政策法規 | 軍民融合視角下的國防關鍵信息基礎設施立法保護探析
?
隨著網絡攻擊不斷向國防領域滲透����,國防關鍵信息基礎設施的安全防護問題已成為研究的重點�����,但其安全防護工作仍缺乏相應的法律保障。完善國防關鍵信息基礎設施立法,不僅事關國防網絡安全,更是關系到國家總體網絡安全的防護��。要創新思維�����,打破軍地界限����,共同謀劃��,不斷增強網絡治理的綜合能力����,從國家層面和公共安全需求角度提供更高層級的法律保障�����,以滿足國家對總體網絡安全的需求��。
2010 年伊朗核電站遭受的“Stuxnet(震網)”蠕蟲病毒攻擊使關鍵基礎設施安全成為全世界關注的焦點��。隨后,2013 年韓國金融機構遭遇大規模高級持續性威脅攻擊�����,2015 年�����,烏克蘭電網系統遭“Black Energy(黑暗力量)”攻擊����。奇虎360 公布的《2015 年中國高級持續性威脅研究報告》中披露�����,科研教育機構��、政府機構�����、能源企業遭受攻擊次數分列一��、二�����、三位,軍事系統排名第四��。此外����,國防工業部門如航天系統也成為被網絡攻擊的重點領域����。隨著網絡攻擊不斷地從政府����、金融等領域向國防領域滲透,國防關鍵信息基礎設施的安全防護問題已成為研究的重點��。但長期以來部分人員一直存在錯誤的觀念�����,認為國防關鍵信息基礎設施的安全防護更多是軍隊的事務�����,而將其孤立于總體網絡安全防護之外����。
2017 年7 月11 日,國家互聯網信息辦公室發布了《關鍵信息基礎設施安全保護條例(征求意見稿)》(以下簡稱《條例》),進一步細化了相關制度設計�����。《條例》對關鍵信息基礎設施保護制度的設計是值得肯定的,但國防關鍵基礎設施作為關鍵信息基礎設施中的重要分類��,卻沒有被《條例》所重視�����,在制定防護措施和立法中涉及也很少�����,其安全防護工作因此缺乏相應的法律保障�����。隨著軍民融合發展戰略的推進,從軍隊內部增強國防關鍵信息基礎設施安全防護的政策制定是鞏固網絡國防的必要條件,單靠軍隊一家已不可能掌握國防關鍵信息基礎設施安全防護的全部環節,必須從國家層面和公共安全需求角度提供更高層級的法律保障����,以滿足國家對總體網絡安全的需求��。
一、國防關鍵信息基礎設施的安全現狀
(一)國防關鍵信息基礎設施的概念
國防信息基礎設施(defense information infrastructure, DII)的概念最早出現于美國,主要是指在整個軍事行動范圍內�����,滿足用戶信息處理和傳輸需求的通信網絡�����、計算機�����、基礎軟件、應用程序��、數據庫����、武器系統接口��、數據安全服務以及其他服務的互聯網系統。隨著信息技術的發展,國防關鍵信息基礎設施不再僅限于軍事領域��,甚至會涵蓋到更多的公共領域。雖然我國對國防關鍵信息基礎設施沒有統一的定義,但《網絡安全法》對關鍵信息基礎設施的描述界定了關鍵信息基礎設施的范圍:“國家對公共通信和信息服務、能源����、交通��、水利、金融、公共服務,電子政務等重要行業和領域,以及其他一旦遭到破壞��,喪失功能或者數據泄露�����,可能嚴重危害國家安全��、國計民生����、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上�����,實行重點保護”��。2016 年12 月發布的《國家網絡空間安全戰略》首次給出關鍵信息基礎設施的定義:“關系國家安全����、國計民生����,一旦數據泄露��、遭到破壞或者喪失功能�����,可能嚴重危害國家安全、公共利益的軍事信息設施����,包括但不限于提供公共通信����、廣播電視傳輸等服務的基礎信息網絡,能源����、金融、交通、教育��、科研�����、水利��、工業制造、醫療衛生����、社會保障�����、公共事業等領域和國家機關的重要信息系統,重要互聯網應用系統等”。
