關鍵信息基礎設施安全保護運營措施分析與建議

高煥新,高永前

(中國電子信息集團有限公司第六研究所，北京 100083)

0 引言

關鍵信息基礎設施保護是各領域關鍵業務正常運行的保障，文章通過分析對比美國、歐盟和日本在關鍵信息基礎設施的認定方式以及保護措施，結合我國網絡安全法律法規、信息安全相關技術、科學管理以及實際工作，給出我國在關鍵信息基礎設施保護運營措施上的優化建議，目的是提高我國關鍵信息基礎設施保護運營者的安全保護能力、更好地實施關鍵信息基礎設施保護的國家戰略。

1 關鍵信息基礎設施概念

關鍵信息基礎設施(Critical Information Infrastructure，CII)是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統，這些系統一旦發生網絡安全事故，將會對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重威脅與損失。2016年11月7日，我國十二屆全國人民代表大會常務委員會第二十四次會議通過了《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)，自2017年6月1日起施行。《網絡安全法》在對關鍵信息基礎設施的運行安全中指出，在網絡安全等級保護制度的基礎上，實行重點保護。在法律上對關鍵信息基礎設施的概念做出界定，對開展關鍵信息基礎設施安全保護提供法律依據。

在國外，美國將關鍵信息基礎設施定義為一種計算機資源，一旦其能力喪失或遭到破壞，就會影響國家安全、經濟安全、公共健康和安全。結合我國和美國對關鍵信息基礎設施的定義，關鍵信息基礎設施在國家層面是支撐國計民生正常運行，遭受網絡攻擊后可影響國家安全的設施；在企事業單位層面關鍵信息基礎設施概括為關鍵業務的一種計算機和通信資源。

2 關鍵信息基礎設施范圍及認定

《網絡安全法》在2017年6月1日施行后，國家互聯網信息辦公室在2017年7月11日發布《關鍵信息基礎設施安全保護條例(征求意見稿)》，其中對關鍵信息基礎設施范圍及認定作出說明。

2.1 關鍵信息基礎設施范圍

《關鍵信息基礎設施安全保護條例(征求意見稿)》中建議關鍵信息基礎設施范圍應包括政府機關，能源，金融，交通，水利等、電信、國防、通訊和其它重要單位五方面。隨后國家部門發布的《關鍵信息基礎設施確定指南(試行)》中指出關鍵信息基礎設施的范圍包括網站類、平臺類和生產業務類系統三類。

2.2 關鍵信息基礎設施認定

國內外在關鍵信息基礎設施認定上基本上采用立法保護、明確標準的方式。

2.2.1國外認定方法

俄羅斯早在 2000年由普京總統簽署了《俄羅斯聯邦信息安全學說》，不斷加大在關鍵信息基礎設施上的立法。在2018年1月1日《俄羅斯聯邦關鍵信息基礎設施安全法》生效，作為該安全法的附屬性文件，2018年2月8日，俄羅斯聯邦政府通過第127號決議《關于確認俄羅斯聯邦關鍵信息基礎設施客體等級劃分的規定，以及俄羅斯聯邦關鍵信息基礎設施客體重要性標準參數列表》，該標準參數列表中給出等級劃分規定以及將重要性標準指標從低到高劃分為三級、二級、一級共三個等級，根據參數的種類分為社會、政治、經濟、生態環境以及國家法制程序和國家安全、國防保障五個部分。這些國家立法保護上的標準為關鍵信息基礎設施認定上提供明確認定依據。

美國采用關鍵領域-關鍵業務-支撐關鍵業務所需資源的方式對關鍵信息基礎設施進行認定[1]，歐盟和日本也采用類似的認定方式，如表1所示。

表1 國外關鍵信息基礎設施認定方法

2.2.2國內認定方法

我國在《關鍵信息基礎設施確定指南(試行)》中對關鍵信息基礎設施的認定通常分為三個步驟，確定關鍵業務-確定支撐關鍵業務的信息系統或工業控制系統-根據關鍵業務對信息系統或工業控制系統的依賴程度，以及信息系統發生網絡安全事件后可能造成的損失來認定關鍵信息基礎設施。其中對關鍵業務、關鍵業務的信息系統或工業控制系統和認定關鍵信息基礎設施給出參考標準，各行業根據參考標準，結合自身的實際情況確定本地區、本部門、本行業的關鍵信息基礎設施。

