◎空军工程大学 朱莉欣 李元元
2010年伊朗核电站遭受的“Stuxnet(震网)”蠕虫病毒攻击使关键基础设施安全成为全世界关注的焦点。随后,2013年韩国金融机构遭遇大规模高级持续性威胁攻击,2015年,乌克兰电网系统遭“Black Energy(黑暗力量)”攻击。奇虎360公布的《2015年中国高级持续性威胁研究报告》中披露,科研教育机构、政府机构、能源企业遭受攻击次数分列一、二、三位,军事系统排名第四。此外,国防工业部门如航天系统也成为被网络攻击的重点领域。随着网络攻击不断地从政府、金融等领域向国防领域渗透,国防关键信息基础设施的安全防护问题已成为研究的重点。但长期以来部分人员一直存在错误的观念,认为国防关键信息基础设施的安全防护更多是军队的事务,而将其孤立于总体网络安全防护之外。
2017年7月11日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》(以 下简称《条 例》),进一步细化了相关制度设计。《条例》对关键信息基础设施保护制度的设计是值得肯定的,但国防关键基础设施作为关键信息基础设施中的重要分类,却没有被《条例》所重视,在制定防护措施和立法中涉及也很少,其安全防护工作因此缺乏相应的法律保障。随着军民融合发展战略的推进,从军队内部增强国防关键信息基础设施安全防护的政策制定是巩固网络国防的必要条件,单靠军队一家已不可能掌握国防关键信息基础设施安全防护的全部环节,必须从国家层面和公共安全需求角度提供更高层级的法律保障,以满足国家对总体网络安全的需求。
国防信息基础设施(defense information infrastructure, DII)的概念最早出现于美国,主要是指在整个军事行动范围内,满足用户信息处理和传输需求的通信网络、计算机、基础软件、应用程序、数据库、武器系统接口、数据安全服务以及其他服务的互联网系统。随着信息技术的发展,国防关键信息基础设施不再仅限于军事领域,甚至会涵盖到更多的公共领域。虽然我国对国防关键信息基础设施没有统一的定义,但《网络安全法》对关键信息基础设施的描述界定了关键信息基础设施的范围:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务,电子政务等重要行业和领域,以及其他一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。2016年12月发布的《国家网络空间安全战略》首次给出关键信息基础设施的定义:“关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能,可能严重危害国家安全、公共利益的军事信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公共事业等领域和国家机关的重要信息系统,重要互联网应用系统等”。
因此,根据《网络安全法》及相关文件精神,可将国防关键信息基础设施定义为:“事关国家安全、国计民生,一旦遭到破坏,丧失功能或者数据泄露,可能严重危害国家安全、公共利益和国防安全的军事信息设施,包括但不限于面向公共提供网络信息服务和用于军事用途的通信、导航、定位、指挥控制等重要军事信息系统和重要军事工程控制系统”。综上所述,国防关键信息基础设施就是指包括一般的军事关键信息基础设施、面向公共提供信息服务的军事基础设施和其他领域中涉及国防安全的关键信息基础设施的总和。
国防关键信息基础设施网络安全防护的基础工作是界定保护对象,虽然《条例》给出了应当纳入关键信息基础设施保护的范围,但是国防关键信息基础设施的特殊性决定了它不同于一般的关键信息基础设施:既有民的部分,又有军的部分,涉及军民协作、军民融合发展,区分难度大。可将其特征归纳为以下三点:
一是国防关键信息基础设施易受攻击。随着我军信息化建设和信息化程度的提高,军队对信息系统的依赖程度加大。无论是在平时还是战时,为了窃取军事秘密和破坏我国网络国防安全,国防关键信息基础设施都是敌对分子首选的攻击目标。
二是国防关键信息基础设施系统兼容性差。由于国防关键信息基础设施涉及国防安全和军事秘密,其物理设施又大多由军队内部监督、管理,与外界隔绝,在信息系统的数据架构等方面自成一体,因此兼容性差、数据代码等不开放。