因此,根據《網絡安全法》及相關文件精神��,可將國防關鍵信息基礎設施定義為:“事關國家安全、國計民生����,一旦遭到破壞��,喪失功能或者數據泄露,可能嚴重危害國家安全��、公共利益和國防安全的軍事信息設施��,包括但不限于面向公共提供網絡信息服務和用于軍事用途的通信����、導航��、定位����、指揮控制等重要軍事信息系統和重要軍事工程控制系統”�����。綜上所述����,國防關鍵信息基礎設施就是指包括一般的軍事關鍵信息基礎設施��、面向公共提供信息服務的軍事基礎設施和其他領域中涉及國防安全的關鍵信息基礎設施的總和�����。
(二)國防關鍵信息基礎設施的特征
國防關鍵信息基礎設施網絡安全防護的基礎工作是界定保護對象,雖然《條例》給出了應當納入關鍵信息基礎設施保護的范圍,但是國防關鍵信息基礎設施的特殊性決定了它不同于一般的關鍵信息基礎設施:既有民的部分,又有軍的部分�����,涉及軍民協作、軍民融合發展,區分難度大����?�?蓪⑵涮卣鳉w納為以下三點:
一是國防關鍵信息基礎設施易受攻擊。隨著我軍信息化建設和信息化程度的提高,軍隊對信息系統的依賴程度加大。無論是在平時還是戰時�����,為了竊取軍事秘密和破壞我國網絡國防安全�����,國防關鍵信息基礎設施都是敵對分子首選的攻擊目標。
二是國防關鍵信息基礎設施系統兼容性差�����。由于國防關鍵信息基礎設施涉及國防安全和軍事秘密��,其物理設施又大多由軍隊內部監督����、管理�����,與外界隔絕�����,在信息系統的數據架構等方面自成一體,因此兼容性差��、數據代碼等不開放����。
三是部分國防關鍵信息基礎設施涉及行業領域多�����,結構復雜�����。部分國防關鍵信息基礎設施需要軍地共建�����、共管和共用��,與公共關鍵信息基礎設施存在交叉重疊部分,公共領域和行業又有涉及國防用途的信息基礎設施����。國防關鍵信息基礎設施總的特點就是“一主多分”�����,以軍隊內部關鍵信息基礎設施為主,以各行業領域涉及國防的關鍵信息基礎設施為分支的樹形結構��,共同構成國防關鍵信息基礎設施的整體架構��。
二����、軍民融合發展國防關鍵信息基礎設施的必要性
相對于發達國家����,我國國防關鍵信息基礎設施建設起步較晚。隨著國家信息技術的突破����,以互聯網為首的信息網絡技術得到了快速發展��。關鍵信息基礎設施與信息網絡領域密切相連�����,其保護程度也越來越受到重視��。習近平同志在黨的十九大報告中一方面提出:“堅持推動構建人類命運共同體”, 另一方面也強調要“更加注重軍民融合”��,為新時代網絡強國建設和軍民融合發展信息網絡技術提供了戰略參考。十九大報告提出的這些重要論述要求我們一定要用創新思維,打破界限�����,共同謀劃,不斷增強治理網絡的綜合能力,立法先行,用規范的法律體系指導網絡安全的防護工作����。
(一)軍民融合發展國防關鍵信息基礎設施立法是貫徹落實《網絡安全法》的必然要求
國防關鍵信息基礎設施承載或支撐國防領域關鍵核心業務�����,為基于信息系統的體系作戰能力提供物理支持�����,為國家網絡總體安全提供不可替代的物質和服務,一旦遭受攻擊勢必影響國家網絡的總體安全����。雖然在物理上國防關鍵信息基礎設施可以與公共關鍵信息基礎設施實現隔離�����,但在關鍵信息基礎設施的立法中����,不可能將國防關鍵信息基礎設施脫離于整體�����。2017 年7 月生效的《網絡安全法》從總體上對關鍵信息基礎設施進行了制度設計,接下來的工作就是要進一步細化關鍵領域,科學立法��,貫徹落實《網絡安全法》精神��,從軍民融合發展關鍵信息基礎設施入手��,保證網絡總體安全的實現。
(二)軍民融合發展國防關鍵信息基礎設施立法是鞏固網絡國防安全的重要保障
我國國防關鍵信息基礎設施的立法工作在一定程度上沒有受到足夠的重視,具體體現在《條例》征求意見稿中沒有明確規定。國防關鍵信息基礎設施是網絡國防的關鍵突破點����,事關軍隊信息化建設和國家網絡國防安全。完善國防關鍵信息基礎設施必須以《條例》為基礎,構建起完整的法律體系,規范起相關人員在網絡中的行為,才能確保穩定有序的網絡環境�����,提高保護效率�����,保證網絡國防安全�����。網絡國防安全不再是軍隊一家的責任,也不是軍隊一家能解決的問題,必須樹立大國防觀��、全民國防觀�����。完善國防信息基礎設施立法,需要在國家層面對整體的國防信息設施保護貫徹總體戰略����,然后在各行業領域制定相對應的具體措施����,最后軍隊內部再制定部門領域內的專業保護政策����,形成“一總多分”的戰略布局。通過加強軍地協作和軍民融合��,建立起一套國防關鍵信息基礎設施安全防護的法律體系��,共同應對新型網絡空間所帶來的挑戰����,共同應對總體網絡安全威脅�����。
