我國關鍵信息基礎設施保護的立法思考

黃道麗，方婷

（1. 公安部第三研究所，上海 201204；2. 西安交通大學信息安全法律研究中心，陜西 西安 710049）

我國關鍵信息基礎設施保護的立法思考

黃道麗1，方婷2

（1. 公安部第三研究所，上海 201204；2. 西安交通大學信息安全法律研究中心，陜西 西安 710049）

我國關鍵信息基礎設施保護立法的必要性尤為突出。現行立法及實踐表現為關鍵信息基礎設施保護缺乏國家層面的強力監管，國家和行業主管部門的認識和保護能力不足，主管機構的職責不清且缺乏有效的協調配合機制，資金、技術、人員等基礎保障能力薄弱。為加快制定和頒布關鍵信息基礎設施保護立法，應當明確關鍵信息基礎設施保護的組織機構體系及其工作機制，構建關鍵信息基礎設施保護的監測通報與預警機制、應急處置與響應恢復機制、安全監管制度、責任追究制度和基礎保障制度。

關鍵信息基礎設施；監測；預警；應急響應

2　我國關鍵信息基礎設施保護立法的必要性分析

美國“9·11”恐怖襲擊事件發生后，國家關鍵基礎設施在國家安全、社會民生、經濟發展和政府事務中的基礎性作用不斷凸顯，并逐步成為保障整個社會持續運轉的重要支撐。然而，隨著網絡與信息技術的普及和高速發展，傳統的物理基礎設施與信息系統的融合程度不斷加深，使關鍵基礎設施部門的信息系統始終面臨外部不安全環境所引發的巨大威脅。2014年至2015年初，美國持續發生了一系列大規模網絡攻擊事件，零售商Target公司、eBay公司、世界最大的家裝零售商Home Depot、摩根大通（JPMorgan Chase）、醫療保險公司Anthem、索尼（Sony）電影公司等企業相繼遭到破壞性的網絡攻擊，這一系列事件充分印證了美國作為信息化高度發達的網絡強國，在全球化融合的態勢下也同樣面臨嚴峻的網絡安全挑戰，尤其是關系其國家安全、社會穩定和持續運轉的能源、通信、交通、金融等關鍵領域，其信息基礎設施保障在當前網絡安全形勢下顯得更加迫切和必要。

值得注意的是，當今社會經濟全球化、氣候極端化和國際關系綜合化的趨勢進一步凸顯了國家關鍵信息基礎設施保護的復雜性。在此背景下，國際組織和重要國家始終關注對國家關鍵基礎設施以及關鍵信息基礎設施保護戰略、立法和組織體系的構建［2］。其中，歐盟成員國英國、法國、德國、美國、日本、新加坡均針對國家關鍵基礎設施和關鍵信息基礎設施的界定，國家關鍵行業/部門的確定，國家關鍵信息基礎設施保護的組織機構體系以及國家關鍵信息基礎設施保護的監測通報與預警機制、應急響應與恢復機制，在其國家戰略和法律法規中做出了必要的部署和相應的調整，以滿足新形勢下國家關鍵信息基礎設施保護的迫切需求。目前，我國關鍵信息基礎設施保護立法的必要性尤為突出，主要表現如下。

1）基礎信息網絡和重要信息系統安全隱患嚴重［3］。由于各個基礎信息網絡和重要信息系統的核心設備、技術和高端服務主要依賴國外進口，短期內無法實現自主可控，給我國的信息安全帶來了深層次的安全隱患。信息安全建設與信息化建設不同步，建設不規范、不全面。值得注意的是，目前，國內政府部門和企業過分依賴外國品牌的電子產品、信息技術產品，尤其是基礎信息網絡和重要信息系統的核心軟硬件設備（服務器、存儲設備、操作系統等），并且，高端服務仍嚴重依賴于國外，國外產品的采用率高達80%以上，相當一部分信息系統由國外公司提供技術服務。在涉及政府、能源、通信、海關、金融、交通、醫療等國家關鍵信息基礎設施的建設和運營過程中，頻頻出現美國“八大金剛”的影子，特別是美國思科幾乎參與了中國所有大型網絡項目的建設，這無疑對我國的網絡與信息安全構成了嚴重威脅，特別是在美國“棱鏡門”事件曝光并持續發酵的過程中，我國關鍵信息基礎設保護立法的必要性進一步凸顯。