三是部分国防关键信息基础设施涉及行业领域多,结构复杂。部分国防关键信息基础设施需要军地共建、共管和共用,与公共关键信息基础设施存在交叉重叠部分,公共领域和行业又有涉及国防用途的信息基础设施。国防关键信息基础设施总的特点就是“一主多分”,以军队内部关键信息基础设施为主,以各行业领域涉及国防的关键信息基础设施为分支的树形结构,共同构成国防关键信息基础设施的整体架构。
相对于发达国家,我国国防关键信息基础设施建设起步较晚。随着国家信息技术的突破,以互联网为首的信息网络技术得到了快速发展。关键信息基础设施与信息网络领域密切相连,其保护程度也越来越受到重视。习近平同志在党的十九大报告中一方面提出:“坚持推动构建人类命运共同体”, 另一方面也强调要“更加注重军民融合”,为新时代网络强国建设和军民融合发展信息网络技术提供了战略参考。十九大报告提出的这些重要论述要求我们一定要用创新思维,打破界限,共同谋划,不断增强治理网络的综合能力,立法先行,用规范的法律体系指导网络安全的防护工作。
国防关键信息基础设施承载或支撑国防领域关键核心业务,为基于信息系统的体系作战能力提供物理支持,为国家网络总体安全提供不可替代的物质和服务,一旦遭受攻击势必影响国家网络的总体安全。虽然在物理上国防关键信息基础设施可以与公共关键信息基础设施实现隔离,但在关键信息基础设施的立法中,不可能将国防关键信息基础设施脱离于整体。2017年7月生效的《网络安全法》从总体上对关键信息基础设施进行了制度设计,接下来的工作就是要进一步细化关键领域,科学立法,贯彻落实《网络安全法》精神,从军民融合发展关键信息基础设施入手,保证网络总体安全的实现。
我国国防关键信息基础设施的立法工作在一定程度上没有受到足够的重视,具体体现在《条例》征求意见稿中没有明确规定。国防关键信息基础设施是网络国防的关键突破点,事关军队信息化建设和国家网络国防安全。完善国防关键信息基础设施必须以《条例》为基础,构建起完整的法律体系,规范起相关人员在网络中的行为,才能确保稳定有序的网络环境,提高保护效率,保证网络国防安全。网络国防安全不再是军队一家的责任,也不是军队一家能解决的问题,必须树立大国防观、全民国防观。完善国防信息基础设施立法,需要在国家层面对整体的国防信息设施保护贯彻总体战略,然后在各行业领域制定相对应的具体措施,最后军队内部再制定部门领域内的专业保护政策,形成“一总多分”的战略布局。通过加强军地协作和军民融合,建立起一套国防关键信息基础设施安全防护的法律体系,共同应对新型网络空间所带来的挑战,共同应对总体网络安全威胁。
在关键信息基础设施立法上,各国都非常重视。作为世界上网络空间霸主的美国,不仅在其网络技术上的优势远远超出其它国家,在立法上也有更多成功的经验值得我们借鉴。美国网络信息军民融合实行“军民一体化”基本模式,其主要方针政策为“国家主导,以军带民,民为军用”。美国在建设第二代国防信息基础设施全球信息栅格(GIG)的过程中,开始采用军民兼容、合建合用的方法,紧随《国防授权法》和《国防科学技术战略》的颁布,全面实行军民融合战略。2002年美国《关键基础设施信息法》对关键基础设施、关键基础设施保护计划、信息共享和分析组织、保护系统等基本概念作了规定,并指出关键基础设施保护计划由总统或国家安全部部长制定。2007年,受“9·11”事件的影响,美国对《2002国土安全法案》进行了修订,国土安全部建立了一个基于国家系统和资产数据库的关键系统和资产优先清单,为美国划分关键基础设施奠定了基础。为避免交流和政策制定时出现不一致性,从2005年起,美国国土安全部统一术语,制定了关键基础设施分类方法,将基础设施依次按照领域、子领域、部门、资产的层级进行归类,制定关键基础设施优先清单,成为当前美国制定基础设施保护决策的基础。2015年4月,美国防部发布新版《网络空间战略》,跨越传统“军民两分”界限,把私营机构运营的网络基础设施也纳入到国防保护的范畴,极大推动了军民融合发展信息基础设施的进程。
目前,我国尚未制定对国防关键信息基础设施进行专门规制的法律法规,相关军事部门立法又相对滞后,在军民融合发展国防关键信息基础设施上的规制机构和职权也不明晰,缺乏统一的领导机构,军地之间的信息共享机制缺失,一旦发生高持续性的网络攻击,难以达成对国防关键信息基础设施的有效防护。
因此,针对实施国防关键信息基础设施安全保护的重点和难点,参照颁布的《关键信息基础设施安全保护条例(征求意见稿)》,对推进军民融合发展我国国防关键信息基础设施提出以下几点意见:
第一,通过对运营者的主体进行界定,进一步明确国防关键信息基础设施安全保护的责任区分。
