關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)及其實(shí)踐探討

董亞南，趙改俠，謝宗曉

（中國金融認(rèn)證中心，北京100032）

1 引言

隨著信息化的快速發(fā)展和普及，關(guān)鍵信息基礎(chǔ)設(shè)施在國民經(jīng)濟(jì)和社會發(fā)展中的基礎(chǔ)性、重要性、戰(zhàn)略性地位日益突出。各國也紛紛出臺政策、法規(guī)， 將關(guān)鍵基礎(chǔ)設(shè)施安全提升到國家安全的高度， 并開始重視對其網(wǎng)絡(luò)安全的保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施。本文首先對我國及美國在關(guān)鍵信息基礎(chǔ)設(shè)施的定義和網(wǎng)絡(luò)安全保護(hù)框架方面進(jìn)行了分析，同時對我國在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面的標(biāo)準(zhǔn)的制定方面的內(nèi)容進(jìn)行了總結(jié)，最后對經(jīng)濟(jì)合作與發(fā)展組織以及歐盟在關(guān)鍵信息基礎(chǔ)設(shè)施方面的標(biāo)準(zhǔn)、報告進(jìn)行了說明。

2 關(guān)鍵信息基礎(chǔ)設(shè)施的界定

隨著網(wǎng)絡(luò)安全形勢的日益嚴(yán)峻，世界各國對網(wǎng)絡(luò)空間的重視程度不斷提升，信息安全已經(jīng)上升到了國家戰(zhàn)略層次，我國關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，CII）概念是在2014年2月27日召開的中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議中提到。

由國家互聯(lián)網(wǎng)信息辦公室于2016年12月27日發(fā)布并實(shí)施的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》[1]，其首次給出關(guān)鍵信息基礎(chǔ)設(shè)施定義：“關(guān)系國家安全、國計(jì)民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國家安全、公共利益的信息設(shè)施，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領(lǐng)域和國家機(jī)關(guān)的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等”。且該定義在《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施（征求意見稿）》[2]等標(biāo)準(zhǔn)中進(jìn)行了引用。

美國[3,4]由于其在IT及其他諸多方面的領(lǐng)導(dǎo)地位，是最早解決關(guān)鍵基礎(chǔ)設(shè)施問題的國家。2001年，美國在《美國愛國者法案》中對關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行了定義：Critical infrastructure as “systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters”（ 所謂“關(guān)鍵基礎(chǔ)設(shè)施”是那些實(shí)體或虛擬的系統(tǒng)和資產(chǎn)，這些系統(tǒng)和資產(chǎn)的功能喪失或遭到破壞，會對國家安全、經(jīng)濟(jì)穩(wěn)定、國家公眾健康與安全或這些要素的任何結(jié)合產(chǎn)生嚴(yán)重影響）。

可以注意到，以上定義中出現(xiàn)了“關(guān)鍵信息基礎(chǔ)設(shè)施”和“關(guān)鍵基礎(chǔ)設(shè)施”。信息和通信技術(shù)的發(fā)展使關(guān)鍵基礎(chǔ)設(shè)施相互關(guān)聯(lián)、相互依賴，實(shí)際過程中保護(hù)工作的實(shí)際對象并不是靜態(tài)基礎(chǔ)設(shè)施，而是服務(wù)、物理和電子（信息）流、它們?yōu)樯鐣袚?dān)的角色和功能，尤其是通過基礎(chǔ)設(shè)施提供的核心價值，也就是說信息基礎(chǔ)設(shè)施要素具有重要的價值和角色，處于連接各個基礎(chǔ)設(shè)施部門的紐帶地位，支撐著其他基礎(chǔ)設(shè)施。目前來說“關(guān)鍵基礎(chǔ)設(shè)施”和“關(guān)鍵信息基礎(chǔ)設(shè)施”這兩個表述可以通用。

盡管我國和美國在“關(guān)鍵信息基礎(chǔ)設(shè)施”定義存在細(xì)節(jié)上的差異，但是總體上都把其癱瘓或遭到破壞會對一個國家的安全、經(jīng)濟(jì)和社會福祉產(chǎn)生削弱行影響的基礎(chǔ)設(shè)施視為關(guān)鍵信息基礎(chǔ)設(shè)施。

3 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)框架/方法論

隨著來自外部與內(nèi)部的威脅壓力持續(xù)升級，負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織機(jī)構(gòu)需要采一種一致且可復(fù)用的方法以發(fā)現(xiàn)、評估并管理網(wǎng)絡(luò)安全風(fēng)險。無論組織自身規(guī)模、威脅暴露程度以及網(wǎng)絡(luò)安全復(fù)雜性，都需要通過遵循一種持續(xù)可控的方法以實(shí)現(xiàn)安全保障。

關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)可以從風(fēng)險管控為出發(fā)點(diǎn)，建立一個總體性、基礎(chǔ)性的安全框架，在具體實(shí)施中，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位可以根據(jù)統(tǒng)一的安全框架，制定符合自身應(yīng)用需求的標(biāo)準(zhǔn)或行業(yè)實(shí)踐指南。全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在2018年3月18日發(fā)布的《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)要求（征求意見稿）》[5]中明確了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)環(huán)節(jié)，包括識別認(rèn)定、安全防護(hù)、檢測評估、監(jiān)測預(yù)警及應(yīng)急處置，如圖1所示。

