高煥新,高永前

(中國電子信息集團有限公司第六研究所，北京 100083)

0 引言

關(guān)鍵信息基礎(chǔ)設(shè)施保護是各領(lǐng)域關(guān)鍵業(yè)務(wù)正常運行的保障，文章通過分析對比美國、歐盟和日本在關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定方式以及保護措施，結(jié)合我國網(wǎng)絡(luò)安全法律法規(guī)、信息安全相關(guān)技術(shù)、科學(xué)管理以及實際工作，給出我國在關(guān)鍵信息基礎(chǔ)設(shè)施保護運營措施上的優(yōu)化建議，目的是提高我國關(guān)鍵信息基礎(chǔ)設(shè)施保護運營者的安全保護能力、更好地實施關(guān)鍵信息基礎(chǔ)設(shè)施保護的國家戰(zhàn)略。

1 關(guān)鍵信息基礎(chǔ)設(shè)施概念

關(guān)鍵信息基礎(chǔ)設(shè)施(Critical Information Infrastructure，CII)是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，將會對國家政治、經(jīng)濟、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴(yán)重威脅與損失。2016年11月7日，我國十二屆全國人民代表大會常務(wù)委員會第二十四次會議通過了《中華人民共和國網(wǎng)絡(luò)安全法》(以下簡稱《網(wǎng)絡(luò)安全法》)，自2017年6月1日起施行。《網(wǎng)絡(luò)安全法》在對關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全中指出，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。在法律上對關(guān)鍵信息基礎(chǔ)設(shè)施的概念做出界定，對開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護提供法律依據(jù)。

在國外，美國將關(guān)鍵信息基礎(chǔ)設(shè)施定義為一種計算機資源，一旦其能力喪失或遭到破壞，就會影響國家安全、經(jīng)濟安全、公共健康和安全。結(jié)合我國和美國對關(guān)鍵信息基礎(chǔ)設(shè)施的定義，關(guān)鍵信息基礎(chǔ)設(shè)施在國家層面是支撐國計民生正常運行，遭受網(wǎng)絡(luò)攻擊后可影響國家安全的設(shè)施；在企事業(yè)單位層面關(guān)鍵信息基礎(chǔ)設(shè)施概括為關(guān)鍵業(yè)務(wù)的一種計算機和通信資源。

2 關(guān)鍵信息基礎(chǔ)設(shè)施范圍及認(rèn)定

《網(wǎng)絡(luò)安全法》在2017年6月1日施行后，國家互聯(lián)網(wǎng)信息辦公室在2017年7月11日發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》，其中對關(guān)鍵信息基礎(chǔ)設(shè)施范圍及認(rèn)定作出說明。

2.1 關(guān)鍵信息基礎(chǔ)設(shè)施范圍

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》中建議關(guān)鍵信息基礎(chǔ)設(shè)施范圍應(yīng)包括政府機關(guān)，能源，金融，交通，水利等、電信、國防、通訊和其它重要單位五方面。隨后國家部門發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》中指出關(guān)鍵信息基礎(chǔ)設(shè)施的范圍包括網(wǎng)站類、平臺類和生產(chǎn)業(yè)務(wù)類系統(tǒng)三類。

2.2 關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定

國內(nèi)外在關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定上基本上采用立法保護、明確標(biāo)準(zhǔn)的方式。

2.2.1國外認(rèn)定方法

俄羅斯早在 2000年由普京總統(tǒng)簽署了《俄羅斯聯(lián)邦信息安全學(xué)說》，不斷加大在關(guān)鍵信息基礎(chǔ)設(shè)施上的立法。在2018年1月1日《俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施安全法》生效，作為該安全法的附屬性文件，2018年2月8日，俄羅斯聯(lián)邦政府通過第127號決議《關(guān)于確認(rèn)俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體等級劃分的規(guī)定，以及俄羅斯聯(lián)邦關(guān)鍵信息基礎(chǔ)設(shè)施客體重要性標(biāo)準(zhǔn)參數(shù)列表》，該標(biāo)準(zhǔn)參數(shù)列表中給出等級劃分規(guī)定以及將重要性標(biāo)準(zhǔn)指標(biāo)從低到高劃分為三級、二級、一級共三個等級，根據(jù)參數(shù)的種類分為社會、政治、經(jīng)濟、生態(tài)環(huán)境以及國家法制程序和國家安全、國防保障五個部分。這些國家立法保護上的標(biāo)準(zhǔn)為關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定上提供明確認(rèn)定依據(jù)。