(三)軍民融合發展國防關鍵信息基礎設施立法是借鑒國外成功經驗的先進做法
在關鍵信息基礎設施立法上��,各國都非常重視�����。作為世界上網絡空間霸主的美國,不僅在其網絡技術上的優勢遠遠超出其它國家����,在立法上也有更多成功的經驗值得我們借鑒��。美國網絡信息軍民融合實行“軍民一體化”基本模式�����,其主要方針政策為“國家主導����,以軍帶民,民為軍用”����。美國在建設第二代國防信息基礎設施全球信息柵格(GIG)的過程中��,開始采用軍民兼容�����、合建合用的方法,緊隨《國防授權法》和《國防科學技術戰略》的頒布��,全面實行軍民融合戰略����。2002 年美國《關鍵基礎設施信息法》對關鍵基礎設施��、關鍵基礎設施保護計劃�����、信息共享和分析組織、保護系統等基本概念作了規定��,并指出關鍵基礎設施保護計劃由總統或國家安全部部長制定����。2007 年��,受“9·11”事件的影響��,美國對《2002 國土安全法案》進行了修訂,國土安全部建立了一個基于國家系統和資產數據庫的關鍵系統和資產優先清單,為美國劃分關鍵基礎設施奠定了基礎�����。為避免交流和政策制定時出現不一致性�����,從2005 年起��,美國國土安全部統一術語,制定了關鍵基礎設施分類方法,將基礎設施依次按照領域��、子領域��、部門�����、資產的層級進行歸類,制定關鍵基礎設施優先清單,成為當前美國制定基礎設施保護決策的基礎。2015 年4 月,美國防部發布新版《網絡空間戰略》����,跨越傳統“軍民兩分”界限,把私營機構運營的網絡基礎設施也納入到國防保護的范疇,極大推動了軍民融合發展信息基礎設施的進程。
三�����、軍民融合視角下我國國防關鍵信息基礎設施法律保護的幾點意見
目前����,我國尚未制定對國防關鍵信息基礎設施進行專門規制的法律法規,相關軍事部門立法又相對滯后����,在軍民融合發展國防關鍵信息基礎設施上的規制機構和職權也不明晰,缺乏統一的領導機構��,軍地之間的信息共享機制缺失����,一旦發生高持續性的網絡攻擊,難以達成對國防關鍵信息基礎設施的有效防護����。
因此����,針對實施國防關鍵信息基礎設施安全保護的重點和難點����,參照頒布的《關鍵信息基礎設施安全保護條例(征求意見稿)》��,對推進軍民融合發展我國國防關鍵信息基礎設施提出以下幾點意見:
第一,通過對運營者的主體進行界定����,進一步明確國防關鍵信息基礎設施安全保護的責任區分。運營者是負責關鍵信息基礎設施安全保護的主體責任人��。《條例》第四章分別從設施建設�����、人員機構等多個方面明確了設施運營者的安全責任主體,《條例》第十三條也規定了國家行業主管或監督部門應當設立或明確專門負責本行業、本領域關鍵信息基礎設施安全保護工作機構和人員����,但對運營者的主體并沒有進行明確界定����。國防關鍵信息基礎設施的運營者相較于其他運營者有其特殊性,必須區分政府、社會�����、部隊三位一體的運營者主體責任�����,明確以軍隊信息機構為主體�����,加強其他網絡運營者的安全審查����。建議考慮由國家網信辦統一領導各領域的關鍵信息基礎設施安全保護工作�����,由軍委和國務院相關部門共同對國防關鍵信息基礎設施運營單位的資質進行鑒定�����,各軍種網絡安全與信息化領導小組辦公室承擔軍隊內部行業主管和運營單位的管理和監督,由軍級單位的業務部門承擔國防關鍵信息基礎設施的運營者主體責任,并和省級政府相關部門共同對涉及國防關鍵信息基礎設施的社會運營主體進行管理和監督����。
