國外關(guān)鍵信息基礎(chǔ)設(shè)施安全防護戰(zhàn)略分析和啟示

◆任 飛 曹 虎

（1.國家信息中心 北京 100045；2.成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司 北京 100089）

0 引言

習近平總書記在“4.19”網(wǎng)信工作會議上提出：“加快構(gòu)建關(guān)鍵安全基礎(chǔ)設(shè)施安全保障體系”。面對復雜嚴峻的網(wǎng)絡安全形勢，各方面應齊抓共管，切實維護網(wǎng)絡安全。為貫徹落實習總書記“網(wǎng)絡強國”戰(zhàn)略思想，國家互聯(lián)網(wǎng)信息辦公室于2016年12月7日發(fā)布了《網(wǎng)絡空間安全戰(zhàn)略》，闡明了中國關(guān)于網(wǎng)絡空間發(fā)展和安全的重大立場和主張，明確了戰(zhàn)略方針和主要任務。《網(wǎng)絡空間安全戰(zhàn)略》[1]第三大戰(zhàn)略任務就是“保護關(guān)鍵信息基礎(chǔ)設(shè)施”，該任務明確提出“采取一切必要措施保護關(guān)鍵信息基礎(chǔ)設(shè)施及其重要數(shù)據(jù)不受攻擊破壞”，“堅持技術(shù)和管理并重、保護和威懾并舉，著眼識別、防護、檢測、預警、響應、處置等環(huán)節(jié)”，對關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護和監(jiān)管提出了明確的要求。

到目前為止，對于關(guān)鍵信息基礎(chǔ)設(shè)施（CII，Critical Information Infrastructure）的安全防護越來越受到各國重視，歐美日等發(fā)達國家紛紛出臺了相關(guān)的法律法規(guī)和行政命令，同時，詮釋了關(guān)鍵信息基礎(chǔ)設(shè)施的內(nèi)涵[2]。

1 各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護戰(zhàn)略現(xiàn)狀

1.1 各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護立法分析

（1）美國

美國十分重視關(guān)鍵信息基礎(chǔ)設(shè)施保護立法，從 1996年到2016年分別出臺了《國家信息基礎(chǔ)設(shè)施保護法案》、《關(guān)鍵基礎(chǔ)設(shè)施保護法案》和《聯(lián)邦信息安全管理法案》等多部法律，以加強國家關(guān)鍵信息基礎(chǔ)設(shè)施的保護[3]。通過立法，主要明確了以下內(nèi)容。

①對關(guān)鍵信息基礎(chǔ)設(shè)施保護對象進行了定義。2001年，在《關(guān)鍵基礎(chǔ)設(shè)施保護法案》中，明確了關(guān)鍵信息基礎(chǔ)設(shè)施的概念，該定義在美國法律和政策中得到了擴展和應用。

②對關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍及責任部門進行了確認。第21號總統(tǒng)令、國家安全第7號總統(tǒng)令和第63號總統(tǒng)令明確規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍及責任部門，當前美國關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍覆蓋了16個行業(yè)，并指定由9個責任部門負責。同時，美國政府按照實際應用情況進行了與時俱進的修訂。

③對關(guān)鍵信息基礎(chǔ)設(shè)施信息共享進行了強化。對于政府部門、國有企業(yè)、個體企業(yè)和私營業(yè)主之間的信息要加強共享，共享信息包括隱私、漏洞、安全等策略信息，以及比較敏感的專業(yè)技術(shù)、專利等信息。

④制定了多項關(guān)鍵信息基礎(chǔ)設(shè)施保護標準。根據(jù)美國關(guān)鍵信息基礎(chǔ)設(shè)施保護第13636號行政令的要求，國家標準技術(shù)研究院（NIST，National Institute of Standard and Technology）組織制定網(wǎng)絡安全框架，降低關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的安全風險。網(wǎng)絡安全框架包括有關(guān)促進關(guān)鍵信息基礎(chǔ)設(shè)施保護的指南、標準或最佳實踐。對于標準涉及的相關(guān)領(lǐng)域，網(wǎng)絡安全框架可以提供靈活的、可操作的、高效益的信息安全控制措施，同時，還能協(xié)助評估、分析和控制安全風險。

（2）日本

跟隨美國的步伐，日本也非常重視關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)法律法規(guī)的制定。在2000年，日本內(nèi)閣發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡反恐措施特別行動計劃》。在2005年，日本國家信息安全中心頒布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動計劃》，《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡反恐措施特別行動計劃》隨之取消，以該計劃為基礎(chǔ)，明確了日本關(guān)鍵信息基礎(chǔ)設(shè)施的定義、具體實施范圍，各主管部門對關(guān)鍵信息基礎(chǔ)設(shè)施進行保護的要求[4]。在2009年，日本信息安全政策委員會發(fā)布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全第二行動計劃》，對2005年的行動計劃進行了更新，為關(guān)鍵信息基礎(chǔ)設(shè)施保護工作開拓了新的思路。在2014年，日本正式通過了《網(wǎng)絡安全基本法》，以基本法的高度，明確并強化了關(guān)鍵信息基礎(chǔ)設(shè)施保護思路。