美國采用關(guān)鍵領(lǐng)域-關(guān)鍵業(yè)務(wù)-支撐關(guān)鍵業(yè)務(wù)所需資源的方式對關(guān)鍵信息基礎(chǔ)設(shè)施進行認(rèn)定[1]，歐盟和日本也采用類似的認(rèn)定方式，如表1所示。

表1 國外關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定方法

2.2.2國內(nèi)認(rèn)定方法

我國在《關(guān)鍵信息基礎(chǔ)設(shè)施確定指南(試行)》中對關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定通常分為三個步驟，確定關(guān)鍵業(yè)務(wù)-確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)-根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失來認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。其中對關(guān)鍵業(yè)務(wù)、關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)和認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施給出參考標(biāo)準(zhǔn)，各行業(yè)根據(jù)參考標(biāo)準(zhǔn)，結(jié)合自身的實際情況確定本地區(qū)、本部門、本行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施。

關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定過程中，應(yīng)當(dāng)多方參與，充分發(fā)揮有關(guān)專家作用，提高關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定的準(zhǔn)確性、合理性和科學(xué)性，認(rèn)定標(biāo)準(zhǔn)要不斷吸收實踐經(jīng)驗，對不合理的地方實現(xiàn)動態(tài)調(diào)整。

3 關(guān)鍵信息基礎(chǔ)設(shè)施保護措施

關(guān)鍵信息基礎(chǔ)設(shè)施保護(Critical Information Infrastructure Protection，CIIP)包括關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)、物理設(shè)施、系統(tǒng)運行人員、制度和政策法律。在信息技術(shù)層面是基于網(wǎng)絡(luò)安全層面下對關(guān)鍵信息基礎(chǔ)設(shè)施涉及計算機和通信資源的保護。

3.1 國外保護措施

美國2013 年發(fā)布的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架中，從識別、保護、檢測、響應(yīng)、恢復(fù)五個維度和資產(chǎn)管理、人員評估、安全意識培訓(xùn)、連續(xù)監(jiān)測、響應(yīng)恢復(fù)等方面加強網(wǎng)絡(luò)安全風(fēng)險管理[2]。在關(guān)鍵信息基礎(chǔ)設(shè)施保護上，美國、歐盟和日本除了國家/聯(lián)盟立法保護外，美國采用明確聯(lián)邦政府職責(zé)分工、制定國家保護計劃，網(wǎng)絡(luò)安全框架、政府與企業(yè)合作，信息共享等方式；歐盟采用加強評估、應(yīng)急計劃、協(xié)調(diào)機制、預(yù)防為主、國際合作[3]；日本采用信息共享、認(rèn)證評估、應(yīng)急響應(yīng)、協(xié)調(diào)機制、建立相關(guān)委員會等方式[4]，如表2所示。

表2 國外關(guān)鍵信息基礎(chǔ)設(shè)施主要保護措施

3.2 國內(nèi)保護措施

習(xí)近平總書記在2016年4月網(wǎng)絡(luò)安全和信息化工作座談會上的講話指出關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重。關(guān)鍵信息基礎(chǔ)設(shè)施保護是我國的一項國家戰(zhàn)略，我國在《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》中指出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護堅持頂層設(shè)計、整體防護，統(tǒng)籌協(xié)調(diào)、分工負(fù)責(zé)的原則，充分發(fā)揮運營主體作用，社會各方積極參與，共同保護關(guān)鍵信息基礎(chǔ)設(shè)施安全。其中詳細(xì)給出關(guān)鍵崗位專業(yè)技術(shù)人員實行執(zhí)證上崗制度、監(jiān)測預(yù)警、應(yīng)急處置和檢測評估、安全信息共享機制、網(wǎng)絡(luò)安全事件應(yīng)對和災(zāi)難恢復(fù)能力等保護措施，明確了關(guān)鍵信息基礎(chǔ)設(shè)施運營者在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的法律責(zé)任以及網(wǎng)絡(luò)安全保護義務(wù)。我國在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護上應(yīng)嚴(yán)格按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》，同時參考借鑒國內(nèi)外的經(jīng)驗，結(jié)合具體實施單位情況制定實施措施，以下是我國現(xiàn)行的一些主要關(guān)鍵信息基礎(chǔ)設(shè)施保護措施。