2）我國的網絡與信息安全保障工作基礎較為薄弱［4］。其中，我國網絡與信息安全建設未能與信息化建設同步進行，具體的實踐工作缺乏國家層面整體的制度化指導和有效監管，網絡與信息系統安全建設、監管缺乏相應的標準規范，諸多部門安全管理制度和技術防范措施難以有效落實。因此，由于網絡入侵和惡意攻擊等行為導致的網絡安全事件頻發，尤其是針對關鍵信息基礎設施的網絡入侵、惡意攻擊等缺乏有效的應對處理措施，風險抵御能力較弱，網絡基礎設施建設中安全系統建設相對滯后。在此背景下，習近平總書記在主持召開中央網絡安全和信息化領導小組第一次會議中做出重要指示，其中，在抓緊制定立法規劃方面，要求盡快推進關鍵信息基礎設施保護等法律法規的制定和完善。

3　我國關鍵信息基礎設施保護的立法現狀及實踐存在的突出問題

我國關鍵信息基礎設施保護的相關法律法規主要包括綜合及重要領域類規定兩大部分，即《國家安全法》、《中華人民共和國突發事件應對法》、《中華人民共和國保守國家秘密法》、《中華人民共和國計算機信息系統安全保護條例》、《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發［2003］27號）、《信息安全等級保護管理辦法》（公通字［2007］43號）、《關于加強工業控制系統信息安全管理的通知》（工信部協［2011］451號）、《國家安全監管總局網絡運行和信息安全保密管理辦法》、《電力行業網絡與信息安全監督管理暫行規定》、《中國人民銀行信息安全管理規定》、《基礎電信企業信息安全責任管理辦法（試行）》、《銀行、證券跨行業信息系統突發事件應急處置工作指引》、《鐵路計算機信息系統安全保護辦法》、《通信網絡安全防護管理辦法》、《互聯網網絡安全信息通報實施辦法》（工信部保［2009］156號）、《中華人民共和國互聯網網絡安全應急預案》、《民用航空運輸機場航空安全保衛規則》、《公共航空運輸企業航空安全保衛規則》等。

然而，作為世界上信息化發展最快的國家之一，我國關鍵信息基礎設施保護的實踐仍然存在諸多問題，突出體現在以下幾個方面。

1）我國國家關鍵信息基礎設施保護缺乏國家層面的強力監管。我國目前的信息安全監管工作基本與美國前幾年的情況類似，仍需不斷建立類似由美國強力部門（國土安全部）實施監督管理的機制［5］。信息安全監管工作技術性強、工作內容復雜，決定了其監管必須由一支成建制的、體系化的、覆蓋全國范圍的隊伍實行統一管理、統一策略、統一標準、統一運用合理的工作方法，將信息安全監管工作落到實處。

2）國家和行業主管部門對關鍵信息基礎設施保護的必要性和重要性認識能力不足。從等級保護工作的實施情況可以看出，重要行業/部門對重要信息系統的“重要性”認識不夠，進而對國家關鍵信息基礎設施的“關鍵性”缺乏認識［6］。雖然通過等級保護工作，各個關鍵信息基礎設施運營單位對自身信息系統的重要性已有一定的認識，但是，很少會從全國、全社會乃至全球的視角看待信息系統的重要性，很難將信息系統安全上升到國家安全、社會穩定的高度進行分析，對信息系統受到破壞后產生的影響沒有做出充分評估。大多數情況下，各重要行業/部門僅僅是從一個單位或一個企業的角度進行信息安全保護，缺乏從信息系統到部門、從部門到機構、從機構到行業以及從行業到關鍵領域之間的相互依賴性分析，導致對信息系統的重要性認識不夠，定級過程缺乏風險分析和關鍵性分析，難以有效制定關鍵信息基礎設施的優先保護計劃。

