冯治中,王 强
(1.中国石油天然气集团有限公司,北京 100007)(2.中国石油天然气集团有限公司长庆油田公司,陕西 西安 710018)
现代社会运行高度依赖脆弱性很强的关键基础设施,特别是在未来战争攻击方式发生重大改变的背景下,①关键基础设施一旦遭到破坏或出现失能现象,将会给国家安全和社会稳定带来灾难性影响。因此,在国家层面统筹和加强我国关键基础设施的安全保护工作不仅必要而且十分紧迫。部分学者在论文和著述中也将关键基础设施表述为重要基础设施(critical infrastructure),考虑到基础设施对国家安全和国计民生日益突出的作用,本文采用了关键基础设施这一概念。
国家安全是国家生存和发展最基本的前提,是安邦定国的基石,维护国家安全是国家、民族和人民的根本利益所在。2014年2月27日,习近平总书记在主持召开中央网络安全和信息化领导小组第一次全体会议并发表重要讲话时指出,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,也是可能遭到重点攻击的目标。这些基础设施一旦被攻击就可能导致交通中断、金融紊乱、电力瘫痪等问题,具有很大的破坏性和杀伤力。②关键基础设施是国家的重要战略资源,对国家安全具有基础性、支撑性、全局性、战略性作用。③这种作用主要体现在两个方面:一是重大的政治意义。三峡大坝、“西气东输”工程、“中国天眼”等一批关键基础设施不仅具有重要的经济、科技意义,也是我国国家形象和大国地位的象征,是我党执政和社会运行的重要物质基础,具有极其重大的政治意义。美国政府认为,突发事件如果造成对国家关键基础设施的破坏,将会严重影响政府部门和经济界的正常运作,并产生一连串远远超出事件所针对部门和所发生区域的影响,甚至导致公民士气和国家信心的灾难性损失。④二是重要的经济和社会功能。从工具层面而言,关键基础设施是社会生产力水平的重要标志,是工业化、信息化的物质载体,更是我国社会主义建设数十年积累下来的极为重要的物质财富,高铁、城市轨道交通、清洁能源、移动支付等与人民群众幸福生活息息相关的工业化、信息化成果无不依靠基础设施网络的安全有效运行。
2014年4月15日,习近平总书记在主持召开中央国家安全委员会第一次会议时强调,要坚持总体国家安全观,走出一条中国特色国家安全道路。党的十九大报告提出,坚持总体国家安全观,统筹发展和安全,增强忧患意识,做到居安思危,是我们党治国理政的一个重大原则。总体国家安全观的提出,是新形势下党中央对我国面临的各种安全问题和安全挑战的系统回应,标志着党和国家对国家安全问题的理论认识提升到了新的高度。国家安全本质是一种能力和态势,由政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全、海外利益安全等12个领域因素构成,是国家利益免受相关因素威胁、保障国家全面健康安全发展的能力。⑤在工业化、信息化时代,总体国家安全观视域下的任何一个领域都离不开关键基础设施。关键基础设施保护不能仅仅停留在宏观战略层面,而应该进一步具体化为实践,将政府、企业、非政府组织与公民个人力量整合起来,采用“全社会”模式,编制一道应对关键基础设施突发事件的无缝隙网络。⑥
1.我国法律法规中的定义。目前虽然我国未曾对关键基础设施给出过明确的界定,但类似的概念以及基础设施保护实务工作始终存在。如在我国的公安保卫和企业事业单位治安保卫工作之中,从20世纪50年代初就有要害保卫的概念和工作,其中有相当一部分工作就是针对关键基础设施的保护。⑦随着经济社会的发展演进,我国对关键基础设施内涵与外延的认识不断丰富与深化。目前,我国法律法规中与关键基础设施表述相似的概念主要有五种。一是治安保卫重点单位。国务院《企业事业单位内部治安保卫条例》(以下简称《内保条例》)第十三条规定:关系全国或者所在地区国计民生、国家安全和公共安全的单位是治安保卫重点单位。