网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

对于6月1日即将施行的《网络安全法》，互联网以及大数据行业企业关心更多的是新法将会给其业务带来的影响。而随着前几天肆虐全球的WannaCry病毒事件的发酵，网络安全问题似乎已经上升为全民议题，《网络安全法》更是成为热议话题。

作为专注于数据信息行业法律研究和服务的团队，在《网络安全法》即将实施的这一周时间里，我们团队将每天一篇重磅推出针对互联网以及大数据行业企业的系列文章：大数据企业应当了解的《网络安全法》。

今天是第七篇也是本系列解读的最后一篇：关键信息基础设施。

一场肆虐全球的勒索病毒风暴带来互联网灾难，不仅给广大电脑用户造成了巨大损失，同时严重影响到金融、能源、医疗、政府等众多关系国家安全、国计民生、公共利益的关键行业部门，造成严重的危机。从中引出的“关键信息基础设施”安全问题成为网络安全、信息安全的重中之重。

关键信息基础设施

《网络安全法》第三十一条

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

《网络安全法》首次提出“关键信息基础设施”的概念并对其范围进行了明确。根据《网络安全法》的规定，我们可以大体将关键信息基础设施划分为以下五大类：

（1）基础信息网络，主要包括广电网、电信网、互联网；

（2）重要行业和公共服务领域的重要信息系统，例如核岛控制系统、银联交易系统、智能交通系统、供水管网信息管理系统、社保信息系统等；

（3）电子政务，例如电子政务系统、政府门户网站等；

（4）国家安全网络，例如军事通信网、军队指挥自动化系统等；

（5）用户数量众多的网络服务商系统，例如百度、阿里、腾讯等IT巨头运营的特定网络和系统等。

对于前述关键信息基础设施的分类和范围划分只是学者和行业从业者的一些解读，关键信息基础设施的具体范围和安全保护办法还有待国务院后续制定法规确定，建议企业应当密切关注。根据国家网信办网络安全协调局负责人的说法，目前国家互联网信息办公室正会同有关部门按照《网络安全法》的要求，抓紧研究制定相关指导性文件和标准，指导相关行业领域明确关键信息基础设施的具体范围。

在《网络安全法》出台以前，现有法律条文中并没有给出关键信息基础设施的明确概念，在涉及重要或者关键的信息基础设施的保护时经常处于无法可依的状况或者存在相关法规层级较低而无法有力保护的情况。现有法规文件主要从重大基础设施、重点领域网络与信息系统等几个方面做出了规定。

重大基础设施:“《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号”中使用了“重大基础设施”的概念，并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别。

重点领域网络与信息系统:《2012年重点领域网络与信息安全检查总结报告》中指出各重点领域的“重要网络与信息系统”，其中的调查报告则初步列举了我国多个关系国家安全、经济秩序正常运行和社会稳定的“关键网络与信息系统”。初步划定了我国信息安全保障的重点。

“三同步”原则

《网络安全法》第三十三条

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。

《网络安全法》明确建设关键信息基础设施的三同步原则。三同步原则以“同步规划、同步建设、同步使用”为指导思想，本着“谁主管、谁负责”工作原则落实执行，在系统生命周期各阶段明确责任部门及安全职责，在全过程中推行安全同步开展，强化安全工作前移，降低运维阶段的服务压力。

《网络安全法》的三同步原则在《安全生产法》、《环境影响评价法》中都有类似规定，经过长期的实施也已经相对规范，建议企业在应对新法实施中的具体问题时可以参考前述规定的实施情况来理解、落实具体项目的“三同步原则”。

企业在具体落实三同步原则时，可以从以下方面理解三同步原则：

同步规划：在业务规划的阶段同步纳入安全要求，引入安全措施。