第二�����,通過對識別方法的改進����,進一步提高國防關鍵信息基礎設施的優先等級。《條例》細化列舉了可能納入關鍵信息基礎設施保護的單位����,第十八條第(三)款中提到了國防科工�����、大型裝備����、化工、食品藥品等行業領域科研單位,第(五)款兜底規定了其他重點單位,第十九條規定國家網信部門會同行業部門制定關鍵信息基礎設施識別指南。從以上幾點可以看出��,《條例》雖細化列舉了一些單位��,從行業上對關鍵信息基礎設施進行了識別�����,但仍不能解決對關鍵信息基礎設施的保護范圍,從單位和行業上對關鍵信息基礎設施進行識別的方法也不太準確。對此����,我們可以借鑒美國在關鍵信息基礎設施識別上的成功經驗,建立國家關鍵信息系統和資產優先清單����,從定義關鍵領域上進行識別����,確定分類方法����,提供收集和管理系統工具�����,制定關鍵信息基礎設施收集流程�����,設立國家級和部門級優先清單�����。對于國防關鍵信息基礎設施來講�����,就是要特別突出優先等級。建議由國家網信辦會同軍委網信辦制定國防關鍵信息基礎設施識別指南�����,分別設立國家級和軍隊級的一級和二級清單����,根據清單等級,分配資源����,確定保護重點��,制定保護規劃�����,提高保護工作效率��。
第三,通過對監測�����、預警����、應急處置和評估信息的共享,進一步構建國防關鍵信息基礎設施安全保護協作機制�����。通過研究其他國家相對成熟的網絡組織管理體系發現�����,各國傾向于設立網絡安全保護的強力監管部門��,將網絡安全設施保護工作交由設置完備且適合此項任務的機構負責�����。例如美國的國土安全部被授予代表美國政府��,對網絡安全設施實施保護工作實施監督管理����。另外��,多數國家建立了包括政府部門和私營機構共同參與的網絡安全保護的組織管理體系����。在大多數國家,網絡安全保護的責任都是由不同的政府部門的多個機構和單位共同承擔,其職責和分工明確,并且相互之間形成了良好的協調機制�����?���!稐l例》第六章雖對監測預警����、應急處置和檢測評估做了規定,但多是從政府行政部門的角度出發����。建議明確在國家網信辦和軍委網信辦之間建立安全信息應急協調小組��,明確政府和軍隊信息部門的責任和權限,定期進行信息共享�����,進一步加強國防關鍵信息基礎設施安全保護協作��,形成有效機制����,使信息能夠對接溝通�����,并避免重復評估����,實現網絡監測全覆蓋��。
第四�����,通過明確法律責任����,進一步加強對國防關鍵信息基礎設施破壞的懲罰力度�����。《條例》第七章對關鍵信息基礎設施運營者、個人及對關鍵信息基礎設施實施破壞的機構、組織�����、個人的法律責任都做了規定����,這是值得肯定的,但國防關鍵信息基礎設施因其特殊性,其侵犯主體和客體涉及軍地兩方,不能簡單地從主體進行規定,應當明確區分軍地兩方各自的責任,對被侵犯的客體也要進行區分����。涉及軍事設施的部分可以參照《軍事設施保護法》相關規定�����,細化對象����,明確刑罰�����。對侵犯國防關鍵信息基礎設施�����,造成嚴重損害的�����,可以參照危害國家安全罪的相關法條進行處罰�����,增加刑事處罰力度��,形成有效震懾�����。
四、結語
在網絡空間日益成為國家發展和軍事戰略新高地的背景下,構建軍民融合發展國防關鍵信息基礎設施安全保護體系,鞏固國家網絡國防安全����,是從網絡大國走向網絡強國的必由之路?�!蛾P鍵信息基礎設施安全保護條例(征求意見稿)》的發布是繼《網絡安全法》后在關鍵信息基礎設施安全防護領域的重大突破。完善國防關鍵信息基礎設施立法��,不僅事關國防網絡安全�����,更是關系到國家總體網絡安全的防護��,法律規定愈明確�����,其條文就愈容易切實施行�����。為實現習近平同志提出的建成世界一流軍隊三步走的計劃��,形成信息化作戰體系,國防關鍵信息基礎設施建設必將成為重點發展領域��,而國防關鍵信息基礎設施的立法防護工作將是當前及今后很長一段時期內網絡國防安全的重點。因此��,為了不斷提高國防關鍵信息基礎設施的安全防護能力,一定要依據《條例》����,走軍民融合發展之路��。
本文刊登于《網信軍民融合》雜志2018年4月刊??
?原創:?朱莉欣 李元元