二是反恐重点目标。《中华人民共和国反恐怖主义法》(以下简称《反恐法》)第三十一条规定,公安机关应当会同有关部门,将遭受恐怖袭击可能性较大以及遭受恐怖袭击可能造成重大的人身伤亡、财产损失或者社会影响的单位、场所、活动、设施等确定为防范恐怖袭击的重点目标。三是关键信息基础设施。2021年9月1日正式施行的《关键信息基础设施保护条例》,是我国首部专门针对关键信息基础设施安全保护工作的行政法规。该《条例》明确规定关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。四是国家重点建设项目。公安部《国家重点建设项目治安保卫工作暂行规定》第二条规定:国务院计划主管部门确定的,对国民经济和社会发展全局有重大影响的建设项目。五是反间谍安全防范重点单位。2021年4月26日,国家安全部公布了《反间谍安全防范工作规定》,规定国家安全机关根据单位性质、所属行业、涉密等级、涉外程度以及是否发生过危害国家安全案事件等因素,会同有关部门制定并定期调整反间谍安全防范重点单位名录,以书面形式告知重点单位。治安保卫重点单位、重要目标、关键信息基础设施、国家重点建设项目、反间谍安全防范重点单位等表述,内涵、外延互有交叉,不能完全涵盖关键基础设施范围。
2.美国国土安全部的定义。美国国土安全部将关键基础设施界定为:“如果失灵或者被摧毁,将对国家安全、经济命脉及全国公众的健康和安全,或者上述几项后果的全部造成严重损害的有形或无形的系统和设施”。近年来,美国又从关键基础设施概念中衍生出“关键资源”(key resources)这一概念。所谓关键资源,是指“使政府和经济能够最低限度运行的由公共或者私人掌控的资源”。而在“关键资源”的概念之下,又派生出“关键资产”(key assets)的子概念。所谓关键资产,是指“一旦遭到破坏将导致大规模死伤或财产的毁灭,或深层次损害国家声望和公众信心的个体目标。”因此,在美国,关键基础设施主要包括两类,一类是硬资源系统,主要指物理上客观存在的资源系统,如交通、电力、通信、能源、供水、计算机网络等;另一类是软资源系统,如食品供应网、银行金融系统、信息和商业、工业网络系统等。关键基础设施可能包含以下元素中的一项或者多项:(1)人。既包括需要保护的人员,也包括有潜在威胁的人员。例如,有权接近或进入控制系统、操作系统、敏感部位的人,可能接触机密信息的人等。(2)物质。既包括以实物形式存在的财物,如设施、地产、动物、产品等,也包括不以实物形式存在的物质,如信息等。(3)计算机系统。包括使资产发挥功用及运转的计算机硬件、软件、数据、网络等。总体上看,美国对关键基础设施的理解范围较广,层次分解较清晰。
结合我国相关文件对要害单位与部位、重点单位与重点部位的界定以及我国关键基础设施保护工作实际,借鉴美国关键基础设施的概念,我国关键基础设施的含义可以归纳为:对全国以及地区的正常管理功能的发挥、对公共安全和国计民生、对国家安全和利益产生重大或关键影响的设施、目标与资产。
1.我国关键基础设施的主要类型。根据管辖范围的不同,我国对关键基础设施的分类主要是两个层面。一是《内保条例》。该条例将治安保卫重点单位划分为11类,具体包括:(1)广播电台、电视台、通讯社等主要新闻单位;(2)机场、港口、大型车站等重要交通枢纽;(3)国防科技工业重要产品的研制、生产单位;(4)电信、邮政、金融单位;(5)大型能源动力设施、水利设施和城市水、电、燃气、热力供应设施;(6)大型物资储备单位和大型商贸中心;(7)教育、科研、医疗单位和大型文化、体育场所;(8)博物馆、档案馆和重点文物保护单位;(9)研制、生产、销售、储存危险物品或者实验、保藏传染性菌种、毒种的单位;(10)国家重点建设工程;(11)其他需要列为治安保卫重点的单位。