關鍵信息基礎設施識別認定過程中，應當多方參與，充分發揮有關專家作用，提高關鍵信息基礎設施識別認定的準確性、合理性和科學性，認定標準要不斷吸收實踐經驗，對不合理的地方實現動態調整。

3 關鍵信息基礎設施保護措施

關鍵信息基礎設施保護(Critical Information Infrastructure Protection，CIIP)包括關鍵信息基礎設施的系統、物理設施、系統運行人員、制度和政策法律。在信息技術層面是基于網絡安全層面下對關鍵信息基礎設施涉及計算機和通信資源的保護。

3.1 國外保護措施

美國2013 年發布的關鍵基礎設施網絡安全框架中，從識別、保護、檢測、響應、恢復五個維度和資產管理、人員評估、安全意識培訓、連續監測、響應恢復等方面加強網絡安全風險管理[2]。在關鍵信息基礎設施保護上，美國、歐盟和日本除了國家/聯盟立法保護外，美國采用明確聯邦政府職責分工、制定國家保護計劃，網絡安全框架、政府與企業合作，信息共享等方式；歐盟采用加強評估、應急計劃、協調機制、預防為主、國際合作[3]；日本采用信息共享、認證評估、應急響應、協調機制、建立相關委員會等方式[4]，如表2所示。

表2 國外關鍵信息基礎設施主要保護措施

3.2 國內保護措施

習近平總書記在2016年4月網絡安全和信息化工作座談會上的講話指出關鍵信息基礎設施是經濟社會運行的神經中樞，是網絡安全的重中之重。關鍵信息基礎設施保護是我國的一項國家戰略，我國在《關鍵信息基礎設施安全保護條例(征求意見稿)》中指出關鍵信息基礎設施安全保護堅持頂層設計、整體防護，統籌協調、分工負責的原則，充分發揮運營主體作用，社會各方積極參與，共同保護關鍵信息基礎設施安全。其中詳細給出關鍵崗位專業技術人員實行執證上崗制度、監測預警、應急處置和檢測評估、安全信息共享機制、網絡安全事件應對和災難恢復能力等保護措施，明確了關鍵信息基礎設施運營者在關鍵信息基礎設施安全保護的法律責任以及網絡安全保護義務。我國在關鍵信息基礎設施安全保護上應嚴格按照《關鍵信息基礎設施安全保護條例(征求意見稿)》，同時參考借鑒國內外的經驗，結合具體實施單位情況制定實施措施，以下是我國現行的一些主要關鍵信息基礎設施保護措施。

3.2.1國家支持與保障

國家制定產業、財稅、金融、人才等政策支持關鍵信息基礎設施安全相關的技術、產品、服務創新，推廣安全可信的網絡產品和服務，培養和選拔網絡安全人才，提高關鍵信息基礎設施的安全水平。國家建立建全安全保護法律，公安機關等部門依法打擊針對和利用關鍵信息基礎設施的各類違法活動。國家立足開放環境維護網絡安全，積極開展關鍵信息基礎設施安全領域的國際交流與合作。

3.2.2國家統一規劃協調，統一標準

對關鍵信息基礎設施保護，國家應該進行頂層設計，統一規劃協調。國家應該根據關鍵信息基礎設施范圍對關鍵業務的保護標準進行劃分，標準劃分要科學合理，經過科學論證和實踐檢驗。

3.2.3整體防護，重視細節

對關鍵信息基礎設施保護的首要任務是保護各個節點上的網絡安全，運營節點是整體防護不可分拆的部分。木桶原理在大型系統的應用就是指系統的整體安全水平取決于木桶各個組成木板的最短板。從基層運營節點按樹形向根部歸并，保好基層節點安全，才能保好整體安全。

關鍵信息基礎設施保護要充分重視細節，嚴審各個細節的輸入，例如運營者采購網絡設備及軟件產品時，要對產品進行安全檢測、檢查安全缺陷、漏洞，消除安全隱患，對有安全隱患的產品一律不予采購。

3.2.4監測預警，快速響應

運營者應建立監測預警、應急處置恢復機制，不斷加強監測預警機制[5]，對預警的處理時間做出實際測試，定期以實際應急演練方式來模擬網絡環境受到威脅時，采取保護行動來檢驗緊急情況下應急機制的有效性，確保操作人員熟練準確掌握操作方法。同時檢查網絡環境的健壯性，以及數據安全、數據恢復和系統的可用性。采取檢測防御的方式對數據非法訪問進行自動記錄、跟蹤、及時發現和預警上報。一旦關鍵信息基礎設施受到威脅時，應急響應模式可以及時起動、及時清除危險，恢復運行環境。

