國外關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)戰(zhàn)略分析和啟示

◆任 飛 曹 虎

（1.國家信息中心 北京 100045；2.成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司 北京 100089）

0 引言

習(xí)近平總書記在“4.19”網(wǎng)信工作會議上提出：“加快構(gòu)建關(guān)鍵安全基礎(chǔ)設(shè)施安全保障體系”。面對復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全形勢，各方面應(yīng)齊抓共管，切實(shí)維護(hù)網(wǎng)絡(luò)安全。為貫徹落實(shí)習(xí)總書記“網(wǎng)絡(luò)強(qiáng)國”戰(zhàn)略思想，國家互聯(lián)網(wǎng)信息辦公室于2016年12月7日發(fā)布了《網(wǎng)絡(luò)空間安全戰(zhàn)略》，闡明了中國關(guān)于網(wǎng)絡(luò)空間發(fā)展和安全的重大立場和主張，明確了戰(zhàn)略方針和主要任務(wù)。《網(wǎng)絡(luò)空間安全戰(zhàn)略》[1]第三大戰(zhàn)略任務(wù)就是“保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施”，該任務(wù)明確提出“采取一切必要措施保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施及其重要數(shù)據(jù)不受攻擊破壞”，“堅(jiān)持技術(shù)和管理并重、保護(hù)和威懾并舉，著眼識別、防護(hù)、檢測、預(yù)警、響應(yīng)、處置等環(huán)節(jié)”，對關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)和監(jiān)管提出了明確的要求。

到目前為止，對于關(guān)鍵信息基礎(chǔ)設(shè)施（CII，Critical Information Infrastructure）的安全防護(hù)越來越受到各國重視，歐美日等發(fā)達(dá)國家紛紛出臺了相關(guān)的法律法規(guī)和行政命令，同時(shí)，詮釋了關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵[2]。

1 各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)戰(zhàn)略現(xiàn)狀

1.1 各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)立法分析

（1）美國

美國十分重視關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)立法，從 1996年到2016年分別出臺了《國家信息基礎(chǔ)設(shè)施保護(hù)法案》、《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法案》和《聯(lián)邦信息安全管理法案》等多部法律，以加強(qiáng)國家關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)[3]。通過立法，主要明確了以下內(nèi)容。

①對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)對象進(jìn)行了定義。2001年，在《關(guān)鍵基礎(chǔ)設(shè)施保護(hù)法案》中，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的概念，該定義在美國法律和政策中得到了擴(kuò)展和應(yīng)用。

②對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍及責(zé)任部門進(jìn)行了確認(rèn)。第21號總統(tǒng)令、國家安全第7號總統(tǒng)令和第63號總統(tǒng)令明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍及責(zé)任部門，當(dāng)前美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍覆蓋了16個(gè)行業(yè)，并指定由9個(gè)責(zé)任部門負(fù)責(zé)。同時(shí)，美國政府按照實(shí)際應(yīng)用情況進(jìn)行了與時(shí)俱進(jìn)的修訂。

③對關(guān)鍵信息基礎(chǔ)設(shè)施信息共享進(jìn)行了強(qiáng)化。對于政府部門、國有企業(yè)、個(gè)體企業(yè)和私營業(yè)主之間的信息要加強(qiáng)共享，共享信息包括隱私、漏洞、安全等策略信息，以及比較敏感的專業(yè)技術(shù)、專利等信息。

④制定了多項(xiàng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)。根據(jù)美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)第13636號行政令的要求，國家標(biāo)準(zhǔn)技術(shù)研究院（NIST，National Institute of Standard and Technology）組織制定網(wǎng)絡(luò)安全框架，降低關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全框架包括有關(guān)促進(jìn)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的指南、標(biāo)準(zhǔn)或最佳實(shí)踐。對于標(biāo)準(zhǔn)涉及的相關(guān)領(lǐng)域，網(wǎng)絡(luò)安全框架可以提供靈活的、可操作的、高效益的信息安全控制措施，同時(shí)，還能協(xié)助評估、分析和控制安全風(fēng)險(xiǎn)。

（2）日本

跟隨美國的步伐，日本也非常重視關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)相關(guān)法律法規(guī)的制定。在2000年，日本內(nèi)閣發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)反恐措施特別行動計(jì)劃》。在2005年，日本國家信息安全中心頒布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動計(jì)劃》，《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)反恐措施特別行動計(jì)劃》隨之取消，以該計(jì)劃為基礎(chǔ)，明確了日本關(guān)鍵信息基礎(chǔ)設(shè)施的定義、具體實(shí)施范圍，各主管部門對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)的要求[4]。在2009年，日本信息安全政策委員會發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全第二行動計(jì)劃》，對2005年的行動計(jì)劃進(jìn)行了更新，為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作開拓了新的思路。在2014年，日本正式通過了《網(wǎng)絡(luò)安全基本法》，以基本法的高度，明確并強(qiáng)化了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)思路。