这11类重点单位都属于关键基础设施的范围,但仅是公安机关治安部门对其具体管辖的关键基础设施类型的划分,范围不够全面,不能完全包括关键基础设施的类型与范围,例如,军事关键基础设施的保卫一般由军队负责。二是法律规范对某些行业类关键基础设施的范围作出了相应规定。近年来,我国在关键基础设施保护方面颁布了一些单行法律法规,如《石油天然气管道保护法》《电力设施保护条例》《水库大坝安全管理条例》《广播电视设施保护条例》《关键信息基础设施保护条例》《民用航空运输机场航空安全保卫规则》等,这些法律规范对某些行业类关键基础设施的范围作出了相应规定。例如,《关键信息基础设施保护条例》中规定,认定关键信息基础设施应当主要考虑三项因素:首先,网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度;其次,网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度;最后,对其他行业和领域的关联性影响。综上所述,我国还没有形成较为完整系统的关键基础设施分类体系。
2.美国关键基础设施的主要类型。“9·11”事件后,美国确定了国内亟需保护的11项关键基础设施和5项重要国家资产。11项关键基础设施包括:(1)农业和食品系统。(2)城市废水处理设施等供水系统。(3)医院等公共卫生系统。(4)警察局、消防局、急救中心等紧急情况处理机构。(5)国防工业基地。(6)通讯系统。(7)发电站、油田、油气管道等能源系统。(8)铁路、火车站等铁路运输系统。(9)公路、港口、城市交通枢纽等道路运输和航运系统。(10)银行和金融系统。(11)化工系统。5项重要国家资产包括:(1)国家级纪念建筑物。(2)商用核电站。(3)政府建筑及设施。(4)水坝。(5)高层建筑。
美国关键基础设施类型的划分值得我国借鉴。与美国关键基础设施的分类相比,我国现有的分类仅关注到有形的、具有实际使用价值的设施,对近年来凸显的一些新型安全威胁,包括“损害国家声望和公众信心的个体目标”等,考虑不够。具体而言,主要有:有关国家形象、公众感情的重要的目标,如具有象征意义的重要建筑物、具有一定高度的建筑物,如纪念碑、烈士陵园等;与社会管理密切相关的机构,如各级公安机关、专业消防救援部门、急救中心等机构;农业和食品系统;微生物实验室等事关生物安全的设施。这说明我们在确定关键基础设施方面,仍然处于传统的思维方式,缺乏对动态系统和对象的安全保护意识,只考虑到重点单位对治安秩序的影响,而忽视了对国家安全的影响,同时对潜在的威胁以及可能产生的连锁反应也不够关注。
美国学者约翰·罗布(John Robb)在论述设施与安全的关系时指出:“基础设施网络是大国的阿喀琉斯之踵。他们构成了我们的财富以及日常功能的基础,他们一直极端脆弱”。⑧随着新技术、新材料的快速发展和风险社会的不断演进,关键基础设施面临的安全威胁不断增多。一是发生系统性危机的可能性增大。随着5G移动通信以及云计算、大数据、AI等技术在各领域的广泛应用,信息技术将进一步进行时空挤压并使万物的耦合度达到空前高度,关键基础设施网络内在运行规律越来越难把握。⑨各种致灾因子作用于某一类型的基础设施后,会导致损害影响指数级放大,诱发系统性危机。2008年年初,低温、暴雪、冻雨等极端天气先后袭击了我国南方的大部分地区,部分省份因供电设施遭遇灾毁而出现大面积停电,京广铁路、京珠高速运输受阻、民航机场被迫关闭,城市供水、通信一度中断,而电、煤等重要物资储备不足、运输困难,更加剧了灾害的影响。这是一场关键基础设施系统性危机的典型事件。2012年11月,深圳地铁2号线、5号线多趟列车多次因发生故障而紧急停运,后现场验证发现主要原因是,由于地铁采用的基于无线通信的列车自动控制系统,使用的信号在公用2.4HZ频段,车上乘客的移动便携式Wi-Fi路由器与CBTC的地铁信号发生了相互干扰。