共享有关国家关键基础设施网络和物理威胁的信息共同防范恐怖攻击。8美国国土安全部作为主管部门更是推出诸多针对私营组织等合作伙伴的培训方案以及技术研发支持。
7 事实上,美国政府针对私营组织的关键基础设施的强制性监察一直都有,只是这些手段没有纳入CIP计划中,它们的目的也不是为保护关键基础设施,主要为反恐、反间谍等。比如2001年通过的《爱国者法》就曾授权相关部门为防止泄密,限制传播仇恨的信息,可对可疑电讯及商业记录予以监视等。
8 InfraGard 组织仍在运行并发挥作用,截至目前,美国500强企业已有350家是该组织的成员。
电子政务 E-GOVERNMENT 2015年第7期(总第151期)
99
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
不可避免,各职能部门的权限与责任必须要通过立法予以确定,以避免推诿扯皮。因为之前的机构改革,当前等级保护的统筹协调部门需要重新确定,主要管理部门的分工需要加以调整,而等级保护涉及的对重要行业负责的业务主管部门,更是政策空白,需要落实到位。
其次要变革管理思路。美国CIIP制度最大的特点在于强调全过程管理,不仅在标准上偏重评估与管理,在政策导向上,也以指导确立系统的管理流程为主,尤其重视系统的可恢复性与应急响应,等级保护制度在这方面做得还很不到位。另外,等级保护制度行政主导色彩比较强,更多地是充当管理者,服务意识不强,以至各类组织多以“合规”的心态被动参与,各类组织尤其是私营组织对信息安全的“效应性”主动需求得不到体现和释放,尤其是私营组织的重要性得不到体现,政府与相关企业之间的信息共享机制更无从谈起。
再次要明确管理重点。中国等级保护制度的最大问题是“眉毛胡子一把抓”,不区分是否属于关键领域,盲目在各部委、分管行业部门一体推行等级保护制度,导致资源分配的平均主义与无效率。因此,等级保护制度迫切需要明确“关键”的范围,不能以“基础信息网络和重要信息系统”这样的含糊词汇一以概之,必须列举出具体的重点保护范围,确保国家有限的行政资源投入最关键的领域,真正实现相关领域安全的自主可控。
最后要采取多元方案。美国CIIP制度的差异化特征非常明显,特别是明确区分了政府部门自身与私营组织,采取不同的实施标准与管理要求。随着中国信息化水平的不断提高,私营组织所占基础信息网络和重要信息系统的比例将会越来越高,对国家整体信息安全的影响越来越大,因而在制度改革过程中,必须重视提高私营组织保护关键信息基础设施的积极性与主动性,更多地采取诱因激励的方式,通过制度设计,构建企业与政
府之间良性的信息共享机制。至于政府部门以及关系国家安全和国民经济命脉的重要行业和关键领域,则应当执行相对更加严格的强制性安全标准与要求,明确违法违规行为的法律惩戒。
参考文献:
[1]Luiijf E A M, Burger H H, Klaver M H A. Critical (Information) Infrastructure Protection in The Netherlands[C/OL]. [2015-06-20]. http://subs.emis.de/LNI/Proceedings/Proceedings36/GI-Proceedings.36-1.pdf.[2]President's Commission on Critical Infrastructure Protection. Critical Foundations: Protecting America's Infrastructures[R]. 1997.
[3]威格特 D. 关键信息基础设施保护:十四国安全保护政策陈述和分析[M]. 合肥:中国科学技术大学出版社,2007: 2-3.
[4]信息安全等级保护技术大会在沈阳召开[EB/OL]. (2014-07-07)[2015-06-23]. http://news.xinhuanet.com/info/2014-07/07/c_133465847.htm.
[5]Designated Critical Infrastructure Sectors and Sector-Specific Agencies. Presidential Policy Directive -- Critical Infrastructure Security and Resilience[S]. 2013-02-12.[6]National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity[S]. 2014-02-12.
[7]刘红. 美国对关键基础设施的技术保护[J]. 国际技术经济研究,2004(4).
[8]王文文,孙新召. 信息安全等级保护浅议[J]. 计算机安全,2013(1).
[9]郭启全. 落实信息安全等级保护制度 维护关键信息基础设施安全[J]. 保密科学技术,2014(2).
