第七章  网络空间信息安全



             全战略》中要求建立实施关键信息基础设施保护制度，但是具体的实施规则目前
             仍然不明确，会造成具体的保护难以施行。而在网络恐怖主义、网络盗窃、网络
             间谍、网络黑客、高级持续性威胁（APT）和网络战争愈发频发的当下，关键信

             息基础设施的稳定运行不仅影响其他关键基础设施部门的安全，更会威胁网络空
             间安全、经济安全甚至国土安全。关键信息基础保护制度的不完善对于网络空间
             和国家信息安全来说是个巨大的风险。网络安全的首要任务是保护关键信息基础
             设施的安全，防范系统性风险。中国目前在战略上高度重视该制度的建立，但是

             具体内容还未细化。另外，中国实行多年的信息安全等级保护制度中的“重要信
             息系统”的概念与内涵、认定标准和实施层面等与关键信息基础设施均有类似，
             这导致中国网络安全等级保护和关键信息基础设施保护的对象和内容存在重叠和
             冲突，因此中国关键信息基础设施保护制度的法律调整的社会关系及对象具有复

             杂性。
                 第二，网络安全审查制度。这是一项提升中国网络安全保障水平的重要制
             度，从各国的相关实践可以看出该项制度涉及国家网络安全保障中技术、政策和
             管理的多元要素，包括信息技术采购安全审查、云服务安全审查、网络安全政策

             审查、网络安全态势或弹性审查等多种形式。2012年和2013年，美国和英国分别
             对中国华为网络安全评估中心进行了安全审查，这成为中国计划建立网络安全审
             查制度的诱因。34《国家安全法》中规定的国家安全审查制度为网络安全审查
             制度进行了探路，随后《网络安全法》第35条正式确立了网络安全审查制度的框

             架——规定了审查主体是国家网信部门和国务院有关部门、审查内容和对象是
             “可能影响国家安全的网络产品和服务”，审查范围是在关键信息基础设施中。
             《网络安全法》第38条规定，关键信息基础设施的运营者应当自行或者委托网络
             安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，

             并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部
             门。检测评估和安全审查应当是统一而非割裂的，检测评估是安全审查制度中的
             重要环节。中国网络安全审查制度事实上已包含了大部分的审查内容，但仍然缺
             乏对政策和管理层面的关注，偏重于技术性的安全审查。2017年5月2日国家网信

             办出台的《网络产品和服务安全审查办法（试行）》，这是首个《网络安全法》
             的重要配套办法，其中构建了网络安全审查制度的基本框架，但是具体的内容有
             待补充和细化。



                                                                                 ·197·