3.2.1國家支持與保障

國家制定產(chǎn)業(yè)、財稅、金融、人才等政策支持關(guān)鍵信息基礎(chǔ)設(shè)施安全相關(guān)的技術(shù)、產(chǎn)品、服務(wù)創(chuàng)新，推廣安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，培養(yǎng)和選拔網(wǎng)絡(luò)安全人才，提高關(guān)鍵信息基礎(chǔ)設(shè)施的安全水平。國家建立建全安全保護法律，公安機關(guān)等部門依法打擊針對和利用關(guān)鍵信息基礎(chǔ)設(shè)施的各類違法活動。國家立足開放環(huán)境維護網(wǎng)絡(luò)安全，積極開展關(guān)鍵信息基礎(chǔ)設(shè)施安全領(lǐng)域的國際交流與合作。

3.2.2國家統(tǒng)一規(guī)劃協(xié)調(diào)，統(tǒng)一標(biāo)準(zhǔn)

對關(guān)鍵信息基礎(chǔ)設(shè)施保護，國家應(yīng)該進行頂層設(shè)計，統(tǒng)一規(guī)劃協(xié)調(diào)。國家應(yīng)該根據(jù)關(guān)鍵信息基礎(chǔ)設(shè)施范圍對關(guān)鍵業(yè)務(wù)的保護標(biāo)準(zhǔn)進行劃分，標(biāo)準(zhǔn)劃分要科學(xué)合理，經(jīng)過科學(xué)論證和實踐檢驗。

3.2.3整體防護，重視細(xì)節(jié)

對關(guān)鍵信息基礎(chǔ)設(shè)施保護的首要任務(wù)是保護各個節(jié)點上的網(wǎng)絡(luò)安全，運營節(jié)點是整體防護不可分拆的部分。木桶原理在大型系統(tǒng)的應(yīng)用就是指系統(tǒng)的整體安全水平取決于木桶各個組成木板的最短板。從基層運營節(jié)點按樹形向根部歸并，保好基層節(jié)點安全，才能保好整體安全。

關(guān)鍵信息基礎(chǔ)設(shè)施保護要充分重視細(xì)節(jié)，嚴(yán)審各個細(xì)節(jié)的輸入，例如運營者采購網(wǎng)絡(luò)設(shè)備及軟件產(chǎn)品時，要對產(chǎn)品進行安全檢測、檢查安全缺陷、漏洞，消除安全隱患，對有安全隱患的產(chǎn)品一律不予采購。

3.2.4監(jiān)測預(yù)警，快速響應(yīng)

運營者應(yīng)建立監(jiān)測預(yù)警、應(yīng)急處置恢復(fù)機制，不斷加強監(jiān)測預(yù)警機制[5]，對預(yù)警的處理時間做出實際測試，定期以實際應(yīng)急演練方式來模擬網(wǎng)絡(luò)環(huán)境受到威脅時，采取保護行動來檢驗緊急情況下應(yīng)急機制的有效性，確保操作人員熟練準(zhǔn)確掌握操作方法。同時檢查網(wǎng)絡(luò)環(huán)境的健壯性，以及數(shù)據(jù)安全、數(shù)據(jù)恢復(fù)和系統(tǒng)的可用性。采取檢測防御的方式對數(shù)據(jù)非法訪問進行自動記錄、跟蹤、及時發(fā)現(xiàn)和預(yù)警上報。一旦關(guān)鍵信息基礎(chǔ)設(shè)施受到威脅時，應(yīng)急響應(yīng)模式可以及時起動、及時清除危險，恢復(fù)運行環(huán)境。

3.2.5網(wǎng)絡(luò)威脅情報共享

運營者要加強網(wǎng)絡(luò)威脅情報共享，重視網(wǎng)絡(luò)威脅情報的收集，將數(shù)據(jù)以可信的方式準(zhǔn)確記錄在數(shù)據(jù)庫中，必要時與其它運營者或者國家機關(guān)共享。運營者可以對共享數(shù)據(jù)進行大數(shù)據(jù)分析，發(fā)現(xiàn)有價值的信息，幫助運營者快速分析威脅數(shù)據(jù)、確定威脅來源、判定類別、提供決策幫助和解決方案，在本單位內(nèi)提前實施預(yù)防措施，一旦有已識別出的相同或類似的網(wǎng)絡(luò)威脅發(fā)生時，運營者可以快速實施解決方案。

4 對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護的優(yōu)化建議

4.1 國家加大支持力度

我國應(yīng)繼續(xù)加大對關(guān)鍵信息基礎(chǔ)設(shè)施科研機構(gòu)、大學(xué)、企業(yè)、運營者在政策和經(jīng)費上的支持，關(guān)注專業(yè)人才培養(yǎng)、培訓(xùn)和教育。

