關鍵信息基礎設施范圍與特點解析

周亞超　劉金芳

摘 要：關鍵信息基礎設施是恐怖主義和網絡攻擊的重點對象，各國均將視為網絡安全的重點并上升到國家安全的高度。通常認為，關鍵基礎設施或關鍵信息基礎設施是支撐國家安全和公共利益的重要基礎設施，但是因為各國慣例和實際情況不同，對關鍵信息基礎設施的名稱和定義有所不同。盡管我國《網絡安全法》等法律法規給出了關鍵信息基礎設施定義，但較為模糊。論文梳理了國內外主要國家和地區關鍵信息基礎設施的概念，總結關鍵信息基礎設施的特點，并基于基礎設施的概念與特點，對關鍵信息基礎設施保護與一般網絡安全保護制度進行了分析比較。

關鍵詞：關鍵信息基礎設施；概念；范圍；特點

中圖分類號：TP274+.2 文獻標識碼：B

1 引言

信息通信技術發展為社會經濟發展提供了巨大的潛力。隨著云計算、物聯網、虛擬現實、人工智能等下一代信息通信技術的發展，人們生活所依賴的數字互聯程度越來越高，另一方面網絡犯罪日益頻發，網絡安全問題不容忽視。關鍵信息基礎設施保護是世界各國政府和相關企業面臨的普遍問題。例如，2015年聯合國政府專家組報告將關鍵信息基礎設施保護作為“負責任國家行為”的一個重要方面，推動在雙邊和多邊網絡安全合作框架下形成國際共識。

加強關鍵信息基礎設施概念的研究，對于開展關鍵信息基礎設施保護工作具有重大意義。關鍵信息基礎設施保護的“關鍵性”體現在一旦癱瘓或被摧毀，將會嚴重影響國家安全、社會經濟、公共利益。但是，究竟哪些屬于關鍵信息基礎設施，關鍵信息基礎設施的保護工作與一般網絡安全保護相比有何不同等問題比較復雜，需要對其進行調研和研究。

2 國內外關鍵信息基礎設施相關概念

2.1 美國

美國在關鍵信息基礎設施保護框架和相關政策文件中對關鍵部門存在包括關鍵基礎設施（CIP）、關鍵信息基礎設施（CIIP）、關鍵資源（CI/KR）的多種表述，在定義中強調其對國家安全的重要意義。概念上基本沿用了2001年《愛國者法案》的規定，即關鍵基礎設施是指對美國重要的物理或虛擬的系統和資產，此類系統和資產的功能喪失或破壞將對國家安全、國家經濟安全、國家公眾健康與安全或上述事項的任何組合產生削弱影響。

近年來，美國發布了關鍵基礎設施相關多項政策立法，其中以奧巴馬政府2013年發布13636號總統行政令（EO 13636）《改進關鍵基礎設施網絡安全》[1]和第21號總統政策指示（PDD 21）《關鍵基礎設施安全和韌性》中的定義最具代表性，即關鍵基礎設施是指對美國非常重要的物理或虛擬的系統和資產。如果這類系統或資產遭到破壞或喪失工作能力，將對美國的安全，國家經濟安全，國家公眾健康或公共安全，或任何這些事項的集合產生削弱影響。

根據2013年《提高關鍵基礎設施的安全性和恢復力》[2]，關鍵基礎設施涉及十六類，包括化學、商業設施、通信、關鍵制造、水利、國防工業基地、應急服務、能源、金融服務、食品和農業、政府設施、醫療保健和公共衛生、信息技術、核反應堆、材料和廢棄物、運輸系統、水及污水處理系統。

2.2 歐盟

與美國將關鍵基礎設施（CI）與關鍵信息基礎設施（CII）等同使用的情況不同，歐盟對兩者有明確的區別界定。

根據2004年歐盟《打擊恐怖主義活動，加強關鍵基礎設施保護的通訊》[3]，關鍵基礎設施是指“如果被破壞或摧毀，會對公民的健康、安全、穩定或經濟福祉或成員國政府的有效運轉造成嚴重影響的物理和信息技術設施、網絡、服務和資產”。

