謝宗曉 　甄杰　董坤祥

信息安全管理系列之七十一

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（中華人民共和國國務(wù)院令第745號）自2021年9月1日正式開始實施，這標(biāo)志著國內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施保護將進(jìn)入一個新的階段。在某些國家，關(guān)鍵基礎(chǔ)設(shè)施保護戰(zhàn)略已經(jīng)成為網(wǎng)絡(luò)安全戰(zhàn)略的代名詞。下文對金融領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全治理進(jìn)行了初步的探討。

謝宗曉（特約編輯）

摘要：從安全治理的角度討論了金融關(guān)鍵信息基礎(chǔ)設(shè)施保護的實踐。首先，界定了金融關(guān)鍵信息基礎(chǔ)設(shè)施保護所包括的內(nèi)容，區(qū)分了不同的關(guān)鍵信息基礎(chǔ)設(shè)施保護;然后，分析了關(guān)鍵信息基礎(chǔ)設(shè)施保護在網(wǎng)絡(luò)安全中的重要作用，尤其是對于高度數(shù)字化/信息化的金融行業(yè);最后，從“良好實踐”的角度探討了金融關(guān)鍵信息基礎(chǔ)設(shè)施保護的兩個層次。同時，也對“治理”和“管理”異同之處進(jìn)行了初步的探討，這也是強調(diào)治理重要性的原因所在。

關(guān)鍵詞：信息安全治理 關(guān)鍵信息基礎(chǔ)設(shè)施保護 金融行業(yè)

Discussion on Security Governance of Financial Critical Information Infrastructure

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （Chongqing Technology and Business University）

Dong Kunxiang （Shandong University of Finance and Economics）

Abstract： This paper discusses the practice of financial critical information infrastructure protection from the perspective of security governance. First， it defines the contents of financial critical information infrastructure protection， and distinguishes different critical information infrastructure protection. Then， it analyzes the important role of critical information infrastructure protection in network security， especially for the highly digitized / informationized financial industry. Finally， two levels of financial critical information infrastructure protection are discussed from the perspective of "good practice". At the same time， the similarities and differences between "governance" and "management" are preliminarily discussed， which is also the reason for emphasizing the importance of governance.

Key words：? information security governance， critical information infrastructure protection （CIIP）， financial industry

1 金融關(guān)鍵信息基礎(chǔ)設(shè)施保護的范圍

關(guān)鍵信息基礎(chǔ)設(shè)施不僅具備自身重要性，而且其他關(guān)鍵基礎(chǔ)設(shè)施的正常運行也常常依賴于此。因此，關(guān)鍵信息基礎(chǔ)設(shè)施不僅包括關(guān)鍵的信息系統(tǒng)，同時，也包括了關(guān)鍵基礎(chǔ)設(shè)施的信息技術(shù)模塊。對于金融關(guān)鍵信息基礎(chǔ)設(shè)施而言，更重要是強調(diào)后者。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第一章，第二條：本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

以網(wǎng)絡(luò)（network）為例，相關(guān)的金融關(guān)鍵信息基礎(chǔ)設(shè)施主要分為四類：1）公用網(wǎng)絡(luò)提供的服務(wù)，例如，電子銀行，用戶通過VPN或SSL/TLS等方式接入，金融機構(gòu)自己負(fù)責(zé)安全管理，但是服務(wù)能力，包括系統(tǒng)恢復(fù)能力等基本依賴于信息技術(shù)供應(yīng)商;2）被提供網(wǎng)絡(luò)，例如，銀行接入SWIFT（環(huán)球同業(yè)銀行金融電訊協(xié)會），對于銀行而言，基本沒有控制能力，只是作為用戶接入;3）共享網(wǎng)絡(luò)，例如，與其他機構(gòu)進(jìn)行業(yè)務(wù)交互的網(wǎng)絡(luò)，金融機構(gòu)與提供商可以共同管理安全;4）私有網(wǎng)絡(luò)，對于銀行而言，這類網(wǎng)絡(luò)一般運行主營業(yè)務(wù)，例如，從數(shù)據(jù)中心至分支機構(gòu)，雖然網(wǎng)絡(luò)是私有的，但是服務(wù)是信息技術(shù)供應(yīng)商提供的，銀行自身對于恢復(fù)能力等并沒有管理能力。

2 網(wǎng)絡(luò)安全中關(guān)鍵信息基礎(chǔ)設(shè)施保護的重要性

習(xí)近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會議中指出，沒有網(wǎng)絡(luò)安全就沒有國家安全。網(wǎng)絡(luò)安全（cybersecurity）是網(wǎng)絡(luò)空間安全（cyberspace security）的簡稱。網(wǎng)絡(luò)空間是一個由機器、用戶及其關(guān)系所組成的虛擬世界，網(wǎng)絡(luò)空間雖然強調(diào)“虛擬性”，并不是否認(rèn)其客觀存在性，這個數(shù)字世界已經(jīng)成為人們生活不可或缺的一部分，正源于此，網(wǎng)絡(luò)空間成為區(qū)別于自然空間和社會空間的第三大空間。