（3）韓國

韓國在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面的主要法律是2001年出臺的《信息與通信基礎(chǔ)設(shè)施保護法案》（該法案分別于 2002到2013年間多次修訂），該法案是韓國關(guān)鍵信息與通信基礎(chǔ)設(shè)施保護領(lǐng)域內(nèi)的主要立法，旨在通過制定與實施相關(guān)保護措施，確保關(guān)鍵信息與基礎(chǔ)設(shè)施的穩(wěn)定運營，為防范以電子手段的入侵做準備，從而確保國家安全與人民生活的穩(wěn)定。該法案規(guī)定了關(guān)鍵信息與通信基礎(chǔ)設(shè)施的相關(guān)管理機構(gòu)、職責，確立了關(guān)鍵信息與通信基礎(chǔ)設(shè)施保護措施、指導方針及保護計劃，建立了包括關(guān)鍵信息與通信基礎(chǔ)設(shè)施的認定、脆弱性分析與評估、關(guān)鍵信息與通信基礎(chǔ)設(shè)施入侵的禁止及通知、恢復與反制、信息共享與分析、人才培養(yǎng)、國際合作、責任與懲罰等在內(nèi)的一系列關(guān)鍵信息與通信基礎(chǔ)設(shè)施保護制度。

1.2 各國關(guān)鍵信息基礎(chǔ)設(shè)施安全防護特征

（1）對關(guān)鍵信息基礎(chǔ)設(shè)施界限進行了明確和劃分

在歐美日等發(fā)達國家中，美國是最早明確關(guān)鍵信息基礎(chǔ)設(shè)施的范圍的。在1998年，克林頓政府的第63號總統(tǒng)令《對關(guān)鍵基礎(chǔ)設(shè)施保護的政策》表述了8個重點行業(yè)作為國家關(guān)鍵信息基礎(chǔ)設(shè)施。在2003年，第7號國家安全總統(tǒng)令《關(guān)鍵基礎(chǔ)設(shè)施的識別、優(yōu)先級和防護》，確定了17類關(guān)鍵信息基礎(chǔ)設(shè)施和重要資源。在2008年，美國國土安全部宣布將關(guān)鍵制造業(yè)作為第18類關(guān)鍵信息基礎(chǔ)設(shè)施。在 2013年，美國發(fā)布了第 21號總統(tǒng)政策指示《關(guān)鍵基礎(chǔ)設(shè)施安全和彈性》和第13636號總統(tǒng)行政令《加強關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡安全》，將關(guān)鍵信息基礎(chǔ)設(shè)施重新確定為16類[5]。

日本頒布了《關(guān)鍵基礎(chǔ)設(shè)施信息安全措施行動方案》，完整定義了關(guān)鍵信息基礎(chǔ)設(shè)施，關(guān)鍵信息基礎(chǔ)設(shè)施是對經(jīng)濟和社會生活具有高度影響力的設(shè)施[6]。

英國定義了關(guān)鍵國家基礎(chǔ)設(shè)施的概念，即能夠連續(xù)提供基本服務的重要基礎(chǔ)元素。荷蘭從“不可或缺”的角度對國家關(guān)鍵信息基礎(chǔ)設(shè)施進行了定義，指那些會造成社會性、全國性影響的重要基礎(chǔ)設(shè)施。

（2）對關(guān)鍵信息基礎(chǔ)設(shè)施的管理體系進行了深度剖析

在美國，關(guān)鍵信息基礎(chǔ)設(shè)施管理體系的基本原則是國土安全部主導、多機構(gòu)參與，從態(tài)勢感知出發(fā)，基于國家關(guān)鍵信息基礎(chǔ)設(shè)施信息安全防護，實現(xiàn)共享交換、協(xié)同監(jiān)管、標準制定和應急處置等功能。

在日本，關(guān)鍵信息基礎(chǔ)設(shè)施管理體系以內(nèi)閣秘書處為領(lǐng)導，政府部門和社會部門共同參與為基本原則，對相關(guān)重要基礎(chǔ)設(shè)施進行聯(lián)動管理和處置。在德國，關(guān)鍵信息基礎(chǔ)設(shè)施管理體系由聯(lián)邦信息安全辦公室領(lǐng)導，為快速響應突發(fā)事件，在重要情報機構(gòu)和聯(lián)邦警察局設(shè)置了各級應急響應小組，為國家級關(guān)鍵信息基礎(chǔ)設(shè)施防護提供支撐。