2005年歐盟發布《保護關鍵基礎設施的歐洲計劃（EPCIP）》[4]，將關鍵信息基礎設施定義為“關鍵基礎設施本身或關鍵基礎設施運營必不可少的ICT系統（電信、計算機、軟件、互聯網、衛星等）”。以此為依據，歐盟范圍內確定的關鍵信息基礎設施相關部門主要包括幾個領域。

能源（石油和天然氣生產、提煉、處理和儲藏，其中包括輸送管道、發電、輸電、供電、天然氣和石油）；信息和通信技術（信息系統和網絡保護、設備自動化和控制系統、互聯網、固定電信服務、移動電信服務、無線電通信和導航、衛星通信、廣播）；水（飲用水供應、控制水質、控制水量）；食品（食品供應和食品安全保護）；健康（醫療和醫院護理、藥品、血清、疫苗和藥物，生物實驗室和生物制劑）；金融系統[支付服務/支付體系（私營）、政府財政調配]；公共和法律秩序和安全（維持公共和法律秩序、安全和穩定、司法和拘留管理）；民事管理（政府職能、武裝部隊、民事管理服務，應急服務、郵政和快遞服務）；交通（公路交通、鐵路交通、航空運輸、內河航運、遠洋和近海航運）；化學和核工業[化學和核材料的生產、儲存/加工，危險物品（化學材料）的輸送管道]；太空和研究。

2.3 中國

在我國的網絡安全法、網絡空間安全戰略以及關鍵信息基礎設施條例及相關標準中，對關鍵信息基礎設施的定義是從其受到破壞造成的影響來界定的，數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施，包括但不限于提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統、工業控制系統等。

《關鍵信息基礎設施安全保護條例（征求意見稿）》[5]以舉例的方式給出了關鍵信息基礎設施的范圍：

（1）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位；

（2）電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位；

（3）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位；

（4）廣播電臺、電視臺、通訊社等新聞單位；

（5）其他重點單位。

2.4 其他國家和地區

英國使用了“關鍵國家基礎設施（CNI）保護”的概念，根據《國家網絡安全戰略（2016-2021）》[6]，由國家安全戰略委員會每年開展評估工作，旨在加強政策和技術監管，提高CNI的可恢復性。從定義上，CNI指由國家基礎設施的對于不間斷向國家提供基本服務來說不可或缺的關鍵元素組成。沒有這些元素，基本服務就不能提供，英國就會遭受嚴重后果，其中包括嚴重的經濟損害、巨大的社會破壞乃至大量喪失生命。英國國計民生不可或缺的許多關鍵服務依賴信息技術，由公共和私營部門提供。

從范疇上，CNI包括十個行業：

（1）通信（數字通信、固定語音通信、郵遞、政府信息、無線通信）；

（2）應急服務（救護、消防和營救、海上急救、警察）；

（3）能源（電力、天然氣和石油）；

（4）金融（資產管理、金融設施、投資銀行、市場、小額銀行）；

（5）食品（生產、進口、加工、配送、零售）；

（6）政府和公共服務（中央政府、地區政府、地方政府、議會和立法機關、司法、國家安全）；

（7）公共安全（化學、生物、輻射和核恐怖襲擊；危及百姓生活的事件）；

（8）健康（醫療保健、公共衛生）；

（9）交通（航空、海運、鐵路、公路）；

（10）水（飲用水、污水）。

此外，加拿大、德國、法國、匈牙利、澳大利亞、奧地利、瑞士、西班牙等國網絡安全戰略與政策中主要使用關鍵基礎設施的概念，印度、韓國等國使用了關鍵信息基礎設施的概念。韓國將“關鍵信息基礎設施”定義為嚴重依賴信息和電信技術的關鍵基礎設施。涉及的行業包括：

