高煥新,高永前

(中國電子信息集團(tuán)有限公司第六研究所，北京 100083)

0 引言

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是各領(lǐng)域關(guān)鍵業(yè)務(wù)正常運(yùn)行的保障，文章通過分析對比美國、歐盟和日本在關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定方式以及保護(hù)措施，結(jié)合我國網(wǎng)絡(luò)安全法律法規(guī)、信息安全相關(guān)技術(shù)、科學(xué)管理以及實(shí)際工作，給出我國在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)運(yùn)營措施上的優(yōu)化建議，目的是提高我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)運(yùn)營者的安全保護(hù)能力、更好地實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的國家戰(zhàn)略。

1 關(guān)鍵信息基礎(chǔ)設(shè)施概念

關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure，CII)是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，將會對國家政治、經(jīng)濟(jì)、科技、社會、文化、國防、環(huán)境以及人民生命財(cái)產(chǎn)造成嚴(yán)重威脅與損失。2016年11月7日，我國十二屆全國人民代表大會常務(wù)委員會第二十四次會議通過了《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)，自2017年6月1日起施行。《網(wǎng)絡(luò)安全法》在對關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全中指出，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。在法律上對關(guān)鍵信息基礎(chǔ)設(shè)施的概念做出界定，對開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)提供法律依據(jù)。

在國外，美國將關(guān)鍵信息基礎(chǔ)設(shè)施定義為一種計(jì)算機(jī)資源，一旦其能力喪失或遭到破壞，就會影響國家安全、經(jīng)濟(jì)安全、公共健康和安全。結(jié)合我國和美國對關(guān)鍵信息基礎(chǔ)設(shè)施的定義，關(guān)鍵信息基礎(chǔ)設(shè)施在國家層面是支撐國計(jì)民生正常運(yùn)行，遭受網(wǎng)絡(luò)攻擊后可影響國家安全的設(shè)施；在企事業(yè)單位層面關(guān)鍵信息基礎(chǔ)設(shè)施概括為關(guān)鍵業(yè)務(wù)的一種計(jì)算機(jī)和通信資源。

2 關(guān)鍵信息基礎(chǔ)設(shè)施范圍及認(rèn)定

《網(wǎng)絡(luò)安全法》在2017年6月1日施行后，國家互聯(lián)網(wǎng)信息辦公室在2017年7月11日發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》，其中對關(guān)鍵信息基礎(chǔ)設(shè)施范圍及認(rèn)定作出說明。

2.1 關(guān)鍵信息基礎(chǔ)設(shè)施范圍

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》中建議關(guān)鍵信息基礎(chǔ)設(shè)施范圍應(yīng)包括政府機(jī)關(guān)，能源，金融，交通，水利等、電信、國防、通訊和其它重要單位五方面。隨后國家部門發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》中指出關(guān)鍵信息基礎(chǔ)設(shè)施的范圍包括網(wǎng)站類、平臺類和生產(chǎn)業(yè)務(wù)類系統(tǒng)三類。

2.2 關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定

國內(nèi)外在關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定上基本上采用立法保護(hù)、明確標(biāo)準(zhǔn)的方式。

2.2.1國外認(rèn)定方法

俄羅斯早在 2000年由普京總統(tǒng)簽署了《俄羅斯聯(lián)邦信息安全學(xué)說》，不斷加大在關(guān)鍵信息基礎(chǔ)設(shè)施上的立法。在2018年1月1日《俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》生效，作為該安全法的附屬性文件，2018年2月8日，俄羅斯聯(lián)邦政府通過第127號決議《關(guān)于確認(rèn)俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體等級劃分的規(guī)定，以及俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體重要性標(biāo)準(zhǔn)參數(shù)列表》，該標(biāo)準(zhǔn)參數(shù)列表中給出等級劃分規(guī)定以及將重要性標(biāo)準(zhǔn)指標(biāo)從低到高劃分為三級、二級、一級共三個等級，根據(jù)參數(shù)的種類分為社會、政治、經(jīng)濟(jì)、生態(tài)環(huán)境以及國家法制程序和國家安全、國防保障五個部分。這些國家立法保護(hù)上的標(biāo)準(zhǔn)為關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定上提供明確認(rèn)定依據(jù)。

美國采用關(guān)鍵領(lǐng)域-關(guān)鍵業(yè)務(wù)-支撐關(guān)鍵業(yè)務(wù)所需資源的方式對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行認(rèn)定[1]，歐盟和日本也采用類似的認(rèn)定方式，如表1所示。