作者简介:
顾伟,江苏盐城人,中国社会科学院研究生院行政法学博士研究生,研究方向:信息法学。
电子政务 E-GOVERNMENT 2015年第7期(总第151期)
93
学术篇
美国关键信息基础设施保护与中国等级保护制度
*
的比较研究及启示
顾伟
中国社会科学院研究生院 北京 100071
摘 要:随着互联网产业经济的日趋成熟,网络安全问题日益成为全球性问题,由于网络本身的互联互通,各国网络安全法律
之间也因此呈现一定的融合趋势。不同于国际信息网络安全领域的主流方案——关键信息基础设施保护,中国采用独具特色的信息安全等级保护制度。自实施以来,等级保护制度有力地改善了中国的网络安全环境,但也不可避免地面临种种问题,文章从管理体制、标准体系、保护范围、实施程序等方面比较研究了中美两类信息网络安全制度的区别,针对中国等级保护中的突出问题,从制度建设、变革管理思路、明确管理重点、激励多元主体参与等方面提出了建议。
关键词:关键信息基础设施;等级保护;网络安全;信息安全
基础信息网络和重要信息系统的安全,历来是网络安全问题的关键,也是各国信息化立法与监管的重点所在,在许多国家甚至被视作国家安全的重要组成部分。由于政治、法律传统等差异,基础信息网络和重要信息系统的安全保护在不同国家表现为不同的制度安排,相应的顶层设计及法律体系也各具特点,但主流模式仍然比较明显,多数互联网普及率较高的国家和地区采用关键信息基础设施保护(CIIP)制度,在基本概念与制度框架上有很大的共通性,其中以美国最为典型。虽然中国也非常重视对基础信息网络和重要信息系统安全的保护,但并没有采纳主流模式,因为单纯从时间点而言,中国实施的等级保护制度甚至早于美国等国关键信息基础设施保护制度的正式出现1,中国是借鉴相关国际技术标准,自主发育形成了具有中国特色的信息网络安全制度。
然而,实践表明,当前中国的等级保护制度实施得并不理想,信息网络安全问题还比较突出。为此,比较
研究等级保护与关键信息基础设施保护,探析国外有益的立法经验和实践做法,对完善中国网络安全法律制度很有意义。
一、概述
(一)关键信息基础设施保护制度
国外对基础信息网络和重要信息系统的保护,主要借助对基础信息网络和重要信息系统所依附的基础设施系统的整体保护。基础设施(Infrastructure)一般是指为社会生产和居民生活提供公共服务的物质工程设施,是用于保证国家或地区社会经济活动正常进行的公共服务系统。在西方社会,基础设施保护问题原本属于国防军事问题,较少受到公众关注,特别是随着冷战结束,基础设施因遭受攻击或者其他破坏而停止运行的可能性大大降低而退居次要地位。[1]然而,在20世纪90年代中期,信息革命和互联网络兴起,信息通信技术迅速渗透,给社会生活各方面带来前所未有的变化,同时大幅
*基金项目:国家社科基金特别委托项目“《网络安全法》立法研究及草案起草”的中期研究成果。收稿日期:2015-03-20
1 中国信息安全等级保护制度源自1994年的国务院第147号令,而美国关键信息基础设施保护制度(CIIP)形成的标志是1996年7月15日发布的第13010号行政令和1998年第63号总统令(PDD63)《克林顿政府对关键基础设施保护的政策》。
94电子政务 E-GOVERNMENT 2015年第7期(总第151期)
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
度扩大了威胁的范围和影响。因而,关键基础设施保护问题开始受到美国等西方国家政府及公众的重视。
美国政府首倡关键基础设施保护。1996年7月15日,时任美国总统克林顿发布第13010号行政令《关键基础设施保护》,宣布成立关键基础设施保护总统委员会(PCCIP)。1997年,该委员会发布报告指出,安全、经济、生活方式,或许还包括工业化世界的生存,如今全都离不开电力、通信和计算机这三者的交互作用。发达社会严重依赖关键基础设施,而关键基础设施极易受传统的物理破坏和新兴的虚拟威胁。这些基础设施的脆弱性是伴随着相互依赖程度的增加而出现的。报告强调,由于大多数关键基础设施要么建立在脆弱的系统上,要么受系统监视和控制,因此“网络”基础设施成为保护策略的一个新焦点。全球或国家信息基础设施中维系关键基础设施服务持续运转的这一部分称作“关键信息基础设施”。[2]