（1）電子政務和國家政府行政機構；

（2）國家安全；

（3）應急/災難恢復服務；

（4）國防；

（5）媒體服務，如廣播設施；

（6）金融服務；

（7）天然氣和能源，如電廠；

（8）交通，如地鐵和機場；

（9）電信。

3 關鍵信息基礎設施的范圍劃分

由于不同行業、不同類型的關鍵信息基礎設施千差萬別，難以細化識別關鍵信息基礎設施的參數指數。更具可操作性的流程是，識別關鍵業務和關鍵業務運營單位，梳理支撐關鍵業務的信息系統并確定信息系統的邊界，從而識別出關鍵信息基礎設施。

首先是識別關鍵業務及其運營者，需要明確對經濟社會運行具有基礎性、全局性支撐作用的關鍵業務，即“關鍵基礎設施”，在此基礎上確定關鍵基礎設施運營者。一般來說，為便于安全責任管理，一個關鍵基礎設施對應一個運營者，一個運營者可以對應多個基礎設施。

其次是識別支撐關鍵業務的信息系統，確定關鍵信息基礎設施的邊界。關鍵基礎設施的范圍要比關鍵信息基礎設施大，需要明確信息系統的邊界。隨著信息通信技術廣泛使用，成為生產、運營、維護、管理等各個環節的重要組成部分，關鍵信息基礎設施占的比重越來越大。通過信息系統中信息和數據的流動，高度依賴信息化的重要業務。在這一過程中，需要確定關鍵信息基礎設施最大可能的邊界。邊界的劃分不局限于單個信息系統，還需要梳理關鍵業務與公共系統的依賴關系，包括不同信息系統之間的互聯。

此外，為保障關鍵業務的穩定運行，在劃分邊界時，不僅要關注信息技術系統，也要保障運營技術（OT）系統，例如變電、運輸控制及相關的工業控制系統。特別是大量定制化的、傳統的工業控制系統在設計時沒有考慮到網絡安全，現在越來越多地聯網并接入互聯網，以實現更有效的控制和實時監控。一方面，這將會產生新的漏洞并可能使系統暴露于網絡攻擊；另一方面，OT系統自身的復雜性也使得即使識別漏洞，短時間內難以實現修補，導致OT系統業務中斷。因此，關鍵信息基礎設施運營單位必須考慮信息系統安全、數據安全、設備保修、資產物理位置、最小化停機時間以及連接系統的可用性等帶來的影響。

根據《網絡安全法》的規定，關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定；按照國務院規定的職責分工，負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業、本領域的關鍵信息基礎設施安全規劃，指導和監督關鍵信息基礎設施運行安全保護工作。由此可見，根據國務院出臺的關鍵信息基礎設施識別準則，行業主管部門負責識別認定本行業、本領域的關鍵信息基礎設施。

根據《關鍵信息基礎設施安全保護條例（征求意見稿）》（2017年7月），國家網信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基礎設施識別指南。在識別認定過程中，充分發揮有關專家作用，提高關鍵信息基礎設施識別認定的準確性、合理性和科學性。

4 關鍵信息基礎設施的特點

分析關鍵信息基礎設施的特點，有助于改進保護方法、構建保障體系、提高威脅應對能力，一般來說具有幾個特點。

首先關鍵信息基礎設施對象應為一個整體系統，而不是若干的離散系統。圍繞關鍵業務，組成基礎設施的不同信息系統和網絡設施自身的安全等級要求不一定相同，可能有些系統自身的安全等級不高，但會影響關鍵業務的整體安全。

二是關鍵信息基礎設施具有不同的形態結構，包括：

（1）信息系統，如政府網站、信息服務平臺，這類一般屬于網絡安全等級保護三級或四級范疇；

（2）網絡設施，如通信網、廣播電視網，參照電信網安全管理要求；

（3）數據資產，匯聚海量數據的云平臺、互聯網應用等，這類更側重數據安全要求；

（4）關鍵基礎設施的信息部分，如鐵路的列車控制系統，參照電力、能源、化工、交通運輸等行業的工業控制系統安全要求。

三是關鍵信息基礎設施面臨的安全威脅主要是復雜威脅和動態威脅，因此安全保護強調更多考慮的是具備韌性（Resilience）。網絡威脅不斷變化、新的脆弱性層出不窮、影響范圍很大，例如2017年Wanner Cry勒索病毒給很多國家的健康醫療、能源、電信等行業造成嚴重影響。攻擊實施者可能是黑客個人、犯罪組織甚至可能是國家間的網絡戰。保障關鍵信息基礎設施的絕對安全是不可能的，各國政府出臺的基礎設施政策更多強調的是增強韌性或可恢復性，適應不斷變化的環境，增加攻擊難度，降低攻擊造成的影響。

