国家关键信息基础设施 | 绿盟科技博客关键信息基础设施的概念及关键性研究_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
关键信息基础设施的概念及关键性研究
&&卡卡卡卡、
阅读已结束，下载文档到电脑
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩5页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢《网络安全法》实施在即，你清楚关键信息基础设施的范围吗？-陕西测绘地理信息局（陕西省测绘地理信息局）
陕西省测绘地理信息局
您的当前位置：
&&背景颜色：
《网络安全法》实施在即，你清楚关键信息基础设施的范围吗？
&&&&信息发布时间: &&&&阅读次数: 1395
日，全国人民代表大会常务委员会表决通过了《中华人民共和国网络安全法》（下称“《网络安全法》”），并将于日起正式实施。作为中国首部网络安全的根本大法，《网络安全法》的颁布，引起了社会各界的广泛关注。
《网络安全法》就保护网络安全这一主旨，主要通过以下三个制度对网络服务提供者的相关义务和责任作出了规范：（1）网络安全等级保护制度；（2）用户信息保护制度；和（3）关键信息基础设施重点保护制度。其中，关键信息基础设施制度最为受关注，主要原因在于这个概念系首次出现在我国的法律法规中，并对网络服务提供者设定了较高的法定义务和限制。
《网络安全法》实施在即，本文根据中央网信办下发的《关键信息基础设施确定指南（试行）》，就《网络安全法》中的关键信息基础设施范围作出解读，以期让更多的机构很好的理解《网络安全法》。
一、什么是关键信息基础设施？
关键信息基础设施是指面向公众提供的网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键信息基础设施包括：
1）网站类，如党政机关网站、企事业单位网站、新闻网站等；
2）平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；
3）生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。
二、如何确定关键信息基础设施？
关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事故后可能造成的损失认定关键信息基础设施。
1、确定本地区、本部门、本行业的关键业务
可参考下图，结合本地区、本部门、本行业实际梳理关键业务。
2、确定关键业务相关的信息系统或工业控制系统
根据关键业务，逐一梳理出支撑关键业务运行或与关键业务相关信息系统或工业控制系统，形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制系统、管理信息系统等；市政供水相关的水厂生产控制系统、供水管理监控系统等。
3、认定关键信息基础设施
对候选关键信息基础设施清单中的信息系统或工业控制系统，根据本地区、本部门、本行业实际，参照以下标准认定关键信息基础设施。
三、被认定为关键信息基础设施意味着什么？
《网络安全法》第三十一条规定，关键信息基础设施除适用一般的网络安全等级保护制度之外，国家对其实施重点保护。
《网络安全法》第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查，同时在法律责任部分制定了对应罚则。
《网络安全法》第三十七条明确了关键信息基础设施相关信息跨境传输原则，即关键信
息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。
以上三个条款，可以说是《网络安全法》中关键信息基础设施制度的核心条款，除此之外，还有很多条款对关键信息基础设施网络服务提供者设定了较高的法定义务和限制。详细见下图：
《网络安全法》引入了“关键信息基础设施”的概念，并在网络安全等级保护制度的基础之上实行重点保护。“关键信息基础设施”作为关乎国家安全和利益的战略性资源，其重要性无需多言，对“关键信息基础设施”在法律和制度层面进行重点保护乃是目前各国立法的大势所趋。
　｜　　｜　
　｜　　｜　　｜　　｜　　｜　　　
陕西测绘地理信息局(陕西省测绘地理信息局) 版权所有