PCCIP报告发布之后,克林顿政府开始敦促加强对美国境内关键基础设施的保护。2001年“9·11事件”的发生则进一步提高了人们对关键基础设施脆弱性的认识,由此关键基础设施保护立法进程加快。根据《2011年爱国者法》(USA Patriot Act of 2011)1016(e)条的定义,关键基础设施指“各种系统和资产的集合,包括物质的和虚拟的。这些系统和资产对美国极其重要,其失效或者破坏都会对国家安全、经济安全、公共卫生安全中的一种或几种产生负面影响”。《2002年关键基
需要说明的是,在美国等国家政策法律文件中,区分“关键基础设施保护”(CIP)和“关键信息基础设施保护”(CIIP)之间的区别非常必要,但又很难做到。在正式出版物中,这两个术语的使用并不一致,然而即便论述的是CIIP,也经常会采用CIP来表述,特别是早期文件中往往将这两个术语平行使用。[3]近两年,这两个术语的概念在理论与实务界基本没有争议,一般认为CIP牵涉一国基础设施所有关键部门,而CIIP仅仅是全面保护工作的一个分支。不过混同使用现象依然存在,毕竟CIP就是因为信息化及信息安全问题而产生的。鉴于此,本文将更多地从实际意义的角度使用这两个概念。
(二)等级保护制度
与西方国家不同,中国公共政策领域对基础设施保护问题一直缺乏关注。对基础信息网络和重要信息系统的保护,主要是基于接入国际互联网以及国内联网后对网络安全乃至国家安全的考虑。目前,中国等级保护工作在制度建设上已经取得初步进展。首先,政策法律体系已初步完备。等级保护制度始于1994年发布的《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令),其中明确提出了“计算机信息系统实行安全等级保护”。1999年发布的《计算机信息系统安全保护等级划分准则》(GB17859-1999)则从标准角度解析了等级保护制度的划分。中国等级保护工作推动取得突破性进展的标志是2003年发布的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发
础设施信息保护法》(Critical Infrastructure Information 〔2003〕27号,以下简称“27号文”)和2004年发布的Act of 2002)作为《国土安全法》第二部分(Subtitle 《关于信息安全等级保护工作的实施意见》(以下简称B of Title II of the Homeland Security Act)的一部分得以出台,它对关键基础设施保护的原则、适用的范围和效力、项目管理、保护条件、程序、措施及法律责任等都作了详细规定。
“66号文”),两者确立了等级保护作为国家信息安全保障的基本制度。66号文发布后,中国等级保护按照信息系统的涉密情况分成两条线管理,分为非涉密信息系统的“信息系统安全等级保护”和“涉及国家秘密的
电子政务 E-GOVERNMENT 2015年第7期(总第151期)
95
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
信息系统分级保护”2。2005年底,国家保密局下发了《涉及国家秘密的信息系统分级保护管理办法》。2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门共同发布《信息安全等级保护管理办法》,进一步完善了等级保护制度的要求与业务分工。
其次,标准化建设也初步完成。全国信息安全标准化技术委员会和公安部信息系统安全标准化技术委员会组织制订了信息安全等级保护工作需要的一系列标准,形成了比较完整的信息安全等级保护标准体系,包括作为基础标准的GB17859-1999和相应的定级指南、基本要求、实施指南、设计技术等核心技术标准,以及与安全保护等级相适应的系列安全产品技术标准。在涉密信息系统分级保护方面,国家保密局也陆续制定和颁布了系列保密技术标准和规范,包括分级保护的技术要求、管理规范、方案设计指南、测评指南等国家保密标准。
目前,全国范围内的重要信息系统安全等级保护定级、备案、整改工作已经基本完成,公安机关对重要信息系统基本能够做到“底数清,情况明”[4]。
性。此外,各国在信息基础设施领域均显得比较谨慎,基本上都有相应的审查许可或类似制度。
从等级保护制度与关键信息基础设施保护的内容看,二者渊源颇深。中国的信息安全标准研究起步较晚,主要是吸收和转化了几个国际通用标准,在此基础上开发了包括等级保护系列标准在内的信息安全标准,只是与国际信息安全标准的发展和研究相比还存在一定的差距。而且,在保护层次上,国内外标准均十分重视宏观网络安全与中观、微观网络安全相结合,在强调整体国家安全、网络安全之余,都重视具体行业领域的安全管理水平,并出台相关行业领域的具体规定、标准乃至指南,指导行业信息基础设施保护工作,也都特别关注相应微观组织信息安全相关事项的评估、测评工作。
