1.1 基本概念

本节主要介绍与关键信息基础设施有关的基本概念，使读者对关键信息基础设施有深入的理解。

1.1.1 基础设施和重要信息系统

1.基础设施和重大领域的概念

基础设施包括硬基础设施和软基础设施。基础设施是通指为社会生产和居民生活提供公共服务的物质工程设施，是用于保证国家或地区社会经济活动正常进行的公共服务系统。它是社会赖以生存发展的一般物质条件。“基础设施”不仅包括公路、铁路、机场、通信、水电煤气等公共设施，即俗称的基础建设，还包括教育、科技、医疗卫生、体育、文化等社会事业，即“社会性基础设施”。

重大基础设施偏重物理设施。《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》（国办发〔2007〕58号）中使用了“重大基础设施”的概念，并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别，但该定义过于偏重物理设施，涵盖范围较窄，可以作为关键业务梳理时的参考依据。

基础设施主要分布在我国的重大领域。我国的重大领域是指政府，银行、证券、保险、电力、石油天然气、石化、煤炭、铁路、民航、公路、广播电视、国防军工、医疗卫生、教育、水利、环境保护等行业，以及城市轨道交通、供水供气供热等市政领域。

2.基础信息资源和重要信息系统

基础信息资源主要指地理、人口、法人和统计等信息资源。基础信息资源的保护和管理对重要信息系统意义重大。《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）中提到，应强化信息资源和个人信息保护，加强地理、人口、法人、统计等基础信息资源的保护和管理，保障信息系统互联互通和部门间信息资源共享安全。

通常意义上，重要信息系统是指安全保护等级为第三级及以上的等级保护对象。2013年，公安部发布了“关于开展国家重要信息系统调查工作的函”，对四级信息系统和第三级信息系统中跨省全国联网的大系统，对本行业、本部门重要业务起到关键支撑性作用或面向公众提供大范围服务（不包括政府网站）的信息系统，以及涉及国家安全、经济命脉、社会稳定和公共利益的极端重要系统，进行调查。可以看出，重要信息系统范围主要为三级、四级的等级保护定级对象。

1.1.2 关键基础设施和关键信息基础设施

1.关键基础设施

美国2001年《爱国者法案》认为，CI（Critical Infrastructure，关键基础设施）是指关系到美国生死存亡的，无论是物理还是虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。

欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动，加强关键基础设施保护》中针对关键基础设施（CI）做出了定义，明确关键基础设施是指如果被破坏或摧毁，会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。

德国的关键基础设施保护理念是确保政府和社会严重依赖基础设施的安全运转。因此，认为基础设施是指故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为：给定基础设施中IT部分的总和。

荷兰明确规定，对于社会不可或缺的，其损坏速度造成全国性紧急状态，或者会在更长时间内对社会产生不良影响的基础设施，均为关键基础设施。

英国将关键国家基础设施（Critical National Infrastructure，CNI）界定为由不间断向国家提供基本服务来说不可或缺的关键元素组成的国家基础设施。没有这些元素，就不能提供基本服务，英国将遭受严重的经济损害、巨大的社会破坏乃至严重的生命威胁。

从上面的定义可以看出，关键基础设施横跨经济的诸多部门和重要政府服务，一旦遭到破坏、丧失功能，会危害国家安全、国计民生、公共利益。

2.关键信息基础设施

“国家信息基础设施”一词首先由美国提出。1993年9月15日，美国政府发表了“国家信息基础设施行动动议”（The National Information Infrastructure：Agenda for Action），其中首次提出了National Information Infrastructure（NII），即国家信息基础设施。同时出现了NII的同义词，即信息高速公路（Information Highway）。美国提出，NII是一个高水准的目标，要求在全美建成通达全国各地的信息高速公路，即由通信网、计算机、信息资源、用户信息设备与人构成互联互通、无所不在的信息网络，为每个人及他（她）所用的信息设备提供接入NII的能力，将人、家庭、学校、图书馆、医院、政府与企业关联。

关键信息基础设施（Critical Information Infrastructure，CII）是国家信息基础设施的关键组成。通用认可的一种方式是，全球或国家信息基础设施中维系关键基础设施服务持续运转的部分被称为关键信息基础设施，即关键信息基础设施是全球或国家信息基础设施的组成部分，是确保本国关键基础设施服务得以持续运转的不可或缺要素，主要由信息和电信部门构成。

关键信息基础设施不仅包括计算机信息系统、控制系统和网络，还包括在其上传送的关键信息流。美国在其2009 年《国家基础设施保护计划》（2009NIPP）中也定义了国家关键信息基础设施，是指电子的信息和通信系统以及这些系统中的信息，其中信息和通信系统由对各类型数据进行处理、存储和通信的软件、硬件组成，包括计算机信息系统、控制系统和网络。

3.CI和CII的关系

随着关键基础设施的普遍信息化、网络化、数字化和智能化，关键基础设施（CI）与关键信息基础设施（CII）的概念互相借用并逐渐统一。国际社会的国家关键基础设施保护逐渐聚焦于国家关键信息基础设施的网络安全保障上，因此，关键信息基础设施与关键基础设施的边界逐渐模糊。

从范围上来看，CI所涉及的范围要广于CII，CII是CI的基本组成部分。从组成上来看，CI牵涉基础设施的所有关键部门，CII是基础设施的一个分支，侧重于关键信息流。

从国家安全上看，对于国家关键信息基础设施的定义的认识存在不同层面上的差异，有的理解为物理设施，有的理解为信息系统，有的理解为基础网络。但比较一致的观点是，仅将国家关键信息基础设施理解为信息系统或者信息网络，已经不能适应现今网络空间网络安全保障的需求。网络安全保障应该着眼全局，从业务保障的角度，自上而下地确认需重点保障的对象，将保护对象由信息系统的概念上升至设施层面，随着信息基础设施边界扩展至由通信网络连接的计算机、资产和数据资源等。