表1 國外關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定方法

2.2.2國內(nèi)認(rèn)定方法

我國在《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》中對關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定通常分為三個步驟，確定關(guān)鍵業(yè)務(wù)-確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)-根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失來認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。其中對關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)和認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施給出參考標(biāo)準(zhǔn)，各行業(yè)根據(jù)參考標(biāo)準(zhǔn)，結(jié)合自身的實(shí)際情況確定本地區(qū)、本部門、本行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施。

關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定過程中，應(yīng)當(dāng)多方參與，充分發(fā)揮有關(guān)專家作用，提高關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定的準(zhǔn)確性、合理性和科學(xué)性，認(rèn)定標(biāo)準(zhǔn)要不斷吸收實(shí)踐經(jīng)驗(yàn)，對不合理的地方實(shí)現(xiàn)動態(tài)調(diào)整。

3 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)措施

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)(Critical Information Infrastructure Protection，CIIP)包括關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)、物理設(shè)施、系統(tǒng)運(yùn)行人員、制度和政策法律。在信息技術(shù)層面是基于網(wǎng)絡(luò)安全層面下對關(guān)鍵信息基礎(chǔ)設(shè)施涉及計(jì)算機(jī)和通信資源的保護(hù)。

3.1 國外保護(hù)措施

美國2013 年發(fā)布的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架中，從識別、保護(hù)、檢測、響應(yīng)、恢復(fù)五個維度和資產(chǎn)管理、人員評估、安全意識培訓(xùn)、連續(xù)監(jiān)測、響應(yīng)恢復(fù)等方面加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理[2]。在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)上，美國、歐盟和日本除了國家/聯(lián)盟立法保護(hù)外，美國采用明確聯(lián)邦政府職責(zé)分工、制定國家保護(hù)計(jì)劃，網(wǎng)絡(luò)安全框架、政府與企業(yè)合作，信息共享等方式；歐盟采用加強(qiáng)評估、應(yīng)急計(jì)劃、協(xié)調(diào)機(jī)制、預(yù)防為主、國際合作[3]；日本采用信息共享、認(rèn)證評估、應(yīng)急響應(yīng)、協(xié)調(diào)機(jī)制、建立相關(guān)委員會等方式[4]，如表2所示。

表2 國外關(guān)鍵信息基礎(chǔ)設(shè)施主要保護(hù)措施

3.2 國內(nèi)保護(hù)措施

習(xí)近平總書記在2016年4月網(wǎng)絡(luò)安全和信息化工作座談會上的講話指出關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會運(yùn)行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是我國的一項(xiàng)國家戰(zhàn)略，我國在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》中指出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)堅(jiān)持頂層設(shè)計(jì)、整體防護(hù)，統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的原則，充分發(fā)揮運(yùn)營主體作用，社會各方積極參與，共同保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全。其中詳細(xì)給出關(guān)鍵崗位專業(yè)技術(shù)人員實(shí)行執(zhí)證上崗制度、監(jiān)測預(yù)警、應(yīng)急處置和檢測評估、安全信息共享機(jī)制、網(wǎng)絡(luò)安全事件應(yīng)對和災(zāi)難恢復(fù)能力等保護(hù)措施，明確了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的法律責(zé)任以及網(wǎng)絡(luò)安全保護(hù)義務(wù)。我國在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)上應(yīng)嚴(yán)格按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》，同時(shí)參考借鑒國內(nèi)外的經(jīng)驗(yàn)，結(jié)合具體實(shí)施單位情況制定實(shí)施措施，以下是我國現(xiàn)行的一些主要關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)措施。

3.2.1國家支持與保障

國家制定產(chǎn)業(yè)、財(cái)稅、金融、人才等政策支持關(guān)鍵信息基礎(chǔ)設(shè)施安全相關(guān)的技術(shù)、產(chǎn)品、服務(wù)創(chuàng)新，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，培養(yǎng)和選拔網(wǎng)絡(luò)安全人才，提高關(guān)鍵信息基礎(chǔ)設(shè)施的安全水平。國家建立建全安全保護(hù)法律，公安機(jī)關(guān)等部門依法打擊針對和利用關(guān)鍵信息基礎(chǔ)設(shè)施的各類違法活動。國家立足開放環(huán)境維護(hù)網(wǎng)絡(luò)安全，積極開展關(guān)鍵信息基礎(chǔ)設(shè)施安全領(lǐng)域的國際交流與合作。

