文│国家工业信息安全发展研究中心 毕婷 陈雪鸿 杨帅锋
近年来,随着智能化、网络化与能源、制造、通信等基础设施行业的融合程度不断加深,关键信息基础设施的安全风险日益突出。特别是近年来针对关键信息基础设施的黑客攻击事件频发,关键信息基础设施保护面临巨大挑战。因此,加强关键信息基础设施保护成为多国网络安全工作的重中之重。本文在详细分析了我国关于关键信息基础设施保护的工作探索基础上,阐述了美国、欧盟、德国、英国、澳大利亚、日本、韩国等发达国家加强关键信息基础设施保护的主要做法,并基于当前我国关键信息基础设施工作动态,提出了加强我国关键信息基础设施保护的几点启示。
一、我国关键信息基础设施保护工作探索
我国关键信息基础设施保护工作起步较晚。2016年11月颁布的《网络安全法》第一次正式明确了关键信息基础设施的概念。《网络安全法》指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。除立法外,目前我国主要从战略法规、标准、安全检查等方面逐步开展关键信息基础设施保护相关工作。
在战略法规方面,一方面,我国制定发布《国家网络空间安全战略》,将关键信息基础设施保护提升到国家网络安全战略高度,强调关键信息基础设施保护是全社会共同的责任,要建立实施关键信息基础设施保护制度,采取一切必要措施保护关键信息基础设施安全。另一方面,除《网络安全法》之外,我国在《关键信息基础设施安全保护条例(征求意见稿)》进一步提出了更细致、全面的要求,确立了我国关键信息基础设施的具体保护框架,在《网络安全等级保护条例(征求意见稿)》对关键信息基础设施保护也有所提及。
在标准研制方面,近年来我国已在加快推进关键信息基础设施保护标准化工作,目前已公开征求意见的关键信息基础设施相关标准有4项。这些标准根据作用的不同可大体分为3类,分别是框架类、测评类、实施类标准。其中框架类标准主要为《信息安全技术 关键信息基础设施网络安全保护要求》;测评类标准主要包括《信息安全技术 关键信息基础设施安全检查评估指南》《信息安全技术 关键信息基础设施安全保障评价指标体系》;实施类标准有《信息安全技术 关键信息基础设施安全控制措施》。此外,为加快落实关键信息基础设施保护的技术要求、服务标准及其他关键信息基础设施标准化工作,各细分领域也在加速研制。
在关键信息基础设施安全调查检查工作方面,中央网信办组织开展全国范围关键信息基础设施网络安全调查检查工作,对我国关键信息基础设施分布与底数情况进行摸底调查,为后续理清我国关键信息基础设施清单、建立应对防范措施等奠定基础,为构建关键信息基础设施安全保障体系提供基础性数据和参考。此外,公安部在每年的网络安全执法行动检查中,对关键信息基础设施保护工作也开展了相关调查和检查。
二、发达国家关键信息基础设施保护做法
(一)美国多措并举加强关键信息基础设施保护
美国早在1998年就认识到关键信息基础设施保护的重要性,在当时的《关于保护美国关键基础设施的第63号总统令》中就提出了关键基础设施的概念及保护要求。此后,美国主要采取以下措施加强关键基础设施安全保护:
一是制定保护立法和政策。在立法方面,美国先后颁布了《2001年关键基础设施保护法案》《2002年关键基础设施信息法案》《2014年国家网络安全保护法案》《2017年NIST网络安全框架、评估和审查法》等,确立了美国关键基础设施保护框架。在颁布保护立法的同时,美国还积极制定保护战略提高关键基础设施保护的战略地位。例如,美国发布的《保护网络空间安全国家战略》将关键基础设施保护作为本国网络安全的主要目标。
二是签署总统令和行政令。美国为明确关键基础设施保护的责任部门及相关工作部署,从1996至今签署了多项关键基础设施保护总统令和行政令。这些文件根据主要内容的不同可大体分为两类,一类是关于设立关键基础设施保护的领导机构及对应职责权利,另一类则是用于明确关键基础设施保护的相关计划及保护措施、要求等内容。
三是建立协调保护机制。美国自开展关键基础设施保护工作以来,主要采取协调保护机制推动本国保护工作。在国土安全部成立之前,美国主要通过设立总统关键基础设施保护委员会协调推动信息共享、突发事件应对等事宜,在国土安全部成立以后,逐渐接管了关键基础设施保护职能职责,负责协调关键基础设施运营者、监管机构、地方政府、大学、相关委员会、国家等相关方,共同推动国家相关政策制定、开展风险评估工作及突发事件应急响应等。
