我国还没有关键基础设施的概念,现有立法中界定了计算机信息系统,并提出要确保重要信息系统的安全。虽然《中华人民共和国网络安全法》(以下简称《网络安全法》)限定了关键信息基础设施的保护范围,但是并没有明确指出重要行业和公共服务领域的具体范围,更没有给出判定标准。同时,《网络安全法》虽然设专节对关键信息基础设施保护进行了规定,但并没有进行制定具体的实施要求,大多是方向上的指导和禁止,美国明确提出关键基础设施的概念,在国家信息安全战略中将关键基础设施保护作为重要战略目标,并在《美国爱国者法案》《国土安全法》等法律中对其做了明确规定。据此,我国有必要进一步规定落实的细则和提出关键基础设施的概念,并将其提升到国家安全高度予以保护。
近年来,我国的多个科研机构和企业进行了大量关于网络可信身份服务基础设施的有关技术、构架、运营模式等方面的探索。目前形成了以公安部一所的CTID技术框架、公安部三所的eID技术框架、国民认证的FIDO技术框架、蚂蚁金服的IFAA技术框架、市场监管总局的电子营业执照框架等众多网络可信身份服务基础设施。但是这些网络可信身份服务基础设施在软件、硬件、应用等多个维度上的互通互认都存在一定的困难,亟待进行协调及统一。更为不利的是,目前众多框架都在大力开拓自己的可信身份服务应用生态圈,出于用户黏性的考虑,一些应用采取了排他的措施,只允许某一种特定的网络可信身份服务接入。这造成了应用接口重复建设和框架壁垒,有待进行突破。
涉及国家网络安全的关键基础产品和设施大多是通过进口而来的,一些信息系统也是由国外企业提供技术服务,且采用的是国外的技术标准。例如,由中国电信和中国联通运营的互联网骨干网络承载着中国互联网80%以上的流量,然而这些骨干网络70%~80%的网络设备都来自于思科,几乎所有的超级核心节点、国际交换节点、国际汇聚节点和互联互通节点都由思科掌握。据统计,我国芯片、操作系统等关键基础产品和设施90%以上依赖进口。由于缺乏有效的安全管理措施,对于这些技术和产品是否存在漏洞和后门底数不清,因此网络和系统更易受到攻击,面临着敏感信息泄露、系统停运等重大安全事件的安全风险,受控于人的风险极大。从长远来看,这对我国的关键信息基础设施的保护而言无疑是致命的安全隐患,只有加大我国自主创新产品的运用才能在日后可能面临的攻击中掌握主动权。
一方面,行业还未形成统一有效的安全评估标准,没有规范的关键基础设施脆弱性评估机制。另一方面,也没有完善的事后安全恢复计划,未明确指出需要加强保护的重点环节,也无法保障相应评估制度的制定和落实,具有极大的安全隐患。我国对金融、能源、交通等关键基础设施实施分头防护,由关键基础设施各责任单位和主管部门负责。由于对信息安全的重视程度不一,对关键基础设施的安全防护参差不齐。例如,电信、银行、电力等行业实施了信息系统等级保护、安全风险评估、应急处置等制度,但有些行业仅实施了信息系统等级保护制度,有些行业甚至没有任何制度。面对日益复杂的网络攻击,我国关键基础设施的技术防护和安全管理都存在很大不足,多数甚至难以抵御一般性的网络攻击。
各主管机构之间的协调力和配合力欠缺,政府部门和行业机构对关键基础设施的保护力度也需要加强。随着互联网的发展,网络入侵和各种恶意攻击事件屡见不鲜。2019年3月13日,我国部分政府部门和医院等公立机构遭到国外黑客攻击。在此次攻击中,黑客组织利用勒索病毒展开邮件攻击。多个政府部门和机构收到了紧急通知,腾讯、360等互联网安全公司发布了预警信息。2019年5月26日,易到用车官网瘫痪,App也无法正常使用。易到用车官方发布微博称,易到用车服务器遭到连续攻击,因此给用户使用带来严重的影响。攻击者索要巨额比特币,攻击导致易到核心数据被加密,服务器宕机。
由此可见对网络入侵的预警、防御和应急响应能力有多么重要。即便我国对关键信息基础设施的安全越来越重视,在面对大型互联网攻击事件时仍是不堪一击。上述事件说明了我国监测和预警机制仍待完善,全国性的风险监测体系还没有建立起来,缺乏完备有效的应急响应机制。