三、关键信息基础设施保护与等级保护的客观差别
等级保护制度与关键信息基础设施保护制度固然有共性,但差别更加明显。相比中国的等级保护制度,美国关键信息基础设施保护的组织更加有力,更加强调管理标准,保护范围更加明确具体,并且实现方式更加多元。
二、关键信息基础设施保护与等级保护的共性
自20世纪90年代中期开始,席卷全球的信息产业革命不断向纵深拓展,单一基础设施面临的风险因联网普及而呈持续倍增的趋势,分级分类地实施相关要点重点保护成为各国的必然选择,等级保护制度与关键信息基础设施保护制度随之应运而生。由此,基础信息网络和重要信息系统被置于广泛而丰富的制约机制之下,有效地减少了该领域逾矩的可能和违规的程度。对信息基础设施的保护,不能说内外无差、东西无别,但是信息基础设施与国家安全、公共秩序的关系,均被中外互联网大国不约而同地提及和强调,应当说具有一定的普遍
(一)管理体制
美国关键基础设施保护制度背后的管理体制一直相对稳定,并且主要负责部门与相关业务主管部门分工明确。美国关键基础设施管理体制形成于2002年11月,时任总统布什签署《2002年国土安全法》(The Homeland Security Act of 2002),宣布成立国土安全部,统筹负责关键基础设施保护等工作,该部的重要组成机构之一是信息分析与基础设施保护分局。而后,根据《2006年紧急应变管理改革法》(The Post-Katrina Emergency Management Reform Act of 2006),CIIP主要事项调整由国土安全部全国防护及计划司负
2“涉密信息系统分级保护制度”实际上在中共中央保密委员会2004年12月印发的《关于加强信息安全保障工作中保密管理的若干意见》中就已经被明确提出。
96电子政务 E-GOVERNMENT 2015年第7期(总第151期)
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
责。2013年,奥巴马签署《保护关键基础设施之安全和可恢复的总统令》,又进一步调整细化了国土安全部与相关联邦部门的分工,国土安全部长负责对所有关键基础设施部门定期评估,同时具体负责化学、商业设施、通信、关键制造业、水坝、应急服务、信息技术、核反应堆与核材料及核废料领域的保护工作,并与总务管理局共同负责政府设施的保护,与运输部共同负责交通运输系统的保护。此外,国防工业基地的相关工作由国防部负责,能源方面由能源部负责,金融服务方面由财政部负责,粮食与农业方面由卫生与公共服务部及农业部负责,医疗保健与公共卫生方面由卫生与公共服务部负责,水与废水系统方面则由国家环保局负责。[5]
与美国关键基础设施保护制度相比,中国等级保护制度的管理体制并不顺畅。自1994年国务院第147号令规定由公安部会同有关部门制定安全等级的划分标准和安全等级保护的具体办法以来,中国等级保护工作一直面临着管理权限频繁变动或者权限不明确的问题。在2001年以前,中国非涉密领域等级保护主要是公安部门负责协调,1995年制定的《警察法》第六条明确规定,公安机关的人民警察依法履行“监督管理计算机信息系统的安全保护工作”。2001年8月,中共中央、国务院决定重新组建国家信息化领导小组,并成立国务院信息化工作办公室,等级保护作为信息化和信息安全的重要内容,其政策规划与综合协调归属于国家信息化领导小组。但随着2008年国家大部制改革的启动,国务院信息化工作办公室被撤销,根据《国务院关于机构设置的通知》(国发〔2008〕11号)及工信部的三定方案,由工信部信息安全协调司负责“协调推进信息安全等级保护
等基础性工作”。但就2008年以来的信息系统安全等级保护实践而言,主要工作仍然由公安部牵头完成,工信部信息安全协调司囿于级别与权限,并没能很好地发挥作用。2014年2月,中央网络安全与信息化领导小组成立,承担具体职责的是中央网络安全和信息化领导小组办公室,等级保护工作又面临新一轮机构与职能调整的考验。等级保护作为跨部门的综合性工作,其领导与综合协调机构的频繁变动,对整体工作的影响不可谓不大。
(二)标准体系
