關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)及其實(shí)踐探討

董亞南，趙改俠，謝宗曉

（中國(guó)金融認(rèn)證中心，北京100032）

1 引言

隨著信息化的快速發(fā)展和普及，關(guān)鍵信息基礎(chǔ)設(shè)施在國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的基礎(chǔ)性、重要性、戰(zhàn)略性地位日益突出。各國(guó)也紛紛出臺(tái)政策、法規(guī)， 將關(guān)鍵基礎(chǔ)設(shè)施安全提升到國(guó)家安全的高度， 并開(kāi)始重視對(duì)其網(wǎng)絡(luò)安全的保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施。本文首先對(duì)我國(guó)及美國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施的定義和網(wǎng)絡(luò)安全保護(hù)框架方面進(jìn)行了分析，同時(shí)對(duì)我國(guó)在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的標(biāo)準(zhǔn)的制定方面的內(nèi)容進(jìn)行了總結(jié)，最后對(duì)經(jīng)濟(jì)合作與發(fā)展組織以及歐盟在關(guān)鍵信息基礎(chǔ)設(shè)施方面的標(biāo)準(zhǔn)、報(bào)告進(jìn)行了說(shuō)明。

2 關(guān)鍵信息基礎(chǔ)設(shè)施的界定

隨著網(wǎng)絡(luò)安全形勢(shì)的日益嚴(yán)峻，世界各國(guó)對(duì)網(wǎng)絡(luò)空間的重視程度不斷提升，信息安全已經(jīng)上升到了國(guó)家戰(zhàn)略層次，我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，CII）概念是在2014年2月27日召開(kāi)的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議中提到。

由國(guó)家互聯(lián)網(wǎng)信息辦公室于2016年12月27日發(fā)布并實(shí)施的《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》[1]，其首次給出關(guān)鍵信息基礎(chǔ)設(shè)施定義：“關(guān)系國(guó)家安全、國(guó)計(jì)民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國(guó)家安全、公共利益的信息設(shè)施，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會(huì)保障、公用事業(yè)等領(lǐng)域和國(guó)家機(jī)關(guān)的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等”。且該定義在《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施（征求意見(jiàn)稿）》[2]等標(biāo)準(zhǔn)中進(jìn)行了引用。

美國(guó)[3,4]由于其在IT及其他諸多方面的領(lǐng)導(dǎo)地位，是最早解決關(guān)鍵基礎(chǔ)設(shè)施問(wèn)題的國(guó)家。2001年，美國(guó)在《美國(guó)愛(ài)國(guó)者法案》中對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了定義：Critical infrastructure as “systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters”（ 所謂“關(guān)鍵基礎(chǔ)設(shè)施”是那些實(shí)體或虛擬的系統(tǒng)和資產(chǎn)，這些系統(tǒng)和資產(chǎn)的功能喪失或遭到破壞，會(huì)對(duì)國(guó)家安全、經(jīng)濟(jì)穩(wěn)定、國(guó)家公眾健康與安全或這些要素的任何結(jié)合產(chǎn)生嚴(yán)重影響）。

可以注意到，以上定義中出現(xiàn)了“關(guān)鍵信息基礎(chǔ)設(shè)施”和“關(guān)鍵基礎(chǔ)設(shè)施”。信息和通信技術(shù)的發(fā)展使關(guān)鍵基礎(chǔ)設(shè)施相互關(guān)聯(lián)、相互依賴，實(shí)際過(guò)程中保護(hù)工作的實(shí)際對(duì)象并不是靜態(tài)基礎(chǔ)設(shè)施，而是服務(wù)、物理和電子（信息）流、它們?yōu)樯鐣?huì)承擔(dān)的角色和功能，尤其是通過(guò)基礎(chǔ)設(shè)施提供的核心價(jià)值，也就是說(shuō)信息基礎(chǔ)設(shè)施要素具有重要的價(jià)值和角色，處于連接各個(gè)基礎(chǔ)設(shè)施部門的紐帶地位，支撐著其他基礎(chǔ)設(shè)施。目前來(lái)說(shuō)“關(guān)鍵基礎(chǔ)設(shè)施”和“關(guān)鍵信息基礎(chǔ)設(shè)施”這兩個(gè)表述可以通用。

盡管我國(guó)和美國(guó)在“關(guān)鍵信息基礎(chǔ)設(shè)施”定義存在細(xì)節(jié)上的差異，但是總體上都把其癱瘓或遭到破壞會(huì)對(duì)一個(gè)國(guó)家的安全、經(jīng)濟(jì)和社會(huì)福祉產(chǎn)生削弱行影響的基礎(chǔ)設(shè)施視為關(guān)鍵信息基礎(chǔ)設(shè)施。

3 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)框架/方法論

隨著來(lái)自外部與內(nèi)部的威脅壓力持續(xù)升級(jí)，負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織機(jī)構(gòu)需要采一種一致且可復(fù)用的方法以發(fā)現(xiàn)、評(píng)估并管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。無(wú)論組織自身規(guī)模、威脅暴露程度以及網(wǎng)絡(luò)安全復(fù)雜性，都需要通過(guò)遵循一種持續(xù)可控的方法以實(shí)現(xiàn)安全保障。