地 址：中国.西安友谊东路334号 邮编：710054 电话：029-604088 传真：029- Email:bgs
建议使用IE7.0及以上版本浏览器 显示器分辨率及以上 以获得最佳浏览效果论我国关键信息基础设施的保障对策
聚焦命中&& 转第条
显示法宝之窗
隐藏相关资料
【期刊名称】
论我国关键信息基础设施的保障对策
【作者】 ，【作者单位】 ，
【中文关键词】 关键信息基础设施；技术保障；法律保障；保障对策
【期刊年份】 【期号】 4
【页码】 64
【摘要】 关键信息基础设施已逐渐成为国家安全战略重点，然而我国现阶段对关键信息基础设施保障仍存在许多不足之处。技术上，缺乏完善有效的脆弱性评估体系，安全技术应用水平较低；法律上，相关规定较零乱，缺乏专门性法律规定。为此，技术上应完善安全风险评估机制，加大技术创新支持力度；法律上完善相关法律法规，加强法律保护力度；思想道德上应加强建设；监管上加强主体责任义务，完善分期多级的交互监管机制。
【全文】【】 &&&& 　　以数字化形式存在的信息，其自身无法单独存在，它必须按照一定的规则存储在一定的硬件设施上。电子数据的交换和共享也依赖于物理的计算机基础设施，这些设施是数据安全运行的承载体。其中，部分硬件基础设施及其运行系统的安全性尤显重要，若其遭受破坏，将对国家安全、社会经济秩序、公共安全以及公民权益将产生不可预估的影响。对于这些关键信息基础设施如何重点保护，事关国家安全，对其专门研究有十分重要的意义。
　　一、关键信息基础设施的概念
　　随着科学技术的发展，国家基础设施已逐步实现信息化，这些信息基础设施一旦遭受破坏，其对国家、社会和个人的危害无法估量，因而应对其给予重点保护。关键信息基础设施(Critical information infrastructure,CII)一直都是各国网络安全战略的重点，甚至是国家安全战略的组成结构之一。[1]因此，各国都对关键信息基础设施进行立法保护、技术保障，建立健全关键信息基础设施保护机制。关键基础设施(Critical infrastructure,CI)是关键信息基础设施的上位概念，关键信息基础设施的安全保护源于各国针对关键基础设施的保护。虽然二者并不完全一致，但在大多情况下可混同相待。[2][3]
　　作为关键基础设施安全的关键信息基础设施安全的衍生定义，应从关键基础设施的含义出发，对关键信息基础设施明确定义。美国《爱国者法案》中对关键基础设施有着较为成熟的定义：“对美国极为重要的物理或虚拟的系统、资产，受到破坏或失去正常运转能力时，将会对美国国家安全、经济安全、公民健康、公共安全等诸多安全领域中一项或多项产生破坏性影响。”[4]2009年美国《国家基础设施保护计划》对关键信息基础设施定义如下：“电子信息和通信系统以及其中信息，其中电子信息和通信系统对各类型数据进行收集、存储、分析、处理、通信的软硬件所组成，其中包括计算机信息系统、控制系统和网络。”[5]因此，关键基础设施和关键信息基础设施具有共同的保护目的，即国家、社会公共安全，国民经济秩序以及公民权利。关键信息基础设施是指涉及国家重点领域，如政府、银行证券、石油石化、国防军工、医疗卫生、轨道交通、民航铁路等等方面的确保国家、地区社会正常运行的公共信息服务系统，是社会赖以运转的物质条件。它具体包含了诸如通信管道、网络设备、机房配件以及相关配套的数据运行的物理和软件设施。
　　二、关键信息基础设施专门保护的必要性
　　对关键信息基础设施实施专门保护，不仅仅依赖相关的计算机科学技术水平，还需要有一套成熟的技术管理制度和相应的法律法规的支撑，这些恰恰是容易忽视的环节。
　　(一)法律方面的不足
　　纵观我国涉及关键信息基础设施的法规，还未就关键信息基础设施出台专门性的规定，散见于各层次法律中，隐含在网络安全方面的惩罚性或保护性规定中，其中效力最高当属刑法规定。刑法以破坏广播电视设施、公用电信设施罪和扰乱无线电管理秩序罪对破坏关键信息基础设施的行为作直接评价，但关键信息基础设施范围明显超出广播电视、公用电信设施和无线电这三种设施，刑法因此无法全面评价对针对关键信息基础设施的犯罪行为。此外，由于计算机信息系统通常与承载其运行的物理性设施的安全性紧密结合，破坏数据运行系统的关键基础设施往往也会影响或破坏信息系统的正常运行，因此，部分针对关键信息基础设施犯罪行为也可以以破坏计算机信息系统罪的方式进行惩治。