3.2.2國家統(tǒng)一規(guī)劃協(xié)調(diào)，統(tǒng)一標(biāo)準(zhǔn)

對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，國家應(yīng)該進(jìn)行頂層設(shè)計(jì)，統(tǒng)一規(guī)劃協(xié)調(diào)。國家應(yīng)該根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施范圍對關(guān)鍵業(yè)務(wù)的保護(hù)標(biāo)準(zhǔn)進(jìn)行劃分，標(biāo)準(zhǔn)劃分要科學(xué)合理，經(jīng)過科學(xué)論證和實(shí)踐檢驗(yàn)。

3.2.3整體防護(hù)，重視細(xì)節(jié)

對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的首要任務(wù)是保護(hù)各個節(jié)點(diǎn)上的網(wǎng)絡(luò)安全，運(yùn)營節(jié)點(diǎn)是整體防護(hù)不可分拆的部分。木桶原理在大型系統(tǒng)的應(yīng)用就是指系統(tǒng)的整體安全水平取決于木桶各個組成木板的最短板。從基層運(yùn)營節(jié)點(diǎn)按樹形向根部歸并，保好基層節(jié)點(diǎn)安全，才能保好整體安全。

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要充分重視細(xì)節(jié)，嚴(yán)審各個細(xì)節(jié)的輸入，例如運(yùn)營者采購網(wǎng)絡(luò)設(shè)備及軟件產(chǎn)品時(shí)，要對產(chǎn)品進(jìn)行安全檢測、檢查安全缺陷、漏洞，消除安全隱患，對有安全隱患的產(chǎn)品一律不予采購。

3.2.4監(jiān)測預(yù)警，快速響應(yīng)

運(yùn)營者應(yīng)建立監(jiān)測預(yù)警、應(yīng)急處置恢復(fù)機(jī)制，不斷加強(qiáng)監(jiān)測預(yù)警機(jī)制[5]，對預(yù)警的處理時(shí)間做出實(shí)際測試，定期以實(shí)際應(yīng)急演練方式來模擬網(wǎng)絡(luò)環(huán)境受到威脅時(shí)，采取保護(hù)行動來檢驗(yàn)緊急情況下應(yīng)急機(jī)制的有效性，確保操作人員熟練準(zhǔn)確掌握操作方法。同時(shí)檢查網(wǎng)絡(luò)環(huán)境的健壯性，以及數(shù)據(jù)安全、數(shù)據(jù)恢復(fù)和系統(tǒng)的可用性。采取檢測防御的方式對數(shù)據(jù)非法訪問進(jìn)行自動記錄、跟蹤、及時(shí)發(fā)現(xiàn)和預(yù)警上報(bào)。一旦關(guān)鍵信息基礎(chǔ)設(shè)施受到威脅時(shí)，應(yīng)急響應(yīng)模式可以及時(shí)起動、及時(shí)清除危險(xiǎn)，恢復(fù)運(yùn)行環(huán)境。

3.2.5網(wǎng)絡(luò)威脅情報(bào)共享

運(yùn)營者要加強(qiáng)網(wǎng)絡(luò)威脅情報(bào)共享，重視網(wǎng)絡(luò)威脅情報(bào)的收集，將數(shù)據(jù)以可信的方式準(zhǔn)確記錄在數(shù)據(jù)庫中，必要時(shí)與其它運(yùn)營者或者國家機(jī)關(guān)共享。運(yùn)營者可以對共享數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，發(fā)現(xiàn)有價(jià)值的信息，幫助運(yùn)營者快速分析威脅數(shù)據(jù)、確定威脅來源、判定類別、提供決策幫助和解決方案，在本單位內(nèi)提前實(shí)施預(yù)防措施，一旦有已識別出的相同或類似的網(wǎng)絡(luò)威脅發(fā)生時(shí)，運(yùn)營者可以快速實(shí)施解決方案。

4 對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的優(yōu)化建議

4.1 國家加大支持力度

我國應(yīng)繼續(xù)加大對關(guān)鍵信息基礎(chǔ)設(shè)施科研機(jī)構(gòu)、大學(xué)、企業(yè)、運(yùn)營者在政策和經(jīng)費(fèi)上的支持，關(guān)注專業(yè)人才培養(yǎng)、培訓(xùn)和教育。