3）國家有關行業/部門對關鍵信息基礎設施保護的能力不夠，并且機構之間的協調配合機制仍需進一步建立和完善［7］。首先，重要行業/部門對關鍵信息基礎設施的保護能力不夠，主要表現為針對網絡入侵和惡意攻擊的主動發現、查找、防御和應急響應能力仍需不斷提高，實踐中，我國雖已建立國家關鍵信息基礎設施安全風險監測和預警機制，但是，各個重要行業/部門對國家關鍵信息基礎設施安全風險的監測和預警能力仍然較弱，需要得到進一步加強；其次，省市一級重要行業/部門對關鍵信息基礎設施安全事件的通報能力有待加強，尚未建立包括中央和地方在內的立體的全國性監測通報體系，導致中央和地方之間的重要行業/部門之間難以對網絡信息安全事件進行有效的信息共享，降低了各個重要行業/部門發現網絡信息安全威脅的能力；最后，我國重要行業/部門對關鍵基礎設施信息安全事件的應急措施不完備，難以對關鍵基礎設施部門突發的信息安全事件進行有效的應急響應與處置。值得注意的是，對涉及跨領域且具有高度相互依賴性的關鍵信息基礎設施，如電力、電信等，由于缺少社會協調配合機制，主管部門或運營使用單位在進行關鍵信息基礎設施的保護工作時，往往單打獨斗，很難通過一個高效的組織方式，協調社會資源參與關鍵信息基礎設施的保護，最終影響保護工作的實施效率。

4）我國國家關鍵信息基礎設施保護機構的職責不清、分工不明確，導致實踐操作中重要信息系統的安全保護要求（關鍵信息基礎設施保護要求）無法得到有效滿足。目前，實踐中，既存在以公安部為主導的規范化、系統化、制度化、覆蓋政府機關和關鍵信息基礎設施的信息安全等級保護工作，也存在每年由工信部主持的僅針對政府部門和個別央企的安全檢查工作，還存在如中國人民銀行、證監會、銀監會、保監會、發改委、科技部、商務部、國家密碼管理局、國家保密局、國家質量監督檢驗檢疫總局等非主管部門實施的對關鍵信息基礎設施保護的監督管理，導致多頭管理現象明顯、重復工作內容很多、職責分工不明，給重要信息系統的運營使用單位帶來了極大的困惑，不利于我國關鍵信息基礎設施保護工作的有效實施。

5）我國國家關鍵信息基礎設施保護的基礎保障能力薄弱，在資金保障、技術支持、人員和機構設置以及制度建設等方面無法保障關鍵信息基礎設施保護工作的有效落實。目前，我國國家關鍵信息基礎設施保護規劃尚未納入國民經濟和社會發展計劃，難以使國家關鍵信息基礎設施保護工作同經濟建設和社會發展相協調。同時，國家對關鍵信息基礎設施保護的技術研發和資金支持力度有待進一步加強。

4　我國加強關鍵信息基礎設施立法保護的制度建議

基于前述分析，我國應當從立法層面關注關鍵信息基礎設施保護制度的建立，設立關鍵信息基礎設施保護的強力監管部門，構建關鍵信息基礎設施保護的組織管理體系，建立關鍵信息基礎設施保護監測通報與預警發布中心，建立關鍵信息基礎設施保護的預警機構，建立關鍵信息基礎設施保護的信息共享機制，強調關鍵信息基礎設施保護的技術支持，關注關鍵信息基礎設施保護的財政保障，注重關鍵信息基礎設施保護的專業人員培養，加強關鍵信息基礎設施保護的國際合作，基于此，我國關鍵信息基礎設施保護立法應當重點包括以下幾個方面。

