信息安全管理系列之七十一　金融關鍵信息基礎設施安全治理實踐探討

謝宗曉 　甄杰　董坤祥

信息安全管理系列之七十一

《關鍵信息基礎設施安全保護條例》（中華人民共和國國務院令第745號）自2021年9月1日正式開始實施，這標志著國內的關鍵信息基礎設施保護將進入一個新的階段。在某些國家，關鍵基礎設施保護戰略已經成為網絡安全戰略的代名詞。下文對金融領域的關鍵信息基礎設施安全治理進行了初步的探討。

謝宗曉（特約編輯）

摘要：從安全治理的角度討論了金融關鍵信息基礎設施保護的實踐。首先，界定了金融關鍵信息基礎設施保護所包括的內容，區分了不同的關鍵信息基礎設施保護;然后，分析了關鍵信息基礎設施保護在網絡安全中的重要作用，尤其是對于高度數字化/信息化的金融行業;最后，從“良好實踐”的角度探討了金融關鍵信息基礎設施保護的兩個層次。同時，也對“治理”和“管理”異同之處進行了初步的探討，這也是強調治理重要性的原因所在。

關鍵詞：信息安全治理 關鍵信息基礎設施保護 金融行業

Discussion on Security Governance of Financial Critical Information Infrastructure

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （Chongqing Technology and Business University）

Dong Kunxiang （Shandong University of Finance and Economics）

Abstract： This paper discusses the practice of financial critical information infrastructure protection from the perspective of security governance. First， it defines the contents of financial critical information infrastructure protection， and distinguishes different critical information infrastructure protection. Then， it analyzes the important role of critical information infrastructure protection in network security， especially for the highly digitized / informationized financial industry. Finally， two levels of financial critical information infrastructure protection are discussed from the perspective of "good practice". At the same time， the similarities and differences between "governance" and "management" are preliminarily discussed， which is also the reason for emphasizing the importance of governance.

Key words：? information security governance， critical information infrastructure protection （CIIP）， financial industry

1 金融關鍵信息基礎設施保護的范圍

關鍵信息基礎設施不僅具備自身重要性，而且其他關鍵基礎設施的正常運行也常常依賴于此。因此，關鍵信息基礎設施不僅包括關鍵的信息系統，同時，也包括了關鍵基礎設施的信息技術模塊。對于金融關鍵信息基礎設施而言，更重要是強調后者。

《關鍵信息基礎設施安全保護條例》第一章，第二條：本條例所稱關鍵信息基礎設施，是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

以網絡（network）為例，相關的金融關鍵信息基礎設施主要分為四類：1）公用網絡提供的服務，例如，電子銀行，用戶通過VPN或SSL/TLS等方式接入，金融機構自己負責安全管理，但是服務能力，包括系統恢復能力等基本依賴于信息技術供應商;2）被提供網絡，例如，銀行接入SWIFT（環球同業銀行金融電訊協會），對于銀行而言，基本沒有控制能力，只是作為用戶接入;3）共享網絡，例如，與其他機構進行業務交互的網絡，金融機構與提供商可以共同管理安全;4）私有網絡，對于銀行而言，這類網絡一般運行主營業務，例如，從數據中心至分支機構，雖然網絡是私有的，但是服務是信息技術供應商提供的，銀行自身對于恢復能力等并沒有管理能力。

2 網絡安全中關鍵信息基礎設施保護的重要性

習近平在中央網絡安全和信息化領導小組第一次會議中指出，沒有網絡安全就沒有國家安全。網絡安全（cybersecurity）是網絡空間安全（cyberspace security）的簡稱。網絡空間是一個由機器、用戶及其關系所組成的虛擬世界，網絡空間雖然強調“虛擬性”，并不是否認其客觀存在性，這個數字世界已經成為人們生活不可或缺的一部分，正源于此，網絡空間成為區別于自然空間和社會空間的第三大空間。

從網絡空間的定義可以得知，網絡空間的存在是建立在軟硬件所組成的信息系統的基礎上。在ITU-T X.1205《網絡安全綜述》中描述的網絡安全的一般目標為：可用性、完整性和機密性。這個目標的排序與ISO/IEC 27000：2018《信息技術 安全技術 信息安全管理體系 概述與詞匯》中對于信息安全的目標描述是有區別的，信息安全是為了保持信息的機密性、完整性和可用性。