四是强化安全保护能力。美国重点从加强信息共享、标准研制等方面提升本国关键基础设施保护能力。具体来说,美国很早意识到信息共享对于降低关键基础设施风险的重要性,在《2014 年国家网络安全保护法案》中提出要制定关键基础设施信息共享计划并提高信息共享程度。第13636号行政令不仅就信息共享提出了要求,还指出要制定相关标准、指南指导关键基础设施保护工作,为关键基础设施运营者提供了较强操作性的措施。
(二)其他发达国家关键信息基础设施保护做法
欧盟是在2004年提出的关键基础设施定义,随后主要采取发布政策、指令等文件的做法,如《欧洲关键基础设施保护计划》《欧盟关键基础设施认定和安全评估指令》《加强欧盟关键基础设施保护指令》等,明确欧盟关键基础设施保护的相关责任部门、信息共享能力建设、风险评估方法等内容。其成员国德国、英国在欧盟关键基础设施保护相关规定的基础上,结合本国实际制定了各自的保护计划和战略、声明等(具体见表1)。
澳大利亚的主要做法包括出台政策法律文件及提供项目资金支持。一方面,澳大利亚积极加强本国关键基础设施保护顶层设计,在近两年发布的《关键基础设施安全法草案2017》《关键基础设施安全防护法案》中,澳大利亚提出了政府部门、运营者等主体应对关键基础设施威胁的措施及要求。另一方面,为便于关键基础设施运营者和所有者开展风险评估、检测、响应计划等工作,澳大利亚还专门为运营者和所有者提供项目资金支持。
日本较好继承了美国、欧盟等国的关键基础设施保护相关做法。相较于其他国家而言,日本除颁布立法外,更侧重关键信息基础设施保护工作的落地性与执行性。为此,日本先后发布了《关键基础设施网络反恐措施特别行动计划》《关键基础设施信息安全措施行动计划》《关键基础设施信息安全第二行动计划》等多项行动计划。此外,近两年日本高度重视关键信息基础设施防护产品国产化水平和实战演习,目前已在电力、铁路等行业加快推动本国防御系统和产品,并在美国协助下开展了防护演习活动。
韩国关键基础设施的保护举措相对薄弱,目前主要依据《信息与通信基础设施保护法案》规范关键基础设施安全运行。近两年来,关键信息基础设施屡遭攻击成为世界各国关注的焦点,韩国由此逐步认识到关键基础设施保护的必要性,制定了资金负担制度以减小迅速提升本国关键基础设施保护水平带来的财政压力。该制度在一定程度上为韩国加强关键基础设施保护提供了财政基础。
三、对我国加强关键信息基础设施保护的启示
(一)加快完善政策标准制定与落地实施
一是加快推动《关键信息基础设施安全保护条例》等配套文件出台,落实《网络安全法》相关要求,明确关键信息基础设施保护要求。二是制定关键信息基础设施保护行动计划等政策,明确总体要求、发展思路与目标、重点任务、主要行动和保障措施等相关内容。三是立足关键信息基础设施保护工作的困难和突出问题,加速研制关键信息基础设施识别认定、安全控制等方面的国家标准,切实加强标准对关键信息基础设施保护的指导作用。四是开展政策标准宣贯培训,强化企业关键信息基础设施保护意识。
(二)推动开展关键信息基础设施网络安全审查
一是应重点对网络关键设备和网络安全专用产品进行审查、检测和安全认证,确保符合国家标准强制性要求;二是推动开展网络安全产品和服务审查,对网络产品和服务在采购过程中可能带来的个人信息、重要数据、产品及服务可控性、供应链等方面的安全风险进行重点评估,确保网络产品和服务提供各环节可靠;三是应增强审查工作覆盖面,尽可能保证相关网络安全产品、设备、服务、机构、供应链全覆盖。
(三)强化关键信息基础设施保护主体责任
一是充分发挥中央网信办、工信部、公安部等主管部门在关键信息基础设施保护方面的作用,加强统筹协调和监督管理。二是按照“谁主管、谁负责”的原则,进一步落实企业主体责任,要求关键信息基础设施运营者加强对重要系统和数据库的容灾备份,定期开展检测评估和监测预警,做好网络安全突发事件应急处置。三是动员“产学研用”各界力量,构建上下协同、多方联合的关键信息基础设施保护机制,集中力量加强关键信息基础设施保护。
(四)着力提升关键信息基础设施保障技术能力
一是建立覆盖物理、网络、主机、平台、应用、数据等层面的关键信息基础设施安全防护体系,加强关键信息基础设施的纵深防御。二是支持国家级工业信息安全专业技术机构,建设关键信息基础设施安全态势感知、信息共享与通报、应急处置等技术平台,建立风险可发现、可防护、可处置的关键信息基础设施安全保障能力。三是加快关键信息基础设施安全可信、攻击防护、威胁溯源等关键技术攻关,开展支撑关键信息基础设施安全稳定运行的技术产品研发。
(本文刊登于《中国信息安全》杂志2019年第6期)
声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。