（3）韓國

韓國在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的主要法律是2001年出臺的《信息與通信基礎(chǔ)設(shè)施保護(hù)法案》（該法案分別于 2002到2013年間多次修訂），該法案是韓國關(guān)鍵信息與通信基礎(chǔ)設(shè)施保護(hù)領(lǐng)域內(nèi)的主要立法，旨在通過制定與實(shí)施相關(guān)保護(hù)措施，確保關(guān)鍵信息與基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)營，為防范以電子手段的入侵做準(zhǔn)備，從而確保國家安全與人民生活的穩(wěn)定。該法案規(guī)定了關(guān)鍵信息與通信基礎(chǔ)設(shè)施的相關(guān)管理機(jī)構(gòu)、職責(zé)，確立了關(guān)鍵信息與通信基礎(chǔ)設(shè)施保護(hù)措施、指導(dǎo)方針及保護(hù)計(jì)劃，建立了包括關(guān)鍵信息與通信基礎(chǔ)設(shè)施的認(rèn)定、脆弱性分析與評估、關(guān)鍵信息與通信基礎(chǔ)設(shè)施入侵的禁止及通知、恢復(fù)與反制、信息共享與分析、人才培養(yǎng)、國際合作、責(zé)任與懲罰等在內(nèi)的一系列關(guān)鍵信息與通信基礎(chǔ)設(shè)施保護(hù)制度。

1.2 各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)特征

（1）對關(guān)鍵信息基礎(chǔ)設(shè)施界限進(jìn)行了明確和劃分

在歐美日等發(fā)達(dá)國家中，美國是最早明確關(guān)鍵信息基礎(chǔ)設(shè)施的范圍的。在1998年，克林頓政府的第63號總統(tǒng)令《對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的政策》表述了8個(gè)重點(diǎn)行業(yè)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施。在2003年，第7號國家安全總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施的識別、優(yōu)先級和防護(hù)》，確定了17類關(guān)鍵信息基礎(chǔ)設(shè)施和重要資源。在2008年，美國國土安全部宣布將關(guān)鍵制造業(yè)作為第18類關(guān)鍵信息基礎(chǔ)設(shè)施。在 2013年，美國發(fā)布了第 21號總統(tǒng)政策指示《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》和第13636號總統(tǒng)行政令《加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》，將關(guān)鍵信息基礎(chǔ)設(shè)施重新確定為16類[5]。

日本頒布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動方案》，完整定義了關(guān)鍵信息基礎(chǔ)設(shè)施，關(guān)鍵信息基礎(chǔ)設(shè)施是對經(jīng)濟(jì)和社會生活具有高度影響力的設(shè)施[6]。

英國定義了關(guān)鍵國家基礎(chǔ)設(shè)施的概念，即能夠連續(xù)提供基本服務(wù)的重要基礎(chǔ)元素。荷蘭從“不可或缺”的角度對國家關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了定義，指那些會造成社會性、全國性影響的重要基礎(chǔ)設(shè)施。

（2）對關(guān)鍵信息基礎(chǔ)設(shè)施的管理體系進(jìn)行了深度剖析

在美國，關(guān)鍵信息基礎(chǔ)設(shè)施管理體系的基本原則是國土安全部主導(dǎo)、多機(jī)構(gòu)參與，從態(tài)勢感知出發(fā)，基于國家關(guān)鍵信息基礎(chǔ)設(shè)施信息安全防護(hù)，實(shí)現(xiàn)共享交換、協(xié)同監(jiān)管、標(biāo)準(zhǔn)制定和應(yīng)急處置等功能。

在日本，關(guān)鍵信息基礎(chǔ)設(shè)施管理體系以內(nèi)閣秘書處為領(lǐng)導(dǎo)，政府部門和社會部門共同參與為基本原則，對相關(guān)重要基礎(chǔ)設(shè)施進(jìn)行聯(lián)動管理和處置。在德國，關(guān)鍵信息基礎(chǔ)設(shè)施管理體系由聯(lián)邦信息安全辦公室領(lǐng)導(dǎo)，為快速響應(yīng)突發(fā)事件，在重要情報(bào)機(jī)構(gòu)和聯(lián)邦警察局設(shè)置了各級應(yīng)急響應(yīng)小組，為國家級關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)提供支撐。