4.1建立我國關鍵信息基礎設施保護的組織機構及其工作機制

在美國，85%的國家關鍵基礎設施由私營部門擁有和運營管理，而我國的國家關鍵基礎設施多數是由國企或央企運營和管理。由于國情的差異，我國的關鍵信息基礎設施保護制度的構建不能簡單照搬外國的經驗，但這些關鍵信息基礎設施也嚴重關系到我國的社會穩定、國計民生和經濟發展，對關鍵信息基礎設施的保護同樣不能僅僅依賴于單一企業或主管部門的努力，需要協調國家、社會、企業自身等各界的努力來共同實現［8］。基于此，在充分吸取國外經驗和教訓的基礎上，建立符合我國國情且具有較強可操作性的關鍵信息基礎設施保護組織管理體系是我國關鍵信息基礎設施保護立法亟需解決的重要問題之一。

基于前述分析，本文認為黨和政府的支持是我國關鍵信息基礎設施保護的堅實基礎，各級政府高度重視；各個部委密切協調合作、配合關鍵信息基礎設施保護的職責機構高效實施保護工作是我國關鍵信息基礎設施保護的堅實保障；各行業主管部門、運營使用單位及其他信息服務部門顧全大局、相互協調、有力執行是我國關鍵信息基礎設施保護的實踐基礎。因此，建立自上而下、逐級逐層監督管理的組織體系能夠保證關鍵信息基礎設施保護工作的有效實施，同時，各級各層分別建立協調配合的伙伴關系既能確保對上級指示進行科學有效的執行，也可以為各個部門單位就自身利益提供表述和協調的渠道。簡單來說，我國關鍵信息基礎設施保護的組織管理體系應該是：自上而下的監督管理，各級各層協調合作的組織關系。

4.2構建全國立體的關鍵信息基礎設施保護監測通報與預警機制

各個國家在關鍵信息基礎設施保護方面的策略之一即為早期預警，通過建立一套完整的監測、評價、應急響應體系，以確保在各類網絡安全事件發生前能夠及時預警并及時響應。為此，各類監測與預警發布中心應運而生，如美國US-CERT組織、國土安全部下設的NCCIC、新加坡國家網絡威脅監測中心，都負責全天候監測和分析針對關鍵信息基礎設施的網絡威脅信息［9］。為了更好地預警早期可能發生的事件并能夠快速響應，信息共享是早期預警和應急響應機制背后主要的推動力［10］。公共私營機構共同合作，通過各類方式完成信息共享，從而建立應急響應機制。

基于前述分析，我國建立與完善國家關鍵信息基礎設施安全事件的監測通報與預警機制［11］應當包括3個方面的內容：1）我國應當建立與完善省市兩級的關鍵信息基礎設施保護監測通報與預警機制，構建全國立體的監測通報與預警體系，提高關鍵信息基礎設施運營單位對信息安全威脅的發現能力、預警能力、防護能力和反制能力；2）進一步完善關鍵信息基礎設施相關的漏洞通報機制，由國家網絡安全主管部門授權相關的信息安全風險監測機構定期發布信息安全漏洞通報；3）從預警級別、預警啟動、不同級別預警的應對機制以及預警解除等方面完善國家關鍵信息基礎設施安全事件的預警機制。

4.3建立與完善關鍵信息基礎設施保護的應急處置與響應恢復機制

基于前述分析，我國建立與完善國家關鍵信息基礎設施保護的應急處置與響應恢復機制的內容應當包括：1）建立國家關鍵信息基礎設施安全事件的應急處置基本制度，其中，包括國家關鍵信息基礎設施安全事件的分級處置和標準制定以及應急預案的制定；2）明確國家關鍵信息基礎設施安全事件的應急處置措施，包括信息安全事件的檢測，信息安全事件應急預案的啟動以及特大、重大信息安全事件的緊急處置［12］；3）完善國家關鍵信息基礎設施安全事件的信息發布機制；4）完善安全事件后國家關鍵信息基礎設施的恢復制度；5）完善國家關鍵信息基礎設施安全事件應急處置和恢復的總結報告制度。