從網(wǎng)絡(luò)空間的定義可以得知，網(wǎng)絡(luò)空間的存在是建立在軟硬件所組成的信息系統(tǒng)的基礎(chǔ)上。在ITU-T X.1205《網(wǎng)絡(luò)安全綜述》中描述的網(wǎng)絡(luò)安全的一般目標(biāo)為：可用性、完整性和機密性。這個目標(biāo)的排序與ISO/IEC 27000：2018《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述與詞匯》中對于信息安全的目標(biāo)描述是有區(qū)別的，信息安全是為了保持信息的機密性、完整性和可用性。

可見，可用性在網(wǎng)絡(luò)安全中具有更重要的意義，這也是金融關(guān)鍵信息基礎(chǔ)設(shè)施保護在網(wǎng)絡(luò)安全時代成為核心保護目標(biāo)的原因。因為只有金融關(guān)鍵信息基礎(chǔ)設(shè)施正常運行，才能保證網(wǎng)絡(luò)空間的真實存在?？傊鹑陉P(guān)鍵信息基礎(chǔ)設(shè)施保護在網(wǎng)絡(luò)安全中是最重要的一部分，在涉及國家安全時，更是如此。

隨著網(wǎng)上支付的迅速發(fā)展，金融服務(wù)是虛擬化最明顯的行業(yè)之一。在傳統(tǒng)的支付體系中，貨幣是最常見的媒介，但是在網(wǎng)絡(luò)空間中，基本已經(jīng)實現(xiàn)了不需要任何實物作為支付媒介，就可以完成交易。正源于此，金融領(lǐng)域成為網(wǎng)絡(luò)犯罪（cybercrime）的重災(zāi)區(qū)，據(jù)歐盟網(wǎng)絡(luò)與信息安全局（ENSIA）發(fā)布的報告《2016年影響關(guān)鍵信息基礎(chǔ)設(shè)施的安全事件損失》，金融關(guān)鍵信息基礎(chǔ)設(shè)施每年平均損失可達(dá)13.50億美元，且在所有的行業(yè)中位列第一，與能源行業(yè)一并遙遙領(lǐng)先，排名第三的技術(shù)行業(yè)損失就下降為8.09億美元。

3 從治理視角探討關(guān)鍵信息基礎(chǔ)設(shè)施保護

嚴(yán)格意義上講，治理和管理是不同的范疇。治理的拉丁文原意是“引航”的意思，這清晰地指明了治理與管理的不同之處，或者說，治理更偏重方向性問題，管理更關(guān)注實際要解決的問題。這種差異導(dǎo)致在越宏觀的領(lǐng)域，治理詞匯出現(xiàn)得越頻繁，例如，社會治理、環(huán)境治理、公司治理;在細(xì)分領(lǐng)域中出現(xiàn)的就比較少，例如，信息安全治理就少有討論。這導(dǎo)致在信息安全情境中長期存在“重技術(shù)，輕管理”的現(xiàn)象，實際更嚴(yán)重的是“輕治理”。就整個企業(yè)環(huán)境而言，正如學(xué)者李維安所指出：公司治理已遠(yuǎn)遠(yuǎn)落后于技術(shù)變化[1]。

隨著網(wǎng)絡(luò)安全而凸顯出重要性的關(guān)鍵信息基礎(chǔ)設(shè)施保護應(yīng)該有不同的思路，至少應(yīng)該做到治理與管理并重，主要由于關(guān)鍵信息基礎(chǔ)設(shè)施保護的視角更宏觀，與網(wǎng)絡(luò)安全等級保護一樣，關(guān)鍵信息基礎(chǔ)設(shè)施保護更多地從國家安全和公眾利益考慮，雖然具體控制最終會落實到單個組織或機構(gòu)，但是良好的治理結(jié)構(gòu)是前提。具體到金融關(guān)鍵信息基礎(chǔ)設(shè)施保護，信息系統(tǒng)分散在不同的金融機構(gòu)中，作為監(jiān)管機構(gòu)的中國人民銀行與中國銀行保險監(jiān)督管理委員會，從治理角度可以給出更詳細(xì)的監(jiān)管要求，從管理角度可以提供更多的指導(dǎo)，對于信息系統(tǒng)的控制則完全是具體金融機構(gòu)的責(zé)任。