⑩二是网络攻击频发。2021年5月9日,美国最大的成品油管道系统ColonialPipeline遭受勒索病毒攻击,被迫关闭了一条关键的油气管道,直接导致美国汽油期货价格飙涨,美国17个州进入紧急状态。2015年12月23日,乌克兰电网系统被黑客入侵,导致Lvano-Frankivsk地区8万人遭遇长达6小时的停电。三是生物安全威胁加剧。新冠肺炎疫情的暴发,进一步凸显了保障生物安全的极端重要性,国家重点生物实验室、P4级高等级微生物实验室等生物安全关键基础设施对国家安全有着特殊重要的意义和其潜藏的巨大风险,必须实施最严格的安全保护制度。四是无人机等新型攻击方式已构成现实威胁。以在阿塞拜疆和亚美尼亚纳卡冲突中大出风头的土耳其TB-2察打一体无人机为例,该型无人机常规作战高度超过5千米,最大飞行速度超过200千米/小时,续航时长27小时,装备4枚微型智能炸弹。这种炸弹可在近程防空导弹射程外发射,打击精度高,敌对势力、恐怖组织完全可以使用此类装备在境外对我境内关键基础设施实施精确打击,仅靠关键基础设施管理单位很难有效防范。五是供应链安全面临挑战。随着网络产品集成度的不断提升和物联网全球化大分工的不断加深,关键基础设施的供应链安全风险面临严峻的挑战。
一是顶层设计统筹有待加强。目前,我国关键基础设施安全保护管理是一种低级别的分散管理模式。在中央政府层面没有形成统一的、权威性强的、高效的关键基础设施安全保护综合管理部门,部门间缺乏有效的协调机制,不同行业、不同部门职能分散、交叉与缺位并存,缺乏沟通与协调,难以形成合力,仅公安机关内部就有反恐、治安、内保、网安等多个部门从不同业务领域负责关键基础设施安全保护工作。二是国家战略有待明晰。缺乏对关键基础设施保护的总体规划、布局、组织和领导,这是造成关键基础设施保护诸多问题得不到很好解决的重要原因。三是管理责任尚需确定。根据《反恐怖法》和《内保条例》的规定,我国对反恐怖重点目标和治安保卫重点单位治安保卫工作实施的是“单位负责”原则,按照法律规定,重点目标管理单位和治安保卫重点单位有责任做好本单位、本部门的安全保卫工作,但这种责任并非无限,只能在各自职权范围内履行责任。企业、事业单位基本的职能是组织生产、经营和本行业、本领域的业务工作,对于恐怖袭击、敌对势力蓄意破坏等超出其能力范畴的攻击行为,很难防范,必须由政府和有关部门在对威胁和可能造成的后果进行科学评估的基础上,调动充足的社会资源和手段,形成不同层级、各有侧重的防范体系。
2020年底,中国2.8万家境内投资者在全球189个国家和地区设立对外直接投资企业4.5万家,全球80%以上国家和地区都有中国的投资,年末境外企业资产总额7.9万亿美元。中缅、中亚、中哈油气管道、瓜达尔港、吉布提港等地处海外并由我国投资、建设的关键基础设施对我国的经济建设、全球战略和能源供应都有着重大意义。以中亚天然气管道为例,该天然气管道由A、B、C三条线组成,横跨三个国家,经过1833公里的长距离泵送,每天将一亿立方米天然气送入我国。因此,地处海外的关键基础设施是我国关键基础设施网络的重要组成部分,一旦出现微小扰动,就有可能产生“蝴蝶效应”,甚至引发整个网络瘫痪,对国家安全、能源安全产生重大影响。而且,我国投资兴建的关键基础设施多位处于地缘政治复杂、国内政局动荡、治安状况不佳的国家和地区,面临袭击的危险程度较高。目前,我国对海外利益保护仍然以领事保护为主,以人员保护为核心,且高度依赖当事国的配合,其他的保护工具和手段较少,质量上也不能满足要求,特别是对地处海外的关键基础设施保护能力极其薄弱,缺少可靠、稳定的海外情报信息网络,市场化、社会化的保护力量和资源参与不足,优秀的有海外行动能力的保安公司非常有限,事前的预警发现能力和对威胁识别、评估能力不足。有学者认为,海外关键基础设施的保护能力是以海外行动能力为基础的,这方面我国的落后是全方面、全产业的,提升海外关键基础设施的安全保护能力已成当务之急。