运营者是负责关键信息基础设施安全保护的主体责任人。《条例》第四章分别从设施建设、人员机构等多个方面明确了设施运营者的安全责任主体,《条例》第十三条也规定了国家行业主管或监督部门应当设立或明确专门负责本行业、本领域关键信息基础设施安全保护工作机构和人员,但对运营者的主体并没有进行明确界定。国防关键信息基础设施的运营者相较于其他运营者有其特殊性,必须区分政府、社会、部队三位一体的运营者主体责任,明确以军队信息机构为主体,加强其他网络运营者的安全审查。建议考虑由国家网信办统一领导各领域的关键信息基础设施安全保护工作,由军委和国务院相关部门共同对国防关键信息基础设施运营单位的资质进行鉴定,各军种网络安全与信息化领导小组办公室承担军队内部行业主管和运营单位的管理和监督,由军级单位的业务部门承担国防关键信息基础设施的运营者主体责任,并和省级政府相关部门共同对涉及国防关键信息基础设施的社会运营主体进行管理和监督。
第二,通过对识别方法的改进,进一步提高国防关键信息基础设施的优先等级。
《条例》细化列举了可能纳入关键信息基础设施保护的单位,第十八条第(三)款中提到了国防科工、大型装备、化工、食品药品等行业领域科研单位,第(五)款兜底规定了其他重点单位,第十九条规定国家网信部门会同行业部门制定关键信息基础设施识别指南。从以上几点可以看出,《条例》虽细化列举了一些单位,从行业上对关键信息基础设施进行了识别,但仍不能解决对关键信息基础设施的保护范围,从单位和行业上对关键信息基础设施进行识别的方法也不太准确。对此,我们可以借鉴美国在关键信息基础设施识别上的成功经验,建立国家关键信息系统和资产优先清单,从定义关键领域上进行识别,确定分类方法,提供收集和管理系统工具,制定关键信息基础设施收集流程,设立国家级和部门级优先清单。对于国防关键信息基础设施来讲,就是要特别突出优先等级。建议由国家网信办会同军委网信办制定国防关键信息基础设施识别指南,分别设立国家级和军队级的一级和二级清单,根据清单等级,分配资源,确定保护重点,制定保护规划,提高保护工作效率。
第三,通过对监测、预警、应急处置和评估信息的共享,进一步构建国防关键信息基础设施安全保护协作机制。
通过研究其他国家相对成熟的网络组织管理体系发现,各国倾向于设立网络安全保护的强力监管部门,将网络安全设施保护工作交由设置完备且适合此项任务的机构负责。例如美国的国土安全部被授予代表美国政府,对网络安全设施实施保护工作实施监督管理。另外,多数国家建立了包括政府部门和私营机构共同参与的网络安全保护的组织管理体系。在大多数国家,网络安全保护的责任都是由不同的政府部门的多个机构和单位共同承担,其职责和分工明确,并且相互之间形成了良好的协调机制。《条例》第六章虽对监测预警、应急处置和检测评估做了规定,但多是从政府行政部门的角度出发。建议明确在国家网信办和军委网信办之间建立安全信息应急协调小组,明确政府和军队信息部门的责任和权限,定期进行信息共享,进一步加强国防关键信息基础设施安全保护协作,形成有效机制,使信息能够对接沟通,并避免重复评估,实现网络监测全覆盖。
第四,通过明确法律责任,进一步加强对国防关键信息基础设施破坏的惩罚力度。
《条例》第七章对关键信息基础设施运营者、个人及对关键信息基础设施实施破坏的机构、组织、个人的法律责任都做了规定,这是值得肯定的,但国防关键信息基础设施因其特殊性,其侵犯主体和客体涉及军地两方,不能简单地从主体进行规定,应当明确区分军地两方各自的责任,对被侵犯的客体也要进行区分。涉及军事设施的部分可以参照《军事设施保护法》相关规定,细化对象,明确刑罚。对侵犯国防关键信息基础设施,造成严重损害的,可以参照危害国家安全罪的相关法条进行处罚,增加刑事处罚力度,形成有效震慑。
在网络空间日益成为国家发展和军事战略新高地的背景下,构建军民融合发展国防关键信息基础设施安全保护体系,巩固国家网络国防安全,是从网络大国走向网络强国的必由之路。《关键信息基础设施安全保护条例(征求意见稿)》的发布是继《网络安全法》后在关键信息基础设施安全防护领域的重大突破。完善国防关键信息基础设施立法,不仅事关国防网络安全,更是关系到国家总体网络安全的防护,法律规定愈明确,其条文就愈容易切实施行。为实现习近平同志提出的建成世界一流军队三步走的计划,形成信息化作战体系,国防关键信息基础设施建设必将成为重点发展领域,而国防关键信息基础设施的立法防护工作将是当前及今后很长一段时期内网络国防安全的重点。因此,为了不断提高国防关键信息基础设施的安全防护能力,一定要依据《条例》,走军民融合发展之路。