其次，形如ISO/IEC 27014： 2013《信息技術(shù) 安全技術(shù) 信息安全管理》這樣的信息安全治理標(biāo)準(zhǔn)，應(yīng)用范圍是單個組織，并不涉及整體的治理設(shè)計，或者說，如果按照李維安的公司治理理論，公司治理是用規(guī)則和制度來約束和重塑利益相關(guān)者之間的關(guān)系，在這個視角而言，關(guān)鍵信息基礎(chǔ)設(shè)施保護需要監(jiān)管機構(gòu)的統(tǒng)一協(xié)調(diào)，金融關(guān)鍵信息基礎(chǔ)設(shè)施保護不僅僅是金融基礎(chǔ)設(shè)施中信息技術(shù)模塊的保護，還要包括諸多與信息技術(shù)關(guān)鍵基礎(chǔ)設(shè)施的交互。

4 關(guān)鍵信息基礎(chǔ)設(shè)施保護安全治理架構(gòu)

4.1 關(guān)鍵信息基礎(chǔ)設(shè)施保護安全治理的兩個層次

關(guān)鍵信息基礎(chǔ)設(shè)施保護的安全治理分成兩個層次：第一個層次是監(jiān)管機構(gòu)在統(tǒng)籌的角度對金融關(guān)鍵信息基礎(chǔ)設(shè)施保護設(shè)計治理架構(gòu)，從而對金融機構(gòu)各自運維的關(guān)鍵信息基礎(chǔ)設(shè)施實現(xiàn)有效的監(jiān)管，從這個角度講，治理更注重制度的設(shè)計和利益的重塑;第二個層次的治理是金融機構(gòu)的內(nèi)部治理結(jié)構(gòu)問題，一般而言，在組織內(nèi)部，治理屬于董事會和高管的責(zé)任，從這個角度講，治理是考慮“內(nèi)外合規(guī)”的制度設(shè)計，治理是信息安全管理的上層建筑。

4.2 應(yīng)用“良好實踐”的思路探討治理的架構(gòu)

從“創(chuàng)新擴散”的角度而言，每一項新生共性事件都應(yīng)該有對應(yīng)的“良好實踐”。以網(wǎng)絡(luò)安全事件為例，跨組織的信息共享是有效預(yù)防的最重要途徑之一，以此理論為基礎(chǔ)，美國在1988年成立了CERT（計算機安全應(yīng)急響應(yīng)組），這種組織架構(gòu)在全世界范圍內(nèi)得到了擴散，并導(dǎo)致了各個國家在事件信息共享方面在組織形式上的制度性同形，區(qū)域如歐盟成立了歐盟計算機安全應(yīng)急響應(yīng)組（CERT-EU），行業(yè)如工控系統(tǒng)計算機安全應(yīng)急響應(yīng)組（ICS-CERT）等類似的機構(gòu)。這可以認(rèn)為是在組織架構(gòu)方面關(guān)于信息安全事件管理的良好實踐。

但是，信息安全自20世紀(jì)40年代發(fā)展到今天，信息安全治理依然沒有業(yè)界所公認(rèn)的模型、架構(gòu)或標(biāo)準(zhǔn)體系。在信息安全管理方面，以ISO/IEC 27000標(biāo)準(zhǔn)族為代表的“良好實踐”，則定義了完整的方法論、控制集、標(biāo)準(zhǔn)體系以及安全架構(gòu)等各個方面。例如，ISO/IEC 27000定義了標(biāo)準(zhǔn)族的術(shù)語，并介紹了標(biāo)準(zhǔn)族的架構(gòu);ISO/IEC 27001定義了信息安全管理體系（ISMS）的要求，通俗而言就是定義了信息安全管理體系應(yīng)該是什么樣子;ISO/IEC 27002給出了信息安全管理的控制集，其中包括14個控制域，35個控制目標(biāo)，114項控制;ISO/IEC 27003則是信息安全管理體系如何在一個具體組織內(nèi)的部署指南，ISO/IEC 27004討論了信息安全管理體系的監(jiān)視與測量的細(xì)節(jié)。以此類推，從ISO/IEC 27000直至ISO/IEC 27059定義了信息安全管理的方方面面。

4.3 金融行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施保護治理架構(gòu)

從跨組織的金融關(guān)鍵信息基礎(chǔ)設(shè)施保護而言，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》第二章，第四條：本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作的部門（以下簡稱：保護工作部門）。中國人民銀行和中國銀行保險監(jiān)督管理委員會也可以按照“良好實踐”的思路進(jìn)行全行業(yè)的指導(dǎo)和監(jiān)管工作。

