◎國防科技大學信息通信學院 鄭理

關鍵信息基礎設施網(wǎng)絡安全應貫徹辯證唯物的網(wǎng)絡安全觀，文章從管理對象、管理措施、融合與配合等方面論述抓好關鍵信息基礎設施網(wǎng)絡安全工作的思考。

為抓好關鍵信息基礎設施的網(wǎng)絡安全，應貫徹辯證唯物的網(wǎng)絡安全觀。一要認識關鍵信息基礎設施保護的重點管理對象是什么，有什么特點；二要分析管理對象矛盾的特殊性，采取針對性措施；三要用聯(lián)系的眼光，將網(wǎng)絡安全要求與業(yè)務穩(wěn)定運行有機融合、網(wǎng)絡安全的各方力量協(xié)調(diào)配合起來，最大限度維護關鍵信息基礎設施網(wǎng)絡安全。

一、認識管理對象：人和物

“人”簡單的理解就是關鍵信息基礎設施從業(yè)人員，“物”即關鍵信息基礎設施。中華人民共和國國家標準《信息安全技術 關鍵信息基礎設施安全控制措施（征求意見稿）》（下文簡稱“國標”）對從業(yè)人員的解釋不局限于網(wǎng)絡安全崗位上的專業(yè)人員，還包括行業(yè)內(nèi)部與關鍵信息基礎設施運營相關的人員，如管理人員、操作人員、使用人員、服務人員等。這樣的擴充不無道理，因為關鍵信息基礎設施或因承載業(yè)務的連續(xù)性、承載數(shù)據(jù)的機密性、承載系統(tǒng)的完整性而存在，因此無論是業(yè)務的運維人員、數(shù)據(jù)的管理人員，還是系統(tǒng)的操作人員都與關鍵信息基礎設施的網(wǎng)絡安全緊密相關，理應納入管理對象中，開展安全教育，提高安全意識。國家網(wǎng)信辦發(fā)布的《關鍵信息基礎設施安全保護條例（征求意見稿）》（下文簡稱“條例”）提出關鍵信息基礎設施安全保護要社會各方積極參與，鼓勵關鍵信息基礎設施以外的網(wǎng)絡運營者自愿參與關鍵信息基礎設施保護“體系”。前面講的是關鍵信息基礎設施行業(yè)內(nèi)的人員，這里所謂的體系不僅包括內(nèi)部人員，還應包括關鍵信息基礎設施行業(yè)外的人員：網(wǎng)絡產(chǎn)品和服務提供者、科研機構(gòu)、網(wǎng)絡安全服務機構(gòu)、行業(yè)組織等。只有站在這樣的角度全面理解“人”才能確保安全管理的制度設計不缺項、不漏項，沒有空檔，因為“人”是關鍵信息基礎設施保護的主體力量，但同時具有思想的復雜性、行為的難以預見性，是管理的重點和難點。要落實好網(wǎng)絡安全要求，首先就要落實好對人的管理要求。

“物”是支撐關鍵業(yè)務運行、承載重要涉密信息的物理實體，由網(wǎng)絡設施和信息系統(tǒng)及存儲于其中的數(shù)據(jù)所構(gòu)成。因為其支撐關鍵業(yè)務運行，所以一旦損毀將影響相應領域的工作開展及業(yè)務運轉(zhuǎn)；因為其承載重要涉密信息，所以一旦被竊取或泄露將影響關鍵信息基礎設施行業(yè)的安全穩(wěn)定乃至國家安全。物的特點是脆弱性和易失性，其漏洞容易被人所利用和攻擊，其存儲的信息容易被獲取或篡改，是網(wǎng)絡威脅的攻擊對象，是網(wǎng)絡安全的重點管理對象。