标准体系的比较虽然不涉及制度体系内容本身,却能够深刻反映不同制度之间监管思路的差异。2014年2月12日,美国白宫发布了由国家标准技术研究院(NIST)起草的美国国家信息安全指导规范《提升美国关键基础设施网络安全的框架规范》(Framework for Improving Critical Infrastructure Cybersecurity,FICIC3)。根据FICIC规范,美国的关键基础设施信息安全防护体系框架分为识别、保护、侦测、响应和恢复五个层面,是一种基于生命周期和流程的风险防控体系,主要标准是信息安全管理标准ISO/IEA27001、推荐的联邦政府信息和组织的安全控制措施NISTSP800-53、工控信息安全标准ISA62443及国际上通用的信息系统审计标准COBIT。[6]
中国信息安全等级保护思想源自国外的先进方法。1999年发布的《计算机信息系统安全等级保护划分准则》即源自1983年美国国家计算机安全中心(NCSC)制定的可信计算机系统评估准则(TCSEC4)。TCSEC与CCPECT、FC以及欧洲四国标准ITSEC共同转化为国际通用标准CC,最终被国际标准化组织ISO吸纳成为ISO15408,中国相关标准也多参照ISO15408。在基础性
3 这是棱镜事件后,美国政府首次出台的国家信息安全指导规范,也是奥巴马政府2013年启动保护关键基础设施信息安全战略以来的第一个基础性框架文件。虽然不是强制规范,但很多方面已经有些类似中国的等级保护基本要求,因此也有美国媒体指出此规范有扩大行政监管范围之嫌。
4 中国1999年发布的《计算机信息系统安全等级保护划分准则》实际是TCSEC的一个翻版。
电子政务 E-GOVERNMENT 2015年第7期(总第151期)
97
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
标准基础上,中国陆续发布了定级指南、基本要求、实施指南、测评要求等十余个技术标准,对信息系统特别是业务应用系统安全分等级、按标准进行建设、管理和监督逐步建立健全。
通过标准之间的背景比较可以看出,美中两国基本管理思路存在的差异。美国CIIP所要求的标准侧重管理要求,倾向于提供可供选择的信息安全最佳实践和模型,虽然如ISO/IEC27001在改版后充分考虑了信息处理技术的发展,但它没有涉及对系统和产品技术指标的评估,总体上是偏重于管理的信息安全标准。而中国信息安全等级保护标准,则明显偏向于信息安全产品评估和信息系统技术构建,规定明确具体,选择空间余地小。究其原因,主要是两者出发点不同。CIIP要求的系列标准是以保证组织业务的连续性、缩减业务风险、保证业务安全与最大化投资收益为目的,尤其重视私营组织利益5。[7]信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点,从宏观上指导全国的信息安全工作,目的是构建国家整体的信息安全保障体系。相较而言,美国CIIP偏向考虑监管对象的安全利益与接受程度,而中国等级保护更多是从国家整体层面的安全利益考虑。
此外,虽然CIIP制度与等级保护都是从分级或分类入手,但两者分级或分类的依据也明显不同。等级保护的分级主要考虑四个方面的风险,即信息系统遭到破坏后对国家安全、社会秩序、公共利益,以及公民、法人和其他组织的合法权益所造成的影响,按照影响程度大小分为五级,等级保护的分级以组织外部影响为依据。而CIIP下的关键基础设施,则是依照ISO27001等标准,根据资产、威胁、脆弱点、影响、风
险等各个因素之间的关系,采取定量或者定性的方法进行分级分类,采取何种风险处置措施,也是组织根据自身对风险的接受程度而决定。标准以组织内部业务影响为依据。
(三)保护范围
与国外关键信息基础设施保护相比,中国等级保护制度面临的最突出问题是保护重点不清、范围界定不明。根据27号文,等级保护对象是基础信息网络和重要信息系统6,但它的具体范围却没有确切定义,从实践结果看,大部分行政管理部门受行政教条、“条块”管理的影响,都将本部门所管辖重要行业确定为等级保护范围。[8]截至2014年初,电力、电信、广电、教育、铁路、农业等50余个行业出台了120余份行业等级保护政策文件,电力、银行、税务等30余个行业出台了100余个行业等级保护标准。[9]而同期国外实行关键信息基础设施保护的国家,如美国,则是通过行政法律文件明确保护范围与重点。从克林顿政府时期的八类关键基础设施,到小布什政府时期的十八类,以及奥巴马政府时期的十六类,美国关键基础设施都有明确的法定范畴。
对比而言,中国需要重点保护的行业与领域明显太多,要点不突出,缺乏针对性,管理分散化,制度实施和后续监管难度很大。实际上等级保护制度已经存在行业发展不平衡问题,银行、卫生、交通、广电等本应当重点加强保护的行业目前整体等级保护工作进展缓慢。[8]