可見，可用性在網絡安全中具有更重要的意義，這也是金融關鍵信息基礎設施保護在網絡安全時代成為核心保護目標的原因。因為只有金融關鍵信息基礎設施正常運行，才能保證網絡空間的真實存在。總之，金融關鍵信息基礎設施保護在網絡安全中是最重要的一部分，在涉及國家安全時，更是如此。

隨著網上支付的迅速發展，金融服務是虛擬化最明顯的行業之一。在傳統的支付體系中，貨幣是最常見的媒介，但是在網絡空間中，基本已經實現了不需要任何實物作為支付媒介，就可以完成交易。正源于此，金融領域成為網絡犯罪（cybercrime）的重災區，據歐盟網絡與信息安全局（ENSIA）發布的報告《2016年影響關鍵信息基礎設施的安全事件損失》，金融關鍵信息基礎設施每年平均損失可達13.50億美元，且在所有的行業中位列第一，與能源行業一并遙遙領先，排名第三的技術行業損失就下降為8.09億美元。

3 從治理視角探討關鍵信息基礎設施保護

嚴格意義上講，治理和管理是不同的范疇。治理的拉丁文原意是“引航”的意思，這清晰地指明了治理與管理的不同之處，或者說，治理更偏重方向性問題，管理更關注實際要解決的問題。這種差異導致在越宏觀的領域，治理詞匯出現得越頻繁，例如，社會治理、環境治理、公司治理;在細分領域中出現的就比較少，例如，信息安全治理就少有討論。這導致在信息安全情境中長期存在“重技術，輕管理”的現象，實際更嚴重的是“輕治理”。就整個企業環境而言，正如學者李維安所指出：公司治理已遠遠落后于技術變化[1]。

隨著網絡安全而凸顯出重要性的關鍵信息基礎設施保護應該有不同的思路，至少應該做到治理與管理并重，主要由于關鍵信息基礎設施保護的視角更宏觀，與網絡安全等級保護一樣，關鍵信息基礎設施保護更多地從國家安全和公眾利益考慮，雖然具體控制最終會落實到單個組織或機構，但是良好的治理結構是前提。具體到金融關鍵信息基礎設施保護，信息系統分散在不同的金融機構中，作為監管機構的中國人民銀行與中國銀行保險監督管理委員會，從治理角度可以給出更詳細的監管要求，從管理角度可以提供更多的指導，對于信息系統的控制則完全是具體金融機構的責任。

其次，形如ISO/IEC 27014： 2013《信息技術 安全技術 信息安全管理》這樣的信息安全治理標準，應用范圍是單個組織，并不涉及整體的治理設計，或者說，如果按照李維安的公司治理理論，公司治理是用規則和制度來約束和重塑利益相關者之間的關系，在這個視角而言，關鍵信息基礎設施保護需要監管機構的統一協調，金融關鍵信息基礎設施保護不僅僅是金融基礎設施中信息技術模塊的保護，還要包括諸多與信息技術關鍵基礎設施的交互。

4 關鍵信息基礎設施保護安全治理架構

4.1 關鍵信息基礎設施保護安全治理的兩個層次

關鍵信息基礎設施保護的安全治理分成兩個層次：第一個層次是監管機構在統籌的角度對金融關鍵信息基礎設施保護設計治理架構，從而對金融機構各自運維的關鍵信息基礎設施實現有效的監管，從這個角度講，治理更注重制度的設計和利益的重塑;第二個層次的治理是金融機構的內部治理結構問題，一般而言，在組織內部，治理屬于董事會和高管的責任，從這個角度講，治理是考慮“內外合規”的制度設計，治理是信息安全管理的上層建筑。

4.2 應用“良好實踐”的思路探討治理的架構

從“創新擴散”的角度而言，每一項新生共性事件都應該有對應的“良好實踐”。以網絡安全事件為例，跨組織的信息共享是有效預防的最重要途徑之一，以此理論為基礎，美國在1988年成立了CERT（計算機安全應急響應組），這種組織架構在全世界范圍內得到了擴散，并導致了各個國家在事件信息共享方面在組織形式上的制度性同形，區域如歐盟成立了歐盟計算機安全應急響應組（CERT-EU），行業如工控系統計算機安全應急響應組（ICS-CERT）等類似的機構。這可以認為是在組織架構方面關于信息安全事件管理的良好實踐。