二、具體問題具體分析：針對性管理措施

安全管理要把握管理對象發(fā)展變化的關鍵環(huán)節(jié)和重點階段，關注不同類型管理對象的個性與共性，因地制宜，采取針對性措施。對于關鍵信息基礎設施從業(yè)人員，要把握好入職、篩選、調(diào)動、離職四個環(huán)節(jié)。在入職時要進行安全背景審查，開展入職培訓；篩選時要結(jié)合人員的實際情況合理分配權(quán)限，并簽訂保密協(xié)議、崗位責任協(xié)議，實行網(wǎng)絡安全關鍵崗位專業(yè)技術人員執(zhí)證上崗制度；調(diào)動時要修改人員原有的訪問權(quán)限以符合新的崗位要求；離職時要對人員工作中分配的信息系統(tǒng)訪問權(quán)限進行收回，并進行離職面談，明確離職后的保密義務。對于行業(yè)外的人員或稱第三方人員（網(wǎng)絡產(chǎn)品和服務提供者、科研機構(gòu)、網(wǎng)絡安全服務機構(gòu)、行業(yè)組織，以及合同商、信息系統(tǒng)開發(fā)商、維護人員）主要是以共同協(xié)商或訂立協(xié)議的方式建立安全要求，采取針對性管理措施。如對于網(wǎng)絡產(chǎn)品和服務供應商，首先要進行安全評估，評估其保密資質(zhì)、服務水平和管理情況，做到保密有資質(zhì)、服務有水平、管理運轉(zhuǎn)透明，其次要優(yōu)選能對下級的供應商負責，能對外包服務的開發(fā)商和開發(fā)人員負責的供應商。對于存在信息共享關系的科研機構(gòu)、行業(yè)組織，主要是簽訂好保密協(xié)議，避免共享信息的泄露和二次擴散。對于關鍵信息基礎設施的外部維護人員，要進行授權(quán)管理，在授權(quán)的情況下才可對關鍵信息基礎設施進行維護，未授權(quán)的人員要實施有人監(jiān)督的陪同維護。從共性方面來講，無論是關鍵信息基礎設施從業(yè)人員，還是第三方人員，都要開展網(wǎng)絡安全意識教育與安全技能培訓，既要全員覆蓋又要區(qū)分層次。

對于“物”而言，主要抓好信息系統(tǒng)建設、改造、使用、廢棄和重要數(shù)據(jù)收集、存儲、使用、傳輸、披露這幾個重要階段的管理，落實相關制度。在信息系統(tǒng)的建設階段，建設前分析安全需求、定義安全要求、設計安全體系、驗收安全效果，建好后重點是依照對關鍵業(yè)務的支撐度識別重要數(shù)據(jù)和重要系統(tǒng)，建立資產(chǎn)（系統(tǒng)和數(shù)據(jù)的總和）清單、保留基線（最低）配置，分析系統(tǒng)的脆性和可能面臨的網(wǎng)絡威脅，實施漏洞管理，開展風險分析，制定針對性防范措施。在改造階段，要更新資產(chǎn)（含組件）清單，重新評估網(wǎng)絡安全風險，根據(jù)新的安全風險升級安全設施，實施變更管理，并確保在升級轉(zhuǎn)化的過程中業(yè)務的平穩(wěn)過渡、安全設施的連續(xù)運行。在信息系統(tǒng)使用階段，重點開展網(wǎng)絡安全定級，落實等級保護要求，部署網(wǎng)絡安全策略，實施分區(qū)分域管理，及重要系統(tǒng)和數(shù)據(jù)的容災備份。在系統(tǒng)廢棄階段，要保護廢棄的設施中存儲信息的安全，消除涉密敏感信息，并保留處置記錄。在重要數(shù)據(jù)的管理階段中，重點是落實個人信息保護制度，個人信息和重要數(shù)據(jù)的境內(nèi)存儲，及出境安全評估制度，防止重要涉密信息的泄露、篡改、損毀和丟失。

三、聯(lián)系觀：融合與配合

“融合”，即將網(wǎng)絡安全融入到關鍵信息基礎設施的業(yè)務中，將網(wǎng)絡安全機制細化于關鍵信息基礎設施的具體實現(xiàn)中。在融合的過程中要把握關鍵信息基礎設施的業(yè)務運行是主體、中心，網(wǎng)絡安全管理圍繞業(yè)務的穩(wěn)定持續(xù)運行而展開，并納入其中同步運行，包括同步規(guī)劃、同步建設、同步使用。對于這一點，在“國標”中得到了印證，它明確提出：“確保漏洞補丁經(jīng)過測試后才可使用；確保漏洞管理過程不影響業(yè)務連續(xù)性”、“確保安全人員規(guī)模不能少于信息化人員的20%”、“在發(fā)生安全事件時，確保應急響應計劃的實施能夠維持信息系統(tǒng)的基本業(yè)務功能，并能最終完全恢復信息系統(tǒng)且不減弱原來的安全措施”，這三點分別體現(xiàn)了網(wǎng)絡安全與關鍵信息基礎設施業(yè)務在風險管理、人力資源建設和應急處置中的融合，即“將網(wǎng)絡安全連續(xù)性納入業(yè)務連續(xù)性管理之中 ”。