(四)实施程序
美国CIIP的核心内容是通过政府提供的多种风险评估方法来识别风险和威胁,进而确定组织的信息安全需求,选择风险控制措施。根据相关立法规定,美国关键基础设施保护主要分为三类对象实施:首先是联邦政府部门与
5 美国约有85%的工业、服务系统、设施是私营的,因而美国在关键基础设施领域对公私合作及私营组织利益非常重视。
6 27号文指出:“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。”
98电子政务 E-GOVERNMENT 2015年第7期(总第151期)
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
各独立监管机构,根据2003年发布的《国土安全第7号总信息的法律障碍。该法案规定,关键基础设施机构可以自
统令》(Homeland Security Presidential Directive 7: Critical 愿向国土安全部提交关键基础设施及其保护系统的漏洞信Infrastructure Identification, Prioritization, and Protection),所有联邦部门和机构负责人负责本部门的关键基础设施和核心资源的保护工作,严格落实《2002年联邦信息管理法》有关信息安全保护和风险防范的要求;其次是各州、各地方政府、部落地区及海外领地,根据《2002年国土安全法》,联邦关键基础设施保护规定同样适用,对于国土安全部(Homeland Security Office)发布的《国家基础设施保护计划》,各地方亦应当建立相应的符合规定的计划,同样这也是强制性实施;最后,对于占有关键基础设施最多的私营组织,根据《2002年关键基础设施信息保护法》及相关规定,美国政府主要扮演服务者的角色,鼓励私营组织自愿参与关键基础设施保护计划,鼓励私营组织参与信息共享。7而中国等级保护工作的重点在定级与备案。信息系统定级工作按照“自主定级、专家评审、主管部门审批、公安机关审核”的原则进行。各信息系统运营使用单位和主管部门是信息安全等级保护的责任主体,根据所属信息系统的重要程度和遭到破坏后的危害程度,确定信息系统的安全保护等级。同时,按照所定等级,依照相应等级的管理规范和技术标准,建设信息安全保护设施,建立安全制度,落实安全责任,对信息系统进行保护。在等级保护工作中,信息系统运营使用单位和主管部门按照“谁主管谁负责,谁运营谁负责”的原则开展工作,并接受信息安全监管部门对开展等级保护工作的监管。
比较而言,区分政府部门与私营组织,重视公私合作是美国CIIP制度的突出特点。《2002年关键基础设施信息保护法》有效清除了私营部门和政府共享关键基础设施
四、关键信息基础设施保护对中国等级保护制度变革的启示
通过比较不难看出,中国的信息安全等级保护还存在很大不足,不仅制度建设不健全,在管理体系上也存在一些问题。等级保护制度的某些缺陷,一部分源于传统的管控思维,一部分源于法治建设的滞后。通过与国际社会的比较,我们必须正视市场经济体制与网络全球化对网络安全的影响,充分借鉴国外关键信息基础设施保护的有益经验,同时考虑到本国国情,科学合理地推动中国等级保护制度的变革。
首先要加强制度建设。一是要将等级保护上升到《网络安全法》层面,使信息安全等级保护工作于法有据。目前等级保护制度仍缺乏明确的法律支撑,主要依据是国务院的文件以及部门规章,缺乏立法保障。二是在立法中注重顶层设计,明确等级保护工作的主管部门与部门分工。等级保护涉及部门行业较多,跨部门协作息,“可以自愿”是一种“谨慎的”信息共享的理念。政府只要求私营部门“自愿”提供关键基础设施信息,而不能强制性地要求私营部门提供这些信息,这是该法案的核心原则。联邦政府部门也特别重视与私营企业及研究机构的合作。早在1996年,美国联邦调查局就与多达8300家企业联手组建了一个名为“InfraGard”的特殊联盟,FBI与这些企业共享有关国家关键基础设施网络和物理威胁的信息共同防范恐怖攻击。8美国国土安全部作为主管部门更是推出诸多针对私营组织等合作伙伴的培训方案以及技术研发支持。
7 事实上,美国政府针对私营组织的关键基础设施的强制性监察一直都有,只是这些手段没有纳入CIP计划中,它们的目的也不是为保护关键基础设施,主要为反恐、反间谍等。比如2001年通过的《爱国者法》就曾授权相关部门为防止泄密,限制传播仇恨的信息,可对可疑电讯及商业记录予以监视等。