4.2 立足科學(xué)管理

運營者應(yīng)充分重視科學(xué)管理的重要性，要充分做好計劃、組織、協(xié)調(diào)和控制的管理作用。采用科學(xué)管理方法，建立科學(xué)管理制度，設(shè)立信息安全部門，設(shè)立首席信息官CIO專門負(fù)責(zé)，聘請經(jīng)驗豐富的網(wǎng)絡(luò)安全領(lǐng)域管理專家對運營保護模式進行架構(gòu)設(shè)計，實施頂層管理，充分發(fā)揮專家作用。管理不是一成不變的，在管理中要采用PDCA循環(huán)，不斷接收反饋，持續(xù)改進，加強保護效果。同時運營者要采用實行風(fēng)險管理、鼓勵科技創(chuàng)新，以發(fā)展的眼光來不斷加強安全保護能力。

4.3 重視人才培養(yǎng)

人才是立國和科技競爭之本，人才是現(xiàn)代企業(yè)中最重要的活用資源。運營者要有國家戰(zhàn)略大局觀，立足長遠(yuǎn)制定關(guān)鍵人才培養(yǎng)計劃，提供人才戰(zhàn)略可持續(xù)發(fā)展的優(yōu)良環(huán)境，為人才提供廣闊的施展空間，無論是關(guān)鍵信息基礎(chǔ)設(shè)施保護上的哪一環(huán)節(jié)都要以人才為中心，培養(yǎng)優(yōu)秀人才服務(wù)于關(guān)鍵信息基礎(chǔ)設(shè)施的保護。

4.4 掌握核心技術(shù)

運營者要掌握核心技術(shù)，不斷研發(fā)和部署先進性技術(shù)對設(shè)施進行保護。運營者在網(wǎng)絡(luò)安全運用上需要在硬件、軟件兩方面著手。

在硬件保護方式上可采用核心網(wǎng)絡(luò)跟外部環(huán)境進行物理隔離的方式，可選用的方案有防火墻或者網(wǎng)閘等硬件設(shè)備。在軟件保護方式上，運營者應(yīng)采取技術(shù)先進、分層、可擴展的軟件架構(gòu)，軟件要做到自主可控，排除安全隱患。在資源訪問上實行訪問控制、身份認(rèn)證、按角色授權(quán)、操作日志記錄、日志審計、防抵賴、監(jiān)控預(yù)警，數(shù)據(jù)要實行保密性處理、完整性驗證，防篡改，運行環(huán)境安全上采用防病毒軟件并及時更新病毒庫查殺內(nèi)部木馬等計算機病毒，杜絕一切安全隱患，保證關(guān)鍵信息基礎(chǔ)設(shè)施安全。在關(guān)鍵資源上應(yīng)有冗余備份能力、災(zāi)難恢復(fù)能力等安全保護措施。運營者還需結(jié)合本單位現(xiàn)有硬件、軟件的實際部署情況，制定安全策略，并行物理、人工、技術(shù)等防護措施，切實提高對關(guān)鍵信息基礎(chǔ)設(shè)施的保護能力。

5 結(jié)論

關(guān)鍵信息基礎(chǔ)設(shè)施安全保護任務(wù)艱巨，是一項長期并不斷改進的工作，國家在政策支持、立法保障上給予充分保障，運營者應(yīng)在思想上高度重視、從國家戰(zhàn)略高度按照《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》中的規(guī)定，結(jié)合實際，同時從科學(xué)管理、人才培養(yǎng)和技術(shù)能力多方面對關(guān)鍵信息基礎(chǔ)設(shè)施進行保護，基于保護好各個節(jié)點的前提下進行整體保護，提高風(fēng)險防范和應(yīng)急處置能力，以發(fā)展的眼光確實加強保護能力，確保關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施安全。

[1] 閏曉麗，孟洪杰．美歐關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定的做法及對我國的啟示[J].信息安全研究,2017(10)：2-3.

[2] 閆曉麗．關(guān)鍵信息基礎(chǔ)設(shè)施安全保護應(yīng)把握幾個要點[J].中國信息安全,2017(10)：2.

[3] 張弛崔，占華閏．美國關(guān)鍵基礎(chǔ)設(shè)施安全管理綜述[J].信息安全研究,2017(8)：5-7.

[4] 黃道麗，方婷．日本關(guān)鍵信息基礎(chǔ)設(shè)施保護制度及對我國的啟示[J].信息安全研究,2016(7)：1-3.

[5] 徐麗萍，張大偉．新形勢下的關(guān)鍵信息基礎(chǔ)設(shè)施保護及思考[C]//第32次全國計算機安全學(xué)術(shù)交流會論文集,2017(10)：3.