4.4建立關鍵信息基礎設施的安全監管制度

基于前述分析，我國構建國家關鍵信息基礎設施的安全監管制度應當包括以下幾個方面：1）明確公安機關的安全監管職責，涉及指導、協調國家關鍵信息基礎設施安全保護對象的認定、共享依賴性和脆弱性評估、信息安全風險監測通報與預警等［13］；2）明確各重要行業主管部門的安全監管職責；3）明確國家關鍵信息基礎設施運營單位的安全監管職責和信息安全服務單位相應的協助義務；4）明確各級地方政府的安全監管職責。最為重要的是，應當確保關鍵信息基礎設施保護的行業主管與安全主管分離［14］。

4.5建立關鍵信息基礎設施保護的責任追究制度

關鍵信息基礎設施保護立法應當建立相應的責任追究制度，以有效貫徹和落實關鍵信息基礎設施保護工作，具體而言，相應的責任主要包括以下方面：國家關鍵基礎設施運營單位怠于行使安全保護制度和措施的法律責任，違反系統檢測和評估義務的法律責任；信息安全檢測評估機構未經認可或行政許可進行檢測評估活動的法律責任，利用職業便利從事侵害他人合法權益活動的法律責任；涉密國家關鍵基礎設施運營單位違反保守國家秘密義務的法律責任；單位或個人破壞、危害基礎信息網絡與關鍵信息系統安全的法律責任，違反信息安全事件報告和協查義務的法律責任；國家關鍵基礎設施運營單位的主管部門應急處置行政失職的法律責任；公安機關、國家關鍵基礎設施運營單位的主管部門、各級人民政府以及其他國家機關的工作人員在關鍵信息基礎設施保護過程中失職的法律責任。

4.6建立關鍵信息基礎設施保護的基礎保障制度1）從國家層面加強關鍵信息基礎設施保護的人員、資金等支持力度。從國家層面總體上加強關鍵信息基礎設施的基礎保障能力，包括人員、資金等支持，具體而言，國家關鍵信息基礎設施保護規劃必須納入國民經濟和社會發展計劃，國家應當采取有利于信息安全保護的經濟、技術政策和措施，使國家關鍵信息基礎設施保護工作同經濟建設和社會發展相協調。省級以上地方人民政府將國家關鍵信息基礎設施保護納入本行政區域的國民經濟和社會發展計劃。在人員建設方面，國家應當開展信息安全保護教育，尤其是國家關鍵基礎設施運營單位，應當定期對其工作人員進行國家關鍵信息基礎設施安全保護的知識、技能培訓，提高其工作人員對信息安全風險的防范意識和應對能力。在資金保障方面，國家應當加強對關鍵信息基礎設施保護的財政資金支持，省、自治區、直轄市人民政府負責本行政區域內國家關鍵信息基礎設施安全預防、監督工作的日常經費。中央網信辦會同國務院有關部門，確定全國國家關鍵信息基礎設施安全事件的監測、預警、應急處置、監督檢查等項目，中央財政保障實施經費。中央財政對困難地區實施重大國家關鍵信息基礎設施安全事件處置項目給予補助。

2）提高關鍵信息基礎設施保護的技術建設能力。國家應當鼓勵關鍵信息基礎設施保護領域的科學教育事業的發展，加強國家關鍵信息基礎設施保護（網絡安全、偵查打擊、管理控制等）技術和相關產品的研究與開發，保障對進行國家關鍵信息基礎設施保護的科學研究、技術開發和教學的科研院所、高等院校和各企事業單位予以相應的經費支持，提高相關從業人員的信息安全科學技術水平。同時，國家應當對在國家關鍵信息基礎設施保護工作中做出顯著成績和貢獻的單位和個人給予表彰和獎勵，對于成功開發與關鍵信息基礎設施保護相關研究成果的，對研究人員和機構給予相應表彰和物質獎勵。