8 InfraGard 组织仍在运行并发挥作用,截至目前,美国500强企业已有350家是该组织的成员。
电子政务 E-GOVERNMENT 2015年第7期(总第151期)
99
顾伟·美国关键信息基础设施保护与中国等级保护制度的比较研究及启示
不可避免,各职能部门的权限与责任必须要通过立法予以确定,以避免推诿扯皮。因为之前的机构改革,当前等级保护的统筹协调部门需要重新确定,主要管理部门的分工需要加以调整,而等级保护涉及的对重要行业负责的业务主管部门,更是政策空白,需要落实到位。
其次要变革管理思路。美国CIIP制度最大的特点在于强调全过程管理,不仅在标准上偏重评估与管理,在政策导向上,也以指导确立系统的管理流程为主,尤其重视系统的可恢复性与应急响应,等级保护制度在这方面做得还很不到位。另外,等级保护制度行政主导色彩比较强,更多地是充当管理者,服务意识不强,以至各类组织多以“合规”的心态被动参与,各类组织尤其是私营组织对信息安全的“效应性”主动需求得不到体现和释放,尤其是私营组织的重要性得不到体现,政府与相关企业之间的信息共享机制更无从谈起。
再次要明确管理重点。中国等级保护制度的最大问题是“眉毛胡子一把抓”,不区分是否属于关键领域,盲目在各部委、分管行业部门一体推行等级保护制度,导致资源分配的平均主义与无效率。因此,等级保护制度迫切需要明确“关键”的范围,不能以“基础信息网络和重要信息系统”这样的含糊词汇一以概之,必须列举出具体的重点保护范围,确保国家有限的行政资源投入最关键的领域,真正实现相关领域安全的自主可控。
最后要采取多元方案。美国CIIP制度的差异化特征非常明显,特别是明确区分了政府部门自身与私营组织,采取不同的实施标准与管理要求。随着中国信息化水平的不断提高,私营组织所占基础信息网络和重要信息系统的比例将会越来越高,对国家整体信息安全的影响越来越大,因而在制度改革过程中,必须重视提高私营组织保护关键信息基础设施的积极性与主动性,更多地采取诱因激励的方式,通过制度设计,构建企业与政
府之间良性的信息共享机制。至于政府部门以及关系国家安全和国民经济命脉的重要行业和关键领域,则应当执行相对更加严格的强制性安全标准与要求,明确违法违规行为的法律惩戒。
参考文献:
[1]Luiijf E A M, Burger H H, Klaver M H A. Critical (Information) Infrastructure Protection in The Netherlands[C/OL]. [2015-06-20]. http://subs.emis.de/LNI/Proceedings/Proceedings36/GI-Proceedings.36-1.pdf.[2]President's Commission on Critical Infrastructure Protection. Critical Foundations: Protecting America's Infrastructures[R]. 1997.
[3]威格特 D. 关键信息基础设施保护:十四国安全保护政策陈述和分析[M]. 合肥:中国科学技术大学出版社,2007: 2-3.
[4]信息安全等级保护技术大会在沈阳召开[EB/OL]. (2014-07-07)[2015-06-23]. http://news.xinhuanet.com/info/2014-07/07/c_133465847.htm.
[5]Designated Critical Infrastructure Sectors and Sector-Specific Agencies. Presidential Policy Directive -- Critical Infrastructure Security and Resilience[S]. 2013-02-12.[6]National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity[S]. 2014-02-12.
[7]刘红. 美国对关键基础设施的技术保护[J]. 国际技术经济研究,2004(4).
[8]王文文,孙新召. 信息安全等级保护浅议[J]. 计算机安全,2013(1).
[9]郭启全. 落实信息安全等级保护制度 维护关键信息基础设施安全[J]. 保密科学技术,2014(2).
作者简介:
顾伟,江苏盐城人,中国社会科学院研究生院行政法学博士研究生,研究方向:信息法学。