一是没有建立以威胁评估和风险管理为基础的现代安全管理模式。大多数行业的关键基础设施安全保护工作仍以“行政命令+经验管理”为主的方式进行管理,此种管理方式的主要问题在于,一方面,由于没有科学评估,发现不了威胁和风险,或者主观不认为有风险,从而不重视安全保护。另一方面,过度研判了风险,导致防范的盲目性,过度防范、重复建设、重复投入,但依然不能有效防范问题发生。例如,2011年故宫发生盗窃案,失窃藏品9件,价值数千万元。故宫保卫处被誉为“京城第一保卫处”,安保人员超过240人,案发时全院至少有1600个防盗报警器和400个摄像头正在运行。事后故宫自查,先后发现闭馆清查漏人、检查存在盲区等7方面的漏洞。安防专家指出,防范不科学,不根据安全评估的结果有针对性地的开展防范是造成此案发生的重要原因。二是安全保护基础薄弱。规划和建设中对安全保护措施特别是安全保卫风险防范考虑不足,安全基础管理制度、技术标准建设滞后。一些地方和部门偏好“运动式”管理,“安全大检查”“隐患大排查”“问题大整治”名目繁多,企事业单位不堪重负。这种管理方式冲击了安全保护的基础管理工作,使管理陷入了“发生问题—大检查—放松管理—再发生问题”的怪圈。三是信息“孤岛”导致风险管控难度大。以燃气管道为例,燃气管道与热力、给排水、电力通信等市政管网因交叉平行敷设产生密闭空间,由于各类市政管网设施分属不同的政府部门和企业管理,燃气企业无法有效获取数据,一旦发生类似湖北十堰燃气爆炸的突发事件,因缺少各类市政密闭空间连通状态、走向等具体信息,会导致无法快速探边及实施有效预警疏散等措施。四是应急管理能力不足。2021年7月20日,郑州发生因持续遭遇特大暴雨,导致地铁5号线一列列车被洪水围困,12名乘客不幸遇难的悲剧,暴露城市基础设施应急管理能力不足。
美国是较早关注关键基础设施的国家,克林顿政府时期就颁布过法令,划定关键基础设施的范围。1998年5月,克林顿总统颁布第62号和63号令,提出创建国家安全、基础设施保护和反恐怖主义办公室。2001年“9·11”事件发生后,美国先后颁布实施了《爱国者法案》等一系列法律法规,对关键基础设施的保护范围、责任和具体要求进行了规定,并提出了较为系统的关键基础设施建模、仿真和分析系统的保护措施。2004年,欧盟委员会在《打击恐怖主义活动,加强关键基础设施保护》中明确规定,“关键基础设施”是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济或成员国的有效运转造成严重影响的物理和信息基础设施、网络、服务和资产。2011年11月,加拿大政府出台详细的《关键基础设施国家策略及行动计划》,制定了为期三年的国家在关键基础设施保护方面的具体行动计划。近年来,澳大利亚、新西兰、欧盟等国家和地区组织又相继出台了关键基础设施安全保护战略。总之,美国、加拿大和欧洲国家对关键基础设施保护重要性有清醒认识,关键基础设施概念清晰、范围明确,相关保护工作已经成为其国家安全战略的重要组成部分。
1.美国。“9·11”事件之后,美国组建了国土安全部,其所属的信息分析与基础设施保护局专门负责关键基础设施保护工作。该局由国家基础设施保护中心、国家通信系统局、关键基础设施保护办公室、计算机安全分会、国家基础设施建模与分析中心、联邦计算机事故反应中心等部门整合而成。2018年11月,特朗普总统签署《网络安全和基础设施安全局法案》,在已有机构基础上建立网络安全和基础设施安全局(CISA),进一步加强关键基础设施的保护力量,该举措被认为对美国的关键基础设施保护具有里程碑意义。美国法律规定,每个公民都有保护国家关键基础设施的责任,国土安全部网络安全和基础设施保卫局与各企业、社区和政府部门合作,实现国家关键基础设施安全。根据国土安全部《关键基础设施保护计划》的规定,美国关键基础设施的所有者和经营者都应采取行动支持风险管理和安全经费投入,特别是当威胁超过所有者和经营者自身能力时,政府相关部门必须与关键基础设施的所有者及经营者合作来解决保护中面临的问题。