（3）在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開展了廣泛合作

在國外發(fā)達國家，政府擁有關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的管理權(quán)，但是大部分關(guān)鍵信息基礎(chǔ)設(shè)施的所有權(quán)卻屬于私營企業(yè)，從而使得各國政府在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開展了廣泛合作。比如，美國專門制定了相關(guān)規(guī)定和制度，以規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域政企的合作。日本建立了類似CERT的組織，以明確基礎(chǔ)設(shè)施提供商和運營商之間的關(guān)系，為具體的信息共享和交換提供指導。以色列則強調(diào)了關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的合作關(guān)系，要求發(fā)起者、使用者和第三方監(jiān)管者共同負責共享過程中安全問題。

2 結(jié)束語

自從十九世紀八十年代出現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施安全防護的概念以來，歐美日等發(fā)達國家在該領(lǐng)域的法律法規(guī)政策體系已經(jīng)日漸完善，并在實踐中取得了一定效果。然而，我國雖然擁有龐大的信息化設(shè)施，卻在關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護方面長期處于比較落后的狀態(tài)。因此，如果我國想快速提升關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護能力，以達到國家一流水平，必須快速借鑒并消化吸收歐美日發(fā)達國家的先進經(jīng)驗，結(jié)合我國的實際情況，探索出一條具有中國特色的關(guān)鍵信息基礎(chǔ)設(shè)施安全防護路線。

（1）明確關(guān)鍵信息基礎(chǔ)設(shè)施范疇

隨著信息化建設(shè)的快速發(fā)展，美國率先提出了“關(guān)鍵信息基礎(chǔ)設(shè)施”的概念，然而由于經(jīng)濟水平和社會體制的不同，國際社會對于關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的定義還存在分歧和建議。同時，大家對于信息安全的理解也在不斷深入，伴隨著人工智能、區(qū)塊鏈等先進理念的嵌入，各國對于關(guān)鍵信息基礎(chǔ)設(shè)施范疇的理解也在不斷變化。我國《網(wǎng)絡安全法》解釋了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，即“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領(lǐng)域，以及一些一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，就可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡安全等級保護制度的基礎(chǔ)上，對其實行重點保護?！盵8]，需要注意的是，上述范圍還比較粗放，因此需要從實踐層面進一步明確我國的關(guān)鍵信息基礎(chǔ)設(shè)施范圍。

（2）形成政企協(xié)同的保障機制

當今社會管理模式已趨向于“小政府、大社會”，關(guān)鍵信息基礎(chǔ)設(shè)施保護需要多部門、多行業(yè)共同發(fā)力，僅憑政府一己之力無法完成這一艱巨任務。網(wǎng)信辦、公安部、工信部作為我國保護關(guān)鍵信息基礎(chǔ)設(shè)施的主管部門，從國家頂層的角度出臺了相關(guān)政策法規(guī)。同時，公共通信和信息服務、能源、交通、水利和金融等行業(yè)主管部門出臺了行業(yè)相關(guān)的關(guān)鍵信息基礎(chǔ)設(shè)施安全防護制度。然而，這種自上而下、政府高度集權(quán)化的保護模式不利于國家總體把握關(guān)鍵信息基礎(chǔ)設(shè)施的運行情況，不能夠快速響應關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的安全事件。因此，建議制定由政府主導、企事業(yè)單位聯(lián)合參與的關(guān)鍵基礎(chǔ)設(shè)施協(xié)同保障機制，以保證重要領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的穩(wěn)定運行。

（3）構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的信息共享機制

經(jīng)過“十一五”和“十二五”的全面建設(shè)，我國政務信息資源共享工作取得了長足進步，已經(jīng)完成了國家數(shù)據(jù)共享交換平臺整體性設(shè)計，基于政務外網(wǎng)構(gòu)建了國家、省部、地市三層共享架構(gòu)。但由于新時期政務信息系統(tǒng)整合共享工作對數(shù)據(jù)共享平臺的安全保障提出了更高要求，在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，當前數(shù)據(jù)共享存在安全責任不明確、數(shù)據(jù)保護手段不健全、數(shù)據(jù)共享過程監(jiān)管不完善、安全保障機制不靈活等問題，已經(jīng)成為政務信息資源共享應用的主要安全問題。為解決這些問題，需要努力發(fā)揮國家電子政務外網(wǎng)在信息共享中的核心樞紐作用，調(diào)動相關(guān)單位的積極性，建立并完善信息共享機制，實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的信息共享。