3）保障關鍵信息基礎設施的安全可控［15］。我國應當建立國家關鍵信息基礎設施的產品、服務安全審查制度，同時加快實施關鍵信息基礎設施國產化替代工程。一是加強對信息技術和產品的技術可靠性審查；二是對于國防、政府、商業應用不同類別的信息技術產品審查、檢測，實行有區別的管理政策，建立與之相適應的安全審查機制；三是在國家關鍵信息基礎設施采購中，根據產品的來源（國別）、可靠性（國家是否可控和生產單位是否可控）進行供應鏈審查。此外，在關鍵信息基礎設施領域，確保國家科技重大專項持續支持高端服務器、海量存儲、中間件、數據庫的研發，支持產業聯盟的發展，大力發展集成電路產業，支持我國產業標準的制定，打造完整的、安全可靠的信息系統標準體系，鼓勵軟件廠商和硬件廠商互相認證、協同發展。

5　結束語

綜上所述，我國應當加快制定和頒布關鍵信息基礎設施保護立法，確立關鍵信息基礎設施保護的立法原則，明確關鍵信息基礎設施保護的組織機構體系及其工作機制，構建關鍵信息基礎設施保護的監測通報與預警機制、應急處置與響應恢復機制、安全監管制度、責任追究制度和基礎保障制度，以構建關鍵信息基礎設施保護的風險管理框架和相應的技術標準規范體系，落實關鍵信息基礎設施保護的具體工作。

［1］第十二屆全國人大常委會.中華人民共和國網絡安全法（草案）［EB/OL］. http：//www.npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm. The Standing Committee of the 12th NPC. People's republic of China cyber security law（draft）［EB/OL］. http：//www. npc.gov.cn/npc/xinwen/lfgz/flca/2015-07/06/content_1940614.htm.

［2］BRUMMER E M，SUTER M. CIIP handbook 2008/2009［M］. Beijing：National Defence Industry Press，2010：296-300.

［3］公安部信息安全等級保護評估中心. 信息安全等級保護政策培訓教程［M］. 北京：電子工業出版社，2010：45-52. MPS Information Classified Security Protection Evaluation Center. Information classified security protection policy training course［M］. Beijing：Publishing House of Electronics Industry，2010：45-52.

［4］馬民虎. 網絡安全法律問題及對策研究［M］. 西安：陜西科學技術出版社，2007：171. MA M H. Cyber security legal problems and countermeasures research［M］. Xi'an：Shanxi Science and Technology Press，2007：171.

［5］美國通信行業協會. 保障網絡安全：保障關鍵基礎設施和全球供應鏈的建議［R/OL］. http：//www.usito.org/sites/default/files/tia_ cybersecurity_white_paper-critical_infrastructure_global_supply_ chain-chinese-201306.pdf. The American Association of Communication Industry. Securing the network：cyber security recommendations for critical infrastructure and the global supply chain［R/OL］. http：//www.usito.org/sites/default/files/tia_cybersecurity_white_paper-critical_infrastructure__gl obal_supply_chain-chinese-201306.pdf.

［6］GEORGE R. Critical infrastructure protection［J］. Journal of Healthcare Protection Management Publication of the International Association for Hospital Security，2012，28（2）：11-15.

［7］RICE M，BUTTS J，MILLER R，et al. An analysis of the legality of government-mandated computer inoculations［J］. International Journal of Critical Infrastructure Protection，2010，3（1）：5-15.

［8］CLAVADETSCGER C J. Building national resilience capabilities［J］. International Journal of Critical Infrastructure Protection，2010，3（1）：27-28.

［9］COHEN F. What makes critical infrastructures critical？［J］. International Journal of Critical Infrastructure Protection，2010，3（3）：53-54.

［10］MAHONEY W，GANDHI R A. An integrated framework for control system simulation and regulatory compliance monitoring［J］. International Journal of Critical Infrastructure Protection，2011，4（1）：41-53.

［11］王玥，方婷，馬民虎. 美國關鍵基礎設施信息安全監測預警機制演進與啟示［J］. 情報雜志，2016（1）：17-23. WANG Y，FANG T，MA M H. Analysis and enlightenment of the evolution of the US critical infrastructure information security monitoring and warning mechanism［J］. Journal of Intelligence，2016（1）：17-23.