2.英国。根据英国法律的规定,关键基础设施保护的责任主要由内政大臣承担。2007年,英国专门在国家安全局(The Security Service即著名的军情五处)内成立了国家基础设施保护中心(Centre for the Protection of National Infrastructure,CPNI),统筹协调国内基础设施保护工作,并向相关责任机构提供安全建议和协助,其核心职责就是减少英国国内基础设施被恐怖主义破坏或遭受其他威胁,保护通信、能源、金融和食品等13类关键基础设施安全。英国国家基础设施保护中心的主页清楚地显示:与私营部门的合作是我们工作的核心,私营部门、学界专家与该中心保持着密切的合作。
3.俄罗斯。俄罗斯内务部牵头负责能源设施保卫,内务部设立有专门保卫部门统筹俄联邦境内基础设施的安保工作,俄罗斯工业和能源部也有专门的保卫输油管道和输电线路的武装力量。2007年,俄罗斯杜马专门通过法律,允许俄罗斯天然气工业股份公司和俄罗斯石油管道运输公司两大能源巨头自行组建武装力量并配备轻武器。总之,美国、英国、俄罗斯等国家在关键基础设施保护方面不仅部门明确、力量较强,且责任划分清晰,政府部门和私营机构合作密切。
以美国为例。美国通过连续多年的建设,其在关键基础设施保护中形成了一套健全有效的管理方法。一是密切信息共享。由于美国关键基础设施主要由私营企业运营,所以其基础设施保护的重点工作就是促进对各类信息的共享,鼓励私营企业建立信息共享与分析中心,在法律允许的范围内向特定部门、有关企业及合作伙伴提供情报信息,提供实时的威胁报告和风险分析,并对敏感信息进行保护。国土安全部还专门建立国土安全信息网络,通过网络向有关部门和企业提供实时信息,包括实时通信、文件共享、警报和即时消息推送。二是进行科学的风险管理。美国自2009年《关键基础设施保护计划》颁布以来,一直将风险管理作为保护关键基础设施的基础,其风险管理框架以“戴明循环”为理论支撑,主要包括五个部分:(1)设定保护目标;(2)识别关键基础设施并确定优先级;(3)评估和分析风险;(4)落实保护策略和措施;(5)进行效果评价。这个风险管理框架同时适用于各级地方政府、行业部门在其管辖范围内对关键基础设施进行风险识别和评估。三是进行精准培训。国土安全部为政府相关部门和关键基础设施管理机构提供广泛的免费培训课程。这些培训课程大多基于网络独立学习,内容涵盖了关键基础设施介绍、安全意识、应急响应、事后重建、射击和反简易爆炸装置等。四是高度重视国际合作。2012年,美国、澳大利亚、新西兰、英国和加拿大五国共同发起成立了“关键五国”(Critical Five),在对关键基础设施分类、定义、作用充分达成共识的基础上,实现情报信息共享、密切国际执法合作。此外,由于美、加两国接壤,跨国输油气管道、输电线路众多,美国还专门与加拿大签订了《关键基础设施行动计划》,共同保护跨国基础设施。
关键基础设施是国家社会经济正常运行的基础骨干,是支撑大国崛起的“动脉”和“脊梁”,其安全保护工作尤为重要。我国已经成为全球第二大经济体,需要提升与国家实力和国际地位相匹配的关键基础设施保护能力。结合我国关键基础设施安全保护的现状,借鉴国际上关键基础设施安全保护成熟经验,建议从以下方面进一步提升我国关键基础设施保护能力。
