关键信息基础设施保护及其实践探讨

董亚南，赵改侠，谢宗晓

（中国金融认证中心，北京100032）

1 引言

随着信息化的快速发展和普及，关键信息基础设施在国民经济和社会发展中的基础性、重要性、战略性地位日益突出。各国也纷纷出台政策、法规， 将关键基础设施安全提升到国家安全的高度， 并开始重视对其网络安全的保护关键信息基础设施。本文首先对我国及美国在关键信息基础设施的定义和网络安全保护框架方面进行了分析，同时对我国在关键信息基础设施保护方面的标准的制定方面的内容进行了总结，最后对经济合作与发展组织以及欧盟在关键信息基础设施方面的标准、报告进行了说明。

2 关键信息基础设施的界定

随着网络安全形势的日益严峻，世界各国对网络空间的重视程度不断提升，信息安全已经上升到了国家战略层次，我国关键信息基础设施（Critical Information Infrastructure，CII）概念是在2014年2月27日召开的中央网络安全和信息化领导小组第一次会议中提到。

由国家互联网信息办公室于2016年12月27日发布并实施的《国家网络空间安全战略》[1]，其首次给出关键信息基础设施定义：“关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等”。且该定义在《信息安全技术 关键信息基础设施安全控制措施（征求意见稿）》[2]等标准中进行了引用。

美国[3,4]由于其在IT及其他诸多方面的领导地位，是最早解决关键基础设施问题的国家。2001年，美国在《美国爱国者法案》中对关键基础设施进行了定义：Critical infrastructure as “systems and assets, whether physical or virtual, so vital to the United States that the incapacity or destruction of such systems and assets would have a debilitating impact on security, national economic security, national public health or safety, or any combination of those matters”（ 所谓“关键基础设施”是那些实体或虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响）。

可以注意到，以上定义中出现了“关键信息基础设施”和“关键基础设施”。信息和通信技术的发展使关键基础设施相互关联、相互依赖，实际过程中保护工作的实际对象并不是静态基础设施，而是服务、物理和电子（信息）流、它们为社会承担的角色和功能，尤其是通过基础设施提供的核心价值，也就是说信息基础设施要素具有重要的价值和角色，处于连接各个基础设施部门的纽带地位，支撑着其他基础设施。目前来说“关键基础设施”和“关键信息基础设施”这两个表述可以通用。

尽管我国和美国在“关键信息基础设施”定义存在细节上的差异，但是总体上都把其瘫痪或遭到破坏会对一个国家的安全、经济和社会福祉产生削弱行影响的基础设施视为关键信息基础设施。

3 关键信息基础设施保护框架/方法论

随着来自外部与内部的威胁压力持续升级，负责关键基础设施的组织机构需要采一种一致且可复用的方法以发现、评估并管理网络安全风险。无论组织自身规模、威胁暴露程度以及网络安全复杂性，都需要通过遵循一种持续可控的方法以实现安全保障。

关键信息基础设施的安全防护可以从风险管控为出发点，建立一个总体性、基础性的安全框架，在具体实施中，关键信息基础设施运营单位可以根据统一的安全框架，制定符合自身应用需求的标准或行业实践指南。全国信息安全标准化技术委员会在2018年3月18日发布的《信息安全技术 关键信息基础设施网络安全保护要求（征求意见稿）》[5]中明确了关键信息基础设施网络安全保护环节，包括识别认定、安全防护、检测评估、监测预警及应急处置，如图1所示。

图1 关键信息基础设施网络安全保护环节

美国国家标准和技术研究院（NIST）在《Framework for Improving Critical Infrastructure Cybersecurity（关键基础设施网络安全改善框架）》[6]中，明确了美国应用于关键基础设施通用领域的网络安全框架，框架侧重于利用业务驱动性因素指导网络安全活动，并将网络安全风险作为组织风险管理流程中的一部分。该框架包含框架核心、实现层及框架概况。其中框架核心主要包括功能、类别、子类别及信息性参考，功能将最基层的网络安全活动组织起来，具体功能涵盖识别、防护、检测、响应与恢复，如图2所示。

图2 框架核心结构

虽然上述关键信息基础设施网络安全框架均划分为五个环节，且不是一一对应，但是整体框架流程是一致的。其中：第一，识别关键信息基础设施风险；第二，制定并实施适当的安全防护措施；第三，进行适当的行动（检测评估、安全连续监测等）判断网络安全事件是否发生；第四，对检测到的网络安全事件采取行动，恢复正常运营，降低网络安全事件带来的实际影响，其中对应关系如表1所示。

表1 框架对比

4 国家标准研发进展

基于《中华人民共和国网络安全法》及相关法律法规要求，结合目前已经开展的关键信息基础设施网络安全保护工作，全国信息安全标准化委员会组织开展了系列标准的制定，主要有五项标准，如表2所示。

全国信息安全标准化委员会充分借鉴我国相关部门在重要领域网络安全审查、网络安全检查等重点工作的成熟经验，充分吸纳国外在关键基础设施安全保护方面的成功举措，结合我国现有针对传统信息系统的信息安全保障体系等成果，通过制定关键基础设施保护基础类、基线类、实施类、测评类标准，形成了一套标准化保护体系，为更好地保护关键信息基础设施奠定了基础。

5 其他可参考的标准/报告

保障关键信息基础设施的安全对于整个社会的运转具有至关重要的意义，各种国际组织通过颁布一系列法律、政策等以形成一套关键信息基础设施保护体系，下面将对经济合作与发展组织（OECD）、欧盟[9]在关键基础设施保护方面的标准或报告进行简要说明，如表3所示。

总的来看，在关键信息基础设施保护方面，随着国际局势的不断变化，对关键基础设施保护的迫切需求，经济合作与发展组织（OECD）和欧盟基于国际条约，提出了多项建设性政策和建议，加强了各成员国与其他国际组织合作，完善了关键基础设施法律体系、政策保障制度。

6 结束语

我国《中华人民共和国网络安全法》的施行以及《关键信息基础设施安全保护条例（征求意见稿）》[19]的发布，展现了国家对该项工作的重视，也为进一步开展关键信息基础设施保护工作指明了方向。本文针对全国信息安全标准化委员会组织开展的系列标准的制定OECD以及欧盟的在这方面的标准或经验进行了简述。关键信息基础设施安全保护任务艰巨，是一项长期并不断改进的工作，国家在政策支持、立法保障上给予充分保障，运营者应在思想上高度重视，从科学管理、人才培养和技术能力多方面确保关系国计民生的关键信息基础设施安全。

表2 国家标准

表3 OECD及欧盟在CIIP方面的标准或报告

表3 OECD及欧盟在CIIP方面的标准或报告（续）