圖1 關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)環(huán)節(jié)

美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）在《Framework for Improving Critical Infrastructure Cybersecurity（關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全改善框架）》[6]中，明確了美國應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施通用領(lǐng)域的網(wǎng)絡(luò)安全框架，框架側(cè)重于利用業(yè)務(wù)驅(qū)動性因素指導(dǎo)網(wǎng)絡(luò)安全活動，并將網(wǎng)絡(luò)安全風(fēng)險作為組織風(fēng)險管理流程中的一部分。該框架包含框架核心、實(shí)現(xiàn)層及框架概況。其中框架核心主要包括功能、類別、子類別及信息性參考，功能將最基層的網(wǎng)絡(luò)安全活動組織起來，具體功能涵蓋識別、防護(hù)、檢測、響應(yīng)與恢復(fù)，如圖2所示。

圖2 框架核心結(jié)構(gòu)

雖然上述關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架均劃分為五個環(huán)節(jié)，且不是一一對應(yīng)，但是整體框架流程是一致的。其中：第一，識別關(guān)鍵信息基礎(chǔ)設(shè)施風(fēng)險；第二，制定并實(shí)施適當(dāng)?shù)陌踩雷o(hù)措施；第三，進(jìn)行適當(dāng)?shù)男袆樱z測評估、安全連續(xù)監(jiān)測等）判斷網(wǎng)絡(luò)安全事件是否發(fā)生；第四，對檢測到的網(wǎng)絡(luò)安全事件采取行動，恢復(fù)正常運(yùn)營，降低網(wǎng)絡(luò)安全事件帶來的實(shí)際影響，其中對應(yīng)關(guān)系如表1所示。

表1 框架對比

4 國家標(biāo)準(zhǔn)研發(fā)進(jìn)展

基于《中華人民共和國網(wǎng)絡(luò)安全法》及相關(guān)法律法規(guī)要求，結(jié)合目前已經(jīng)開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作，全國信息安全標(biāo)準(zhǔn)化委員會組織開展了系列標(biāo)準(zhǔn)的制定，主要有五項(xiàng)標(biāo)準(zhǔn)，如表2所示。

全國信息安全標(biāo)準(zhǔn)化委員會充分借鑒我國相關(guān)部門在重要領(lǐng)域網(wǎng)絡(luò)安全審查、網(wǎng)絡(luò)安全檢查等重點(diǎn)工作的成熟經(jīng)驗(yàn)，充分吸納國外在關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)方面的成功舉措，結(jié)合我國現(xiàn)有針對傳統(tǒng)信息系統(tǒng)的信息安全保障體系等成果，通過制定關(guān)鍵基礎(chǔ)設(shè)施保護(hù)基礎(chǔ)類、基線類、實(shí)施類、測評類標(biāo)準(zhǔn)，形成了一套標(biāo)準(zhǔn)化保護(hù)體系，為更好地保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施奠定了基礎(chǔ)。

5 其他可參考的標(biāo)準(zhǔn)/報告

保障關(guān)鍵信息基礎(chǔ)設(shè)施的安全對于整個社會的運(yùn)轉(zhuǎn)具有至關(guān)重要的意義，各種國際組織通過頒布一系列法律、政策等以形成一套關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，下面將對經(jīng)濟(jì)合作與發(fā)展組織（OECD）、歐盟[9]在關(guān)鍵基礎(chǔ)設(shè)施保護(hù)方面的標(biāo)準(zhǔn)或報告進(jìn)行簡要說明，如表3所示。

總的來看，在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面，隨著國際局勢的不斷變化，對關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的迫切需求，經(jīng)濟(jì)合作與發(fā)展組織（OECD）和歐盟基于國際條約，提出了多項(xiàng)建設(shè)性政策和建議，加強(qiáng)了各成員國與其他國際組織合作，完善了關(guān)鍵基礎(chǔ)設(shè)施法律體系、政策保障制度。

6 結(jié)束語

我國《中華人民共和國網(wǎng)絡(luò)安全法》的施行以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》[19]的發(fā)布，展現(xiàn)了國家對該項(xiàng)工作的重視，也為進(jìn)一步開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作指明了方向。本文針對全國信息安全標(biāo)準(zhǔn)化委員會組織開展的系列標(biāo)準(zhǔn)的制定OECD以及歐盟的在這方面的標(biāo)準(zhǔn)或經(jīng)驗(yàn)進(jìn)行了簡述。關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)任務(wù)艱巨，是一項(xiàng)長期并不斷改進(jìn)的工作，國家在政策支持、立法保障上給予充分保障，運(yùn)營者應(yīng)在思想上高度重視，從科學(xué)管理、人才培養(yǎng)和技術(shù)能力多方面確保關(guān)系國計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施安全。

表2 國家標(biāo)準(zhǔn)

表3 OECD及歐盟在CIIP方面的標(biāo)準(zhǔn)或報告

表3 OECD及歐盟在CIIP方面的標(biāo)準(zhǔn)或報告（續(xù)）