［12］張莉. 美國保護關鍵基礎設施安全政策分析［J］. 信息安全與技術，2013（7）：3-6. ZHANG L. The analysis of US policy on protecting critical infrastructure security［J］. Information Security and Technology，2013（7）：3-6.

［13］馬民虎. 信息安全法研究［M］. 西安：陜西人民出版社，2004：289. MA M H. Information security law research［M］. Xi'an：Shanxi People's Publishing House，2004：289.

［14］曲潔，朱建平. 等級保護與關鍵基礎設施防護的融合研究［J］.信息網絡安全，2011（12）：84-88. QU J，ZHU J P. The research of combination of classified protection and critical infrastructure protection［J］. Information Network Security，2011（12）：84-88.

［15］孫丕恕. 加強關鍵信息基礎設施安全保障能力［EB/OL］. http：//npc.people.com.cn/n/2014/0307/c376899-24567166.html. SUN P S. Strengthen the security assurance capabilities of critical information infrastructure［EB/OL］. http：//npc.people.com.cn/n/2014/0307/c376899-24567166.html.

Legislative reflection on critical information infrastructure protection in China

HUANG Dao-li1，FANG Ting2

（1. The Third Research Institute of Ministry of Public Security，Shanghai 201204，China；2. Information Security Law Research Center，Xi'an Jiaotong University，Xi'an 710049，China）

The necessity of critical information infrastructure protection legislation is particularly prominent. Current legislations and practice show that critical information infrastructure protection is lack of a strong regulation at the national level，national and industry department lack of knowledge and ability to protect critical information infrastructure and their responsibilities are unclear with no effective coordination mechanisms，financial，technical and personnel support capabilities are also weak. To speed up the formulation and promulgation of critical information infrastructure protection legislation，the organization system and its working mechanism of critical information infrastructure protection should be clearly defined，and early warning and monitoring mechanism，emergency response and recovery mechanisms，security supervision system，accountability system and basic safeguard system should be built.

critical information infrastructure，monitoring，warning，emergency response

1　引言

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網絡安全法（草案）》［1］，其中，在“網絡運行安全”一般規定的基礎上，設專節對關鍵信息基礎設施的運行安全做出了具體規定并實行重點保護，保護的范圍包括基礎信息網絡、重要行業和領域的重要信息系統、軍事網絡、重要政務網絡、用戶數量眾多的商業網絡等。在此基礎上，《草案》進一步提出了關鍵信息基礎設施保護的三同步原則，明確了關鍵信息基礎設施保護主管部門的職責和運營者的安全保護義務，建立了關鍵信息基礎設施運營者采購網絡產品、服務的安全審查制度，并要求建立關鍵信息基礎設施保護相關部門之間的協作機制等。同時，2015年7月1日頒布實施的《國家安全法》第25條進一步部署了有關關鍵基礎設施和重要領域信息系統及數據安全可控的戰略舉措。由此可見，我國已經充分認識到關鍵信息基礎設施保護在維護國家安全、經濟安全和保障民生中的重要作用，從網絡安全基本法層面關注關鍵信息基礎設施保護的迫切需求，基于此，我國應當在《網絡安全法（草案）》、《國家安全法》等基本法相關規定的指導下，針對關鍵信息基礎設施保護進行專門立法，構建關鍵信息基礎設施保護的法律制度體系。

Information Network Security Key Lab Program of the Ministry of Public Security（No.C13603）

D035. 3

A

10.11959/j.issn.2096-109x.2016.00033

2016-02-03；

2016-02-23。通信作者：方婷，27562550@qq.com

信息網絡安全公安部重點實驗室開放課題基金資助項目（No.C13603）

黃道麗（1980-），女，湖北公安人，公安部第三研究所信息網絡安全公安部重點實驗室研究員，主要研究方向為電子數據鑒定、計算機取證、網絡與信息安全法學。

方婷（1987-），女，江蘇南京人，西安交通大學博士生，主要研究方向為信息安全法。