7月6日，中国人大网公布了网络安全法草案全文，这部备受瞩目的法案终于和公众见面了。草案引入关键信息基础设施的概念，并对关键信息基础设施保护制定了一整套制度体系;还将监测预警和应急处置作为维护网络安全的重要内容专章进行了规定等。

保障关键信息基础设施安全，在公布的《网络安全法》(草案)中占据了相当的篇幅。草案的第三章第二节专门用于规范关键信息基础设施的安全。此次列入关键信息基础设施范围的，涵盖了涉及国家安全、经济安全和保障民生等领域，具体范围包括基础信息网络、重要行业和领域的重要信息系统、军事网络、重要政务网络、用户数量众多的商业网络等。保障关键信息基础设施的安全，从全球各国的实践来看，是国家网络安全战略中最为重要和主要的内容，这与人们日常生活对网络关键基础设施的强烈依赖密不可分。有效的识别和分析威胁的来源，并采取相应的安全保障措施，是问题的关键。《网络安全法》(草案)对网络产品和服务提供者的安全义务有了明确的规定(草案第十八条)，将现行的安全认证和安全检测制度上升成为了法律(草案第十九条)，强化了安全审查制度(第三十条)，明确等级保护制度在保障国家网络安全中所处的地位(第十七条)。这些措施，从已经有的实践来看，一定程度上可以满足保障国家网络安全的需求，应对由非国家行为体，从国内外可能实施的网络攻击所带来的威胁;但就中长期前景来看，中国面临的战略任务是如何在持续开放互联的全球网络空间内，有效预防来自强势行为体，包括占据优势能力地位的国家行为体，对中国关键信息基础设施构成的威胁挑战;基于条线分工形成的多点静态网络安全保障体系，很难有效胜任应对这种真正的国家级的安全威胁，这也是后续修订相关法律，完善战略，构建新的实践操作程序时，必须认真思考的问题。

关键信息基础设施保护工作进入正轨

关键信息基础设施保护(CIIP)是各国的通行举措。虽然关键基础设施保护(CIP)涉及物理设施安全，与前者不完全一致，但两者在多数情况下已可以混用。CIIP/CIP一直是各国网络安全战略的重点，有的国家甚至以CIIP/CIP战略代指国家网络安全战略。我们国家在2003年时已经要求重点保障基础信息网络和重要信息系统安全，并且在实践中明确了基础信息网络是广电网、电信网、互联网，重要信息系统是银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统，即俗称的2+8，相关保护工作也常抓不懈。但整体而言，我们与国外差距很大，已是国家安全的软肋，草案为此设立了关键信息基础设施的运行安全一节。

一是扩展了保护范围。纵观世界各国，凡是已经开展了网络安全建设的国家，其关键基础设施的范围几乎都远超过我们，例如美国有17类，而我们则有很多重要系统尚未纳入保护视野。草案首次明确了关键信息基础设施范围，包括基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统。最后一类系统中很多由私企运营，运营者可能对其列为国家关键信息基础设施不适应，但当网络服务商的用户达到一定规模时，其安全已经不再是企业自身问题，而成为一个公共问题、社会问题甚至国家安全问题，理应承担更多责任。一些国外机构可能会拿这个做文章，但事实上美国的关键基础设施有87%受私营企业控制。

二是明确了保护要求。等级保护是1994年《计算机信息系统安全保护条例》提出的制度，其对全国各类信息系统提出了分五个等级的通用安全要求。恰恰因为通用，这个要求只能是基线(即基本要求)，其有必要但并不足够，特别是不足以反映应用模式日趋复杂的异构系统的动态防护需求。此外，保护关键信息基础设施涉及很多工作，不仅仅是提出系统自身的保护要求、加强系统安全建设那么简单，还包括一系列的管理工作和公共平台建设，不能由一项制度取代其他制度，理应对此建立专门制度。草案提出，关键信息基础设施安全保护办法由国务院制定。对于某些重点要求，如网络安全审查、风险评估等，草案则在具体条款中进行了明确。

三是划定了保护责任。草案规定了关键信息基础设施运营者的安全保护义务，解决了其保护责任模糊不明的问题。他们有必要从国家安全角度承担防护责任，但这个责任毕竟是有界限的。大家希望知道做到什么程度就无责了，也关心自身的权利如何保障。对很多重点行业的信息技术或网络安全部门来说，这不仅仅是免责的需要，也是推动工作的需要，因为这些内设机构如果没有强制性依据，很难得到业务部门的配合。此外，以前我国重点行业的网络安全监管责任也很不明确。似乎谁都可以进入机房检查，但谁都不用负责，重点行业往往无所适从、疲于应付。为此，草案明确了行业主管部门的监督指导职责，这是一个重要进步。考虑到关键信息基础设施保护的确涉及多个部门，草案授权国家网信部门统筹协调有关部门，建立协作机制。特别是在网络安全检查工作中，要杜绝某个部门前脚走，另一部门后脚来的现象。