（3）在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開展了廣泛合作

在國外發(fā)達(dá)國家，政府擁有關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的管理權(quán)，但是大部分關(guān)鍵信息基礎(chǔ)設(shè)施的所有權(quán)卻屬于私營企業(yè)，從而使得各國政府在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開展了廣泛合作。比如，美國專門制定了相關(guān)規(guī)定和制度，以規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域政企的合作。日本建立了類似CERT的組織，以明確基礎(chǔ)設(shè)施提供商和運(yùn)營商之間的關(guān)系，為具體的信息共享和交換提供指導(dǎo)。以色列則強(qiáng)調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的合作關(guān)系，要求發(fā)起者、使用者和第三方監(jiān)管者共同負(fù)責(zé)共享過程中安全問題。

2 結(jié)束語

自從十九世紀(jì)八十年代出現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)的概念以來，歐美日等發(fā)達(dá)國家在該領(lǐng)域的法律法規(guī)政策體系已經(jīng)日漸完善，并在實(shí)踐中取得了一定效果。然而，我國雖然擁有龐大的信息化設(shè)施，卻在關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)方面長期處于比較落后的狀態(tài)。因此，如果我國想快速提升關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力，以達(dá)到國家一流水平，必須快速借鑒并消化吸收歐美日發(fā)達(dá)國家的先進(jìn)經(jīng)驗(yàn)，結(jié)合我國的實(shí)際情況，探索出一條具有中國特色的關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)路線。

（1）明確關(guān)鍵信息基礎(chǔ)設(shè)施范疇

隨著信息化建設(shè)的快速發(fā)展，美國率先提出了“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念，然而由于經(jīng)濟(jì)水平和社會體制的不同，國際社會對于關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的定義還存在分歧和建議。同時(shí)，大家對于信息安全的理解也在不斷深入，伴隨著人工智能、區(qū)塊鏈等先進(jìn)理念的嵌入，各國對于關(guān)鍵信息基礎(chǔ)設(shè)施范疇的理解也在不斷變化。我國《網(wǎng)絡(luò)安全法》解釋了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，即“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及一些一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，就可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，對其實(shí)行重點(diǎn)保護(hù)。”[8]，需要注意的是，上述范圍還比較粗放，因此需要從實(shí)踐層面進(jìn)一步明確我國的關(guān)鍵信息基礎(chǔ)設(shè)施范圍。

（2）形成政企協(xié)同的保障機(jī)制

當(dāng)今社會管理模式已趨向于“小政府、大社會”，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需要多部門、多行業(yè)共同發(fā)力，僅憑政府一己之力無法完成這一艱巨任務(wù)。網(wǎng)信辦、公安部、工信部作為我國保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施的主管部門，從國家頂層的角度出臺了相關(guān)政策法規(guī)。同時(shí)，公共通信和信息服務(wù)、能源、交通、水利和金融等行業(yè)主管部門出臺了行業(yè)相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)制度。然而，這種自上而下、政府高度集權(quán)化的保護(hù)模式不利于國家總體把握關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行情況，不能夠快速響應(yīng)關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的安全事件。因此，建議制定由政府主導(dǎo)、企事業(yè)單位聯(lián)合參與的關(guān)鍵基礎(chǔ)設(shè)施協(xié)同保障機(jī)制，以保證重要領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行。

（3）構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的信息共享機(jī)制

經(jīng)過“十一五”和“十二五”的全面建設(shè)，我國政務(wù)信息資源共享工作取得了長足進(jìn)步，已經(jīng)完成了國家數(shù)據(jù)共享交換平臺整體性設(shè)計(jì)，基于政務(wù)外網(wǎng)構(gòu)建了國家、省部、地市三層共享架構(gòu)。但由于新時(shí)期政務(wù)信息系統(tǒng)整合共享工作對數(shù)據(jù)共享平臺的安全保障提出了更高要求，在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，當(dāng)前數(shù)據(jù)共享存在安全責(zé)任不明確、數(shù)據(jù)保護(hù)手段不健全、數(shù)據(jù)共享過程監(jiān)管不完善、安全保障機(jī)制不靈活等問題，已經(jīng)成為政務(wù)信息資源共享應(yīng)用的主要安全問題。為解決這些問題，需要努力發(fā)揮國家電子政務(wù)外網(wǎng)在信息共享中的核心樞紐作用，調(diào)動相關(guān)單位的積極性，建立并完善信息共享機(jī)制，實(shí)現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的信息共享。