但是，信息安全自20世紀40年代發展到今天，信息安全治理依然沒有業界所公認的模型、架構或標準體系。在信息安全管理方面，以ISO/IEC 27000標準族為代表的“良好實踐”，則定義了完整的方法論、控制集、標準體系以及安全架構等各個方面。例如，ISO/IEC 27000定義了標準族的術語，并介紹了標準族的架構;ISO/IEC 27001定義了信息安全管理體系（ISMS）的要求，通俗而言就是定義了信息安全管理體系應該是什么樣子;ISO/IEC 27002給出了信息安全管理的控制集，其中包括14個控制域，35個控制目標，114項控制;ISO/IEC 27003則是信息安全管理體系如何在一個具體組織內的部署指南，ISO/IEC 27004討論了信息安全管理體系的監視與測量的細節。以此類推，從ISO/IEC 27000直至ISO/IEC 27059定義了信息安全管理的方方面面。

4.3 金融行業的關鍵信息基礎設施保護治理架構

從跨組織的金融關鍵信息基礎設施保護而言，《關鍵信息基礎設施安全保護條例》第二章，第四條：本條例第二條涉及的重要行業和領域的主管部門、監督管理部門是負責關鍵信息基礎設施安全保護工作的部門（以下簡稱：保護工作部門）。中國人民銀行和中國銀行保險監督管理委員會也可以按照“良好實踐”的思路進行全行業的指導和監管工作。

首先，可以建立全行業的行業信息共享機制，這類似于事件管理，當然也可以將相關的職能與計算機安全應急響應等功能合并處理。此外，從行業角度，應該建立關鍵信息基礎設施的識別標準及指南，在識別統計金融關鍵信息基礎設施后，從控制和監視的角度建立一個完整的體系，這實際與“戴明環（PDCA）”的邏輯是保持一致的，即計劃、實施、監視和改進。該過程與金融機構內部的關鍵信息基礎設施保護治理結構存在一定的差別，在行業角度強調的監管，所以不需要過度考慮響應和恢復等具體的工作。

4.4 金融機構內部的關鍵信息基礎設施保護治理結構

從組織內部的金融關鍵信息基礎設施保護而言，主要考慮識別金融關鍵信息基礎設施以及具體的控制部署等內容。從落地角度來說，組織一般不會拋開現有的體系重新部署金融關鍵信息基礎設施保護，例如，一般需要考慮與現有的網絡安全等級保護或者信息安全管理體系等進行整合。從安全治理的角度而言，整合是非常有必要的。

單個組織的整合治理結構的出發點首要考慮的是主營業務，對于金融行業而言尤其如此。現有的治理結構已經存在公司治理、信息技術治理直至信息安全治理等多個體系，在考慮整合的時候，一般而言，治理層都是統一的，即涉及董事會和高管，只是領域不同而已。

目前可以參考的關鍵信息基礎設施保護良好實踐，在討論具體控制的時候大都采用了引用的形式，這主要是由于之前已經發布過諸多類似的標準或規范;由于網絡安全與金融關鍵信息基礎設施保護的緊密關系，有時候兩者并未做嚴格的區分，例如，美國國家標準與技術研究院（NIST）發布的網絡安全框架全稱為《提高關鍵基礎設施網絡安全框架》，ISO/IEC TR 27103：2018《信息技術 安全技術 網絡安全和ISO、IEC標準》雖然沒有明確提出關鍵信息基礎設施保護等概念，但是其框架實際沿用了美國國家標準與技術研究院上述文檔的框架，即識別、保護、檢測、響應和恢復。這也佐證了關鍵信息基礎設施保護在網絡安全中的重要性。

值得強調的是，無論是通用的關鍵信息基礎設施保護框架，還是專門討論金融行業的標準，都強調了“恢復能力”。Udo Helmbrecht（歐盟網絡與信息安全局執行主席）在數字金融年會上提出，恢復力需要內嵌入系統中，并且要將網絡安全作為建設“更具恢復能力的歐洲”的推動力。

5 小結

綜上所述，對于金融關鍵信息基礎設施保護，從行業全局的角度而言，監管機構應該充分借鑒其他行業或者其他領域的良好實踐，例如，制度性同形，設計良好的治理架構;從單個組織的角度而言，金融機構應該在考慮自身業務要求的基礎上，在關鍵信息基礎設施保護方面重點提高系統的恢復能力，并根據已有的良好實踐，如《NIST網絡安全框架V1.1》和ISO/IEC TR 27103：2018等，建立關鍵信息基礎設施保護體系，并積極與現有體系進行整合。

參考文獻

[1] 李維安.公司治理學：第4版[M]. 北京：高等教育出版社， 2020.