“配合”是指關鍵信息基礎設施安全保護的內(nèi)部力量與外部力量相適、合作。內(nèi)部力量是關鍵信息基礎設施行業(yè)的網(wǎng)絡安全組織，是關鍵信息基礎設施保護的主體力量，外部力量有如行業(yè)外的網(wǎng)絡產(chǎn)品和服務提供者、科研機構(gòu)、網(wǎng)絡安全服務機構(gòu)、應急響應機構(gòu)、信息通報機構(gòu)以及其它社會力量。眾所周知，關鍵信息基礎設施保護不是一家單位、一個部門的事，它需要將內(nèi)部力量與外部力量聯(lián)系起來，實現(xiàn)協(xié)調(diào)配合、優(yōu)勢互補，整體作用大于局部作用之和的效果。具體體現(xiàn)：在信息共享活動中，內(nèi)部安全組織要與外部的應急響應、信息通報和研究機構(gòu)共享網(wǎng)絡威脅信息，交流威脅處置經(jīng)驗，共同研判網(wǎng)絡威脅態(tài)勢和應對措施；在網(wǎng)絡安全應急演練中，要邀請網(wǎng)絡安全服務機構(gòu)參加，磨合協(xié)調(diào)一致的默契，必要時與之建立直接的合作關系，獲得第一時間的協(xié)助；在事件處置中，要充分發(fā)揮產(chǎn)品和服務供應商熟知設備原理、通曉設備脆性的優(yōu)勢，在保護好商業(yè)秘密、維護好企業(yè)利益的前提下，積極獲取幫助與支持，共享有關信息，等等。上述所講的各類外部組織是關鍵信息基礎設施網(wǎng)絡安全的重要合作伙伴，發(fā)揮著政府部門、關鍵信息基礎設施運營部門不可替代的作用，是“條例”所講的“關鍵信息基礎設施保護體系”的重要參與方，從本質(zhì)上體現(xiàn)了信息時代網(wǎng)絡安全工作的多參與方特點，必須予以高度重視，而不能將這些組織放在外圍、擺尾的地位上。在這個問題上，生產(chǎn)資料高度私有化的美國，在20世紀90年代開展關鍵基礎設施保護的時候就高度重視政府與企業(yè)的合作，即所謂的“政企合作”或“公私合作”（Public-Private Partnership）保護模式。有人認為這是由美國的關鍵基礎設施大部分歸私企所有而決定的，但是網(wǎng)絡空間的威脅不因關鍵基礎設施或關鍵信息基礎設施歸誰所有而存在，它具有傳播的快速性、影響的分布性及源頭的隱蔽性，相應決定了預警信息如不迅速發(fā)布將導致更多的受損方、網(wǎng)絡威脅分析如不采用綜合集成的方法將難以判明攻擊方的意圖、情報信息如不高效流通將難以對威脅溯源。要解決這些問題就需要政府與政府之間、企業(yè)與企業(yè)之間，以及政府與企業(yè)之間，就網(wǎng)絡威脅情報、設備設施脆性、攻擊預防措施以及預警信息研判等開展溝通合作與信息共享。只有這樣才能應對瞬息萬變的網(wǎng)絡空間威脅。因此，網(wǎng)絡安全保護力量之間的合作是一個與社會性質(zhì)無關的話題，它是信息時代網(wǎng)絡安全工作多參與方特點的本質(zhì)要求，即關鍵信息基礎設施的網(wǎng)絡安全需要多方配合、發(fā)揮合力才能管好。

美國高度重視關鍵信息基礎設施網(wǎng)絡安全的“政企合作”