關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)可以從風(fēng)險(xiǎn)管控為出發(fā)點(diǎn)，建立一個(gè)總體性、基礎(chǔ)性的安全框架，在具體實(shí)施中，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位可以根據(jù)統(tǒng)一的安全框架，制定符合自身應(yīng)用需求的標(biāo)準(zhǔn)或行業(yè)實(shí)踐指南。全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)在2018年3月18日發(fā)布的《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求（征求意見(jiàn)稿）》[5]中明確了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)環(huán)節(jié)，包括識(shí)別認(rèn)定、安全防護(hù)、檢測(cè)評(píng)估、監(jiān)測(cè)預(yù)警及應(yīng)急處置，如圖1所示。

圖1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)環(huán)節(jié)

美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）在《Framework for Improving Critical Infrastructure Cybersecurity（關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架）》[6]中，明確了美國(guó)應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施通用領(lǐng)域的網(wǎng)絡(luò)安全框架，框架側(cè)重于利用業(yè)務(wù)驅(qū)動(dòng)性因素指導(dǎo)網(wǎng)絡(luò)安全活動(dòng)，并將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)作為組織風(fēng)險(xiǎn)管理流程中的一部分。該框架包含框架核心、實(shí)現(xiàn)層及框架概況。其中框架核心主要包括功能、類別、子類別及信息性參考，功能將最基層的網(wǎng)絡(luò)安全活動(dòng)組織起來(lái)，具體功能涵蓋識(shí)別、防護(hù)、檢測(cè)、響應(yīng)與恢復(fù)，如圖2所示。

圖2 框架核心結(jié)構(gòu)

雖然上述關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架均劃分為五個(gè)環(huán)節(jié)，且不是一一對(duì)應(yīng)，但是整體框架流程是一致的。其中：第一，識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險(xiǎn)；第二，制定并實(shí)施適當(dāng)?shù)陌踩雷o(hù)措施；第三，進(jìn)行適當(dāng)?shù)男袆?dòng)（檢測(cè)評(píng)估、安全連續(xù)監(jiān)測(cè)等）判斷網(wǎng)絡(luò)安全事件是否發(fā)生；第四，對(duì)檢測(cè)到的網(wǎng)絡(luò)安全事件采取行動(dòng)，恢復(fù)正常運(yùn)營(yíng)，降低網(wǎng)絡(luò)安全事件帶來(lái)的實(shí)際影響，其中對(duì)應(yīng)關(guān)系如表1所示。

表1 框架對(duì)比

4 國(guó)家標(biāo)準(zhǔn)研發(fā)進(jìn)展

基于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)要求，結(jié)合目前已經(jīng)開(kāi)展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)組織開(kāi)展了系列標(biāo)準(zhǔn)的制定，主要有五項(xiàng)標(biāo)準(zhǔn)，如表2所示。

全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)充分借鑒我國(guó)相關(guān)部門在重要領(lǐng)域網(wǎng)絡(luò)安全審查、網(wǎng)絡(luò)安全檢查等重點(diǎn)工作的成熟經(jīng)驗(yàn)，充分吸納國(guó)外在關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)方面的成功舉措，結(jié)合我國(guó)現(xiàn)有針對(duì)傳統(tǒng)信息系統(tǒng)的信息安全保障體系等成果，通過(guò)制定關(guān)鍵基礎(chǔ)設(shè)施保護(hù)基礎(chǔ)類、基線類、實(shí)施類、測(cè)評(píng)類標(biāo)準(zhǔn)，形成了一套標(biāo)準(zhǔn)化保護(hù)體系，為更好地保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施奠定了基礎(chǔ)。

5 其他可參考的標(biāo)準(zhǔn)/報(bào)告

保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全對(duì)于整個(gè)社會(huì)的運(yùn)轉(zhuǎn)具有至關(guān)重要的意義，各種國(guó)際組織通過(guò)頒布一系列法律、政策等以形成一套關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，下面將對(duì)經(jīng)濟(jì)合作與發(fā)展組織（OECD）、歐盟[9]在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的標(biāo)準(zhǔn)或報(bào)告進(jìn)行簡(jiǎn)要說(shuō)明，如表3所示。

總的來(lái)看，在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面，隨著國(guó)際局勢(shì)的不斷變化，對(duì)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的迫切需求，經(jīng)濟(jì)合作與發(fā)展組織（OECD）和歐盟基于國(guó)際條約，提出了多項(xiàng)建設(shè)性政策和建議，加強(qiáng)了各成員國(guó)與其他國(guó)際組織合作，完善了關(guān)鍵基礎(chǔ)設(shè)施法律體系、政策保障制度。

6 結(jié)束語(yǔ)

我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的施行以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）》[19]的發(fā)布，展現(xiàn)了國(guó)家對(duì)該項(xiàng)工作的重視，也為進(jìn)一步開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作指明了方向。本文針對(duì)全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)組織開(kāi)展的系列標(biāo)準(zhǔn)的制定OECD以及歐盟的在這方面的標(biāo)準(zhǔn)或經(jīng)驗(yàn)進(jìn)行了簡(jiǎn)述。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)任務(wù)艱巨，是一項(xiàng)長(zhǎng)期并不斷改進(jìn)的工作，國(guó)家在政策支持、立法保障上給予充分保障，運(yùn)營(yíng)者應(yīng)在思想上高度重視，從科學(xué)管理、人才培養(yǎng)和技術(shù)能力多方面確保關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施安全。

表2 國(guó)家標(biāo)準(zhǔn)

表3 OECD及歐盟在CIIP方面的標(biāo)準(zhǔn)或報(bào)告

表3 OECD及歐盟在CIIP方面的標(biāo)準(zhǔn)或報(bào)告（續(xù)）