3.2.5網絡威脅情報共享

運營者要加強網絡威脅情報共享，重視網絡威脅情報的收集，將數據以可信的方式準確記錄在數據庫中，必要時與其它運營者或者國家機關共享。運營者可以對共享數據進行大數據分析，發現有價值的信息，幫助運營者快速分析威脅數據、確定威脅來源、判定類別、提供決策幫助和解決方案，在本單位內提前實施預防措施，一旦有已識別出的相同或類似的網絡威脅發生時，運營者可以快速實施解決方案。

4 對我國關鍵信息基礎設施保護的優化建議

4.1 國家加大支持力度

我國應繼續加大對關鍵信息基礎設施科研機構、大學、企業、運營者在政策和經費上的支持，關注專業人才培養、培訓和教育。

4.2 立足科學管理

運營者應充分重視科學管理的重要性，要充分做好計劃、組織、協調和控制的管理作用。采用科學管理方法，建立科學管理制度，設立信息安全部門，設立首席信息官CIO專門負責，聘請經驗豐富的網絡安全領域管理專家對運營保護模式進行架構設計，實施頂層管理，充分發揮專家作用。管理不是一成不變的，在管理中要采用PDCA循環，不斷接收反饋，持續改進，加強保護效果。同時運營者要采用實行風險管理、鼓勵科技創新，以發展的眼光來不斷加強安全保護能力。

4.3 重視人才培養

人才是立國和科技競爭之本，人才是現代企業中最重要的活用資源。運營者要有國家戰略大局觀，立足長遠制定關鍵人才培養計劃，提供人才戰略可持續發展的優良環境，為人才提供廣闊的施展空間，無論是關鍵信息基礎設施保護上的哪一環節都要以人才為中心，培養優秀人才服務于關鍵信息基礎設施的保護。

4.4 掌握核心技術

運營者要掌握核心技術，不斷研發和部署先進性技術對設施進行保護。運營者在網絡安全運用上需要在硬件、軟件兩方面著手。

在硬件保護方式上可采用核心網絡跟外部環境進行物理隔離的方式，可選用的方案有防火墻或者網閘等硬件設備。在軟件保護方式上，運營者應采取技術先進、分層、可擴展的軟件架構，軟件要做到自主可控，排除安全隱患。在資源訪問上實行訪問控制、身份認證、按角色授權、操作日志記錄、日志審計、防抵賴、監控預警，數據要實行保密性處理、完整性驗證，防篡改，運行環境安全上采用防病毒軟件并及時更新病毒庫查殺內部木馬等計算機病毒，杜絕一切安全隱患，保證關鍵信息基礎設施安全。在關鍵資源上應有冗余備份能力、災難恢復能力等安全保護措施。運營者還需結合本單位現有硬件、軟件的實際部署情況，制定安全策略，并行物理、人工、技術等防護措施，切實提高對關鍵信息基礎設施的保護能力。

5 結論

關鍵信息基礎設施安全保護任務艱巨，是一項長期并不斷改進的工作，國家在政策支持、立法保障上給予充分保障，運營者應在思想上高度重視、從國家戰略高度按照《關鍵信息基礎設施安全保護條例(征求意見稿)》中的規定，結合實際，同時從科學管理、人才培養和技術能力多方面對關鍵信息基礎設施進行保護，基于保護好各個節點的前提下進行整體保護，提高風險防范和應急處置能力，以發展的眼光確實加強保護能力，確保關系國計民生的關鍵信息基礎設施安全。

[1] 閏曉麗，孟洪杰．美歐關鍵信息基礎設施識別認定的做法及對我國的啟示[J].信息安全研究,2017(10)：2-3.

[2] 閆曉麗．關鍵信息基礎設施安全保護應把握幾個要點[J].中國信息安全,2017(10)：2.

[3] 張弛崔，占華閏．美國關鍵基礎設施安全管理綜述[J].信息安全研究,2017(8)：5-7.

[4] 黃道麗，方婷．日本關鍵信息基礎設施保護制度及對我國的啟示[J].信息安全研究,2016(7)：1-3.

[5] 徐麗萍，張大偉．新形勢下的關鍵信息基礎設施保護及思考[C]//第32次全國計算機安全學術交流會論文集,2017(10)：3.