四是關鍵信息基礎設施的安全目標與業務特點相關。不同企業由于業務特點強調安全性的重點也不同，例如政府網站通常是與政務內網隔離或在云端存儲的公開披露內容，即使短時間內無法訪問也不會造成嚴重影響，但如果內容受到惡意篡改可能造成輿論不利影響，因此更強調完整性，對保密性和可用性要求則沒有那么高。同樣的，基于業務特點金融行業側重完整性以確保用戶金融數據準確，通信、電力行業側重系統可用性以確保服務不能中斷，而存儲大量敏感信息的醫療行業更側重安全性以確保患者信息不能泄露。

五是關鍵信息基礎設施安全保護更側重于安全能力建設，而不只是滿足合規性要求。安全能力建設可以從當前面臨的威脅和希望達到的結果出發，以風險管理的思路貫穿關鍵信息基礎設施保護生命周期過程，包括識別、防護、監測、預警、處置、恢復等，從而構建全局的、整體的安全防護體系。

5 關鍵信息基礎設施保護與一般網絡安全保護的區別

《網絡安全法》中將網絡運行安全分為“一般規定”和“關鍵信息基礎設施的運行安全”兩個部分；前者指實行網絡安全等級保護制度，后者指關鍵信息基礎設施保護制度。本文從研究層面簡要分析一下兩者之間的關聯和區別。

從適用范圍來說，等級保護適用范圍廣，主要覆蓋的是單個或局部系統的網絡安全。基礎設施適用范圍窄，高度開放、互聯環境下，綜合性的大型系統或全局系統的網絡安全。由于等級保護需要兼顧的對象范圍較為寬泛，安全要求的針對性不強，而關鍵信息基礎設施保護的范圍很集中，可以提出更系統、甚至更嚴格的要求。

從保護體系來說，等級保護主要依靠合規要求和監督檢查。關鍵信息基礎設施保護則是一個需要多方參與保障體系，對運營者更強調的是安全保障能力的要求，需要行業部門、統籌部門、職能部門、專業機構相關角色的協同防護。基礎設施保護要求側重于安全風險防控，提供了安全能力持續提升的方法，旨在落實責任、感知風險、消除風險或將風險控制在一定水平，并確保業務連續性和系統可恢復。

從保護思路來說，關鍵信息基礎設施保護需要從靜態合規安全向風險導向的持續動態安全的轉變，從自我防護向協同防護轉變。關鍵信息基礎設施安全關乎國家安全，是一個持續的安全監測和控制的過程，僅依靠關鍵信息基礎設施運營單位是不夠的，需要專業機構及其他相關單位的多方參與和協同防護。

6 結束語

理解關鍵信息基礎設施的概念是關鍵信息基礎設施研究的基礎。本文首先分析美歐等國對關鍵信息基礎設施定義，從研究層面劃分關鍵信息基礎設施的乏味，與一般性網絡設施和信息系統相比，分析關鍵信息基礎設施具備哪些特點和特殊性，此基礎上初步總結了關鍵信息基礎設施保護工作的啟發和指導意義。

參考文獻

[1] 美國第13636號總統行政令（EO 13636）改進關鍵基礎設施網絡安全[Z].2013年.

[2] 美國.提高關鍵基礎設施的安全性和恢復力[Z].2013年.

[3] 歐盟打擊恐怖主義活動，加強關鍵基礎設施保護的通訊[Z].2004年.

[4] 歐盟.保護關鍵基礎設施的歐洲計劃（EPCIP）[Z].2005年.

[5] 關鍵信息基礎設施安全保護條例（征求意見稿）[Z].2017年.

[6] 英國.國家網絡安全戰略（2016-2021）[Z].2016年.