4.2 立足科學(xué)管理

運(yùn)營者應(yīng)充分重視科學(xué)管理的重要性，要充分做好計(jì)劃、組織、協(xié)調(diào)和控制的管理作用。采用科學(xué)管理方法，建立科學(xué)管理制度，設(shè)立信息安全部門，設(shè)立首席信息官CIO專門負(fù)責(zé)，聘請經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全領(lǐng)域管理專家對運(yùn)營保護(hù)模式進(jìn)行架構(gòu)設(shè)計(jì)，實(shí)施頂層管理，充分發(fā)揮專家作用。管理不是一成不變的，在管理中要采用PDCA循環(huán)，不斷接收反饋，持續(xù)改進(jìn)，加強(qiáng)保護(hù)效果。同時(shí)運(yùn)營者要采用實(shí)行風(fēng)險(xiǎn)管理、鼓勵科技創(chuàng)新，以發(fā)展的眼光來不斷加強(qiáng)安全保護(hù)能力。

4.3 重視人才培養(yǎng)

人才是立國和科技競爭之本，人才是現(xiàn)代企業(yè)中最重要的活用資源。運(yùn)營者要有國家戰(zhàn)略大局觀，立足長遠(yuǎn)制定關(guān)鍵人才培養(yǎng)計(jì)劃，提供人才戰(zhàn)略可持續(xù)發(fā)展的優(yōu)良環(huán)境，為人才提供廣闊的施展空間，無論是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)上的哪一環(huán)節(jié)都要以人才為中心，培養(yǎng)優(yōu)秀人才服務(wù)于關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)。

4.4 掌握核心技術(shù)

運(yùn)營者要掌握核心技術(shù)，不斷研發(fā)和部署先進(jìn)性技術(shù)對設(shè)施進(jìn)行保護(hù)。運(yùn)營者在網(wǎng)絡(luò)安全運(yùn)用上需要在硬件、軟件兩方面著手。

在硬件保護(hù)方式上可采用核心網(wǎng)絡(luò)跟外部環(huán)境進(jìn)行物理隔離的方式，可選用的方案有防火墻或者網(wǎng)閘等硬件設(shè)備。在軟件保護(hù)方式上，運(yùn)營者應(yīng)采取技術(shù)先進(jìn)、分層、可擴(kuò)展的軟件架構(gòu)，軟件要做到自主可控，排除安全隱患。在資源訪問上實(shí)行訪問控制、身份認(rèn)證、按角色授權(quán)、操作日志記錄、日志審計(jì)、防抵賴、監(jiān)控預(yù)警，數(shù)據(jù)要實(shí)行保密性處理、完整性驗(yàn)證，防篡改，運(yùn)行環(huán)境安全上采用防病毒軟件并及時(shí)更新病毒庫查殺內(nèi)部木馬等計(jì)算機(jī)病毒，杜絕一切安全隱患，保證關(guān)鍵信息基礎(chǔ)設(shè)施安全。在關(guān)鍵資源上應(yīng)有冗余備份能力、災(zāi)難恢復(fù)能力等安全保護(hù)措施。運(yùn)營者還需結(jié)合本單位現(xiàn)有硬件、軟件的實(shí)際部署情況，制定安全策略，并行物理、人工、技術(shù)等防護(hù)措施，切實(shí)提高對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)能力。

5 結(jié)論

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)任務(wù)艱巨，是一項(xiàng)長期并不斷改進(jìn)的工作，國家在政策支持、立法保障上給予充分保障，運(yùn)營者應(yīng)在思想上高度重視、從國家戰(zhàn)略高度按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》中的規(guī)定，結(jié)合實(shí)際，同時(shí)從科學(xué)管理、人才培養(yǎng)和技術(shù)能力多方面對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行保護(hù)，基于保護(hù)好各個節(jié)點(diǎn)的前提下進(jìn)行整體保護(hù)，提高風(fēng)險(xiǎn)防范和應(yīng)急處置能力，以發(fā)展的眼光確實(shí)加強(qiáng)保護(hù)能力，確保關(guān)系國計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施安全。

[1] 閏曉麗，孟洪杰．美歐關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定的做法及對我國的啟示[J].信息安全研究,2017(10)：2-3.

[2] 閆曉麗．關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)應(yīng)把握幾個要點(diǎn)[J].中國信息安全,2017(10)：2.

[3] 張弛崔，占華閏．美國關(guān)鍵基礎(chǔ)設(shè)施安全管理綜述[J].信息安全研究,2017(8)：5-7.

[4] 黃道麗，方婷．日本關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度及對我國的啟示[J].信息安全研究,2016(7)：1-3.

[5] 徐麗萍，張大偉．新形勢下的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)及思考[C]//第32次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集,2017(10)：3.