首先，可以建立全行業(yè)的行業(yè)信息共享機制，這類似于事件管理，當(dāng)然也可以將相關(guān)的職能與計算機安全應(yīng)急響應(yīng)等功能合并處理。此外，從行業(yè)角度，應(yīng)該建立關(guān)鍵信息基礎(chǔ)設(shè)施的識別標(biāo)準(zhǔn)及指南，在識別統(tǒng)計金融關(guān)鍵信息基礎(chǔ)設(shè)施后，從控制和監(jiān)視的角度建立一個完整的體系，這實際與“戴明環(huán)（PDCA）”的邏輯是保持一致的，即計劃、實施、監(jiān)視和改進(jìn)。該過程與金融機構(gòu)內(nèi)部的關(guān)鍵信息基礎(chǔ)設(shè)施保護治理結(jié)構(gòu)存在一定的差別，在行業(yè)角度強調(diào)的監(jiān)管，所以不需要過度考慮響應(yīng)和恢復(fù)等具體的工作。

4.4 金融機構(gòu)內(nèi)部的關(guān)鍵信息基礎(chǔ)設(shè)施保護治理結(jié)構(gòu)

從組織內(nèi)部的金融關(guān)鍵信息基礎(chǔ)設(shè)施保護而言，主要考慮識別金融關(guān)鍵信息基礎(chǔ)設(shè)施以及具體的控制部署等內(nèi)容。從落地角度來說，組織一般不會拋開現(xiàn)有的體系重新部署金融關(guān)鍵信息基礎(chǔ)設(shè)施保護，例如，一般需要考慮與現(xiàn)有的網(wǎng)絡(luò)安全等級保護或者信息安全管理體系等進(jìn)行整合。從安全治理的角度而言，整合是非常有必要的。

單個組織的整合治理結(jié)構(gòu)的出發(fā)點首要考慮的是主營業(yè)務(wù)，對于金融行業(yè)而言尤其如此?，F(xiàn)有的治理結(jié)構(gòu)已經(jīng)存在公司治理、信息技術(shù)治理直至信息安全治理等多個體系，在考慮整合的時候，一般而言，治理層都是統(tǒng)一的，即涉及董事會和高管，只是領(lǐng)域不同而已。

目前可以參考的關(guān)鍵信息基礎(chǔ)設(shè)施保護良好實踐，在討論具體控制的時候大都采用了引用的形式，這主要是由于之前已經(jīng)發(fā)布過諸多類似的標(biāo)準(zhǔn)或規(guī)范;由于網(wǎng)絡(luò)安全與金融關(guān)鍵信息基礎(chǔ)設(shè)施保護的緊密關(guān)系，有時候兩者并未做嚴(yán)格的區(qū)分，例如，美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的網(wǎng)絡(luò)安全框架全稱為《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，ISO/IEC TR 27103：2018《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全和ISO、IEC標(biāo)準(zhǔn)》雖然沒有明確提出關(guān)鍵信息基礎(chǔ)設(shè)施保護等概念，但是其框架實際沿用了美國國家標(biāo)準(zhǔn)與技術(shù)研究院上述文檔的框架，即識別、保護、檢測、響應(yīng)和恢復(fù)。這也佐證了關(guān)鍵信息基礎(chǔ)設(shè)施保護在網(wǎng)絡(luò)安全中的重要性。

值得強調(diào)的是，無論是通用的關(guān)鍵信息基礎(chǔ)設(shè)施保護框架，還是專門討論金融行業(yè)的標(biāo)準(zhǔn)，都強調(diào)了“恢復(fù)能力”。Udo Helmbrecht（歐盟網(wǎng)絡(luò)與信息安全局執(zhí)行主席）在數(shù)字金融年會上提出，恢復(fù)力需要內(nèi)嵌入系統(tǒng)中，并且要將網(wǎng)絡(luò)安全作為建設(shè)“更具恢復(fù)能力的歐洲”的推動力。

5 小結(jié)

綜上所述，對于金融關(guān)鍵信息基礎(chǔ)設(shè)施保護，從行業(yè)全局的角度而言，監(jiān)管機構(gòu)應(yīng)該充分借鑒其他行業(yè)或者其他領(lǐng)域的良好實踐，例如，制度性同形，設(shè)計良好的治理架構(gòu);從單個組織的角度而言，金融機構(gòu)應(yīng)該在考慮自身業(yè)務(wù)要求的基礎(chǔ)上，在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面重點提高系統(tǒng)的恢復(fù)能力，并根據(jù)已有的良好實踐，如《NIST網(wǎng)絡(luò)安全框架V1.1》和ISO/IEC TR 27103：2018等，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護體系，并積極與現(xiàn)有體系進(jìn)行整合。

參考文獻(xiàn)

[1] 李維安.公司治理學(xué)：第4版[M]. 北京：高等教育出版社， 2020.