将关键基础设施保护作为国家安全战略问题予以统筹安排,在国家安全委员会设立专门的关键基础设施保护委员会,统筹情报收集分析、重大决策、应急处置等工作。此外,国家层面应加强关键基础设施安全保护智库和应急处突“国家队”建设,为关键基础设施保护提供高层次的智力支持和技术、力量保障。
结合我国关键基础设施安全保护工作的既定模式,在充分整合公安反恐、治安、内保、网安、政保、科技等部门资源的基础上,由公安部组建国家关键基础设施保卫局,赋予其必要的职责。同时,由国务院批准组建关键基础设施安全保护工作部际联席会议,吸纳有关部门和重点企业参加,定期沟通,形成合力,共同推进工作。
加快推进关键基础设施保护立法和标准制定,通过立法的形式尽快明确关键基础设施的概念、范围、层次,完善风险评价、防范力量配置等技术标准,规范专业名词术语。同时,对军队、公安、情报机构、行业主管部门、企事业单位和保安公司等各类保护力量的职责予以明确,推动形成“法律—行政法规—部门规章—安全技术规范—引用标准”一体化的关键基础设施保护制度体系。
国家层面出台关键基础设施等信息共享和利用的相关政策法规,推动企业、政府以及相关社会组织建立基础设施、隐蔽工程信息数据即时交换、共建共享、动态更新机制,确保一旦发生突发事件,应急救援部门能够即时准确掌握各类信息及风险动态,提升事故及应急状态下的决策有效性及处置可靠性。
构建以风险管理为核心,以安全风险评估为工具,以预测预警预防为主轴的关键基础设施安全保护过程管理模式。国家层面制定统一规范的关键基础设施风险管理框架,设定清晰的安全保护目标,对关键基础设施面临的威胁、脆弱性和可能的后果进行全面感知和综合分析。同时,应建立关键基础设施目录动态管理制度,对关键基础设施要做到数据新、情况清;应建立信息共享反馈机制,及时收集各类情报信息,准确研判威胁和风险变化趋势。
将海外关键基础设施安全保护作为我国海外利益保护的重要内容,制定清晰明确的战略。要加强与相关国家的国际执法合作,全面构建情报共享、突发事件应急协调、安全风险评估、教育培训交流等工作机制。同时,要重视和发挥跨国企业、社会组织、行业协会、甚至在外公民等的作用。此外,根据保安公司具有敏感度低、产业成熟和灵活度高等特点,应加大对海外安保产业特别是保安公司的扶植力度,培育一批具有国际化视野、拥有海外资源和国际化人才、掌握安保核心技术、通晓国际规则和惯例的优秀海外保安公司。
注释:
①参见俄媒:《“云敌人”将改变未来作战规则》,参考消息网,http://m.cankaoxiaoxi.com/mil/20190919/2391310.shtml。最后访问日期:2021年10月30日。
②孙利民、吕世超、李红、文辉:《美国关键基础设施安全防护体系与策略》,清华大学出版社,2017年,第2页。
③《总体国家安全观干部读本》编委会:《总体国家安全观干部读本》,人民出版社,2016年,第89页。
④参见张骥:《美国政府应急管理中的国家基础设施保护》,临沂应急,http://yj.linyi.cn/info/1955/5515.htm。最后访问日期,2021年10月30日。
⑤谭晓、李辉、胡锡晟:《总体国家安全观视域下的情报学热点主题研究》,《情报理论与实践》,2021年第1期,第57-62页。
⑥王宏伟:《健全应急管理体系探析》,应急管理出版社,2020年,第173页。
⑦裴岩、郭太生:《中美重要基础设施安全保护比较研究》,《中国人民公安大学学报》(社会科学版),2008年第2期,第108-113页。
⑧周亚超、刘金芳:《美欧关键信息基础设施保护分析与借鉴》,《网络空间安全》,2018年第11期,第44-47页。
⑨孙利民、吕世超、李红、文辉:《美国关键基础设施安全防护体系与策略》,清华大学出版社,2017年,第21页。
⑩国家行政学院应急管理培训中心:《重特大生产安全事故预防、处置和舆情应对》,国家行政学院出版社,2017年,第113页