但这种评价方式将物理性破坏硬件设施和对计算机信息系统功能进行删除、修改、增加、干扰的方式糅杂在一起，与立法原意相差甚远，并且没有很好地区分物理设施和信息系统的价值差异。重要信息系统本身和蕴含的电子数据是直接承载重要价值的信息，更关注电子数据的机密性、完整性、可用性，如国家绝密性文件、军事的战略部署计划。而关键信息基础设施更偏向于财产属性，同时也间接影响信息系统安全，进而造成国家、社会重要运转系统的瘫痪，对国家安全、国民经济以及公民造成影响。因此，这二者不能等同进行评价。由此分析，在信息安全保障法律体系中，缺乏关键信息基础设施的独立性规范，对关键信息基础设施的进行专门立法保护具有法理基础、社会经济基础以及现实意义。
　　(二)技术制度方面的不足
　　虽然我国已经逐渐加大对关键信息基础设施的保护力度，但在保护技术和标准上还存在不足之处。
　　第一，缺乏完善有效的信息设施脆弱性评估机制。大多数的关键信息基础设施的运营者还未形成统一的行业安全评估标准，缺乏规范的针对设施脆弱性和风险的评估检测机制。并且没有完善的事后安全恢复计划和指南，无法明确哪些环节需要加强重点保护以及评估，这些给安全保障带来极大隐患。
　　第二，技术产品自主化程度相对较低。我国在涉及国家核心网络安全的元器件、关键芯片等等软件、硬件、通信设备的基础产品自主性以及可控能力较低，较为严重地依赖进口产品，技术标准也基本引进于国外，国外公司有可能对系统进行远程控制而实施攻击，导致安全防护缺乏主动权，关键信息基础设施的相关产品的安全风险持续升高。[6][7]国家关键信息基础设施已经成为网络空间战略的核心目标，如果这些重点设施成为网络攻击的对象，嵌入未知的预置“后门”，将对我国金融、交通、电信等等关键信息基础设施安全造成不可预测的影响，直接威胁国家安全。
　　第三，安全技术应用水平较低。有效的安全保障技术是保护关键信息基础设施的重要屏障。如何提高安全技术是当前安全保障中不容忽视的问题，这些安全技术可能包括关键基础设施的应急防御技术、密码保护控制技术等。但目前我国安全技术与国外仍有较大差距，实际应用于产品设计还缺乏一定的实际可执行性。
　　三、关键信息基础设施的防控策略
　　根据当前我国关键信息基础设施安全保障建设起步较晚的情况，立法和实践均存在一定的现实问题。笔者认为可从法律、技术、思想道德建设以及监管机制方面提出以下防控策略。
　　(一)法律方面
　　1.构建法律顶层设计，明确各方法律责任
　　关键信息基础设施防护缺乏高层次法律法规，保护的滞后性日趋明显，因此亟需构建顶层设计，制定统一协调的关键信息基础设施防护体系，完善关键信息基础设施管理和责任追究体制。目前来看，需要进一步完善和改进网络安全法(草案)，厘清关键信息基础设施的定义、基本保护原则，明确以及协调各方保护责任，避免出现推诿免责的问题。
　　2.专门立法，加强法律保护力度
　　针对关键信息基础设施保护通常以会议通知或报告的形式加以说明，现行法律保护力度明显孱弱，专门法律保障仍属空白，至今没有一部关于关键信息基础设施的专门立法。因此，需要进行针对关键信息基础设施专项立法，建立健全高低层级相辅
　　??????法宝用户，请后查看全部内容。还不是用户？；单位用户可申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】 &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&北大法宝：()专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料，。欢迎。法宝快讯：&&&&
本篇【】 &&&&&&关注法宝动态：&
法宝联想【相似文献】 　杨林瑞；尹良培&《中国法学》&2003年&第3期&　李晓安&《法学杂志》&2000年&第2期&　汪习根；占红沣&《法学杂志》&2005年&第2期&　马卫华；宋睿&《法学杂志》&2004年&第1期&　刘潇潇&《法学杂志》&2006年&第4期&　韩灵丽&《河北法学》&2005年&第1期&　熊文钊&《河北法学》&2005年&第9期&　程玲；武小欣&《河北法学》&2005年&第10期&　周珂；韩增辉&《科技与法律》&2004年&第2期&　王明远&《法学杂志》&2007年&第1期&}