【编者按】关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标,必须采取有效措施,切实做好国家关键信息基础设施安全防护,而将关键信息基础设施元素与其它信息基础设施区分开来是做好安全防护工作的前提和基础。近日,在2019第七届互联网安全大会上,中国电子商会自主可控技术委员会理事长冯燕春作了题为《关键信息基础设施边界识别刻不容缓》的主题报告,对关键信息基础设施边界识别的概念、进展与标准工作进行了深度解读。本文由《网信军民融合》杂志根据现场演讲整理。

关键信息基础设施边界识别刻不容缓

中国电子商会自主可控技术委员会理事长 冯燕春

一、CII 概念的由来

“ 关键信息基础设施”(Critical Information Infrastructure,CII)的概念最初起源于美国。早在 1977 年,美国总统关键基础设施保护委员会指出,美国国家安全高度依赖信息和通信、银行和金融、能源、运输等关键基础设施,这些基础设施一旦遭到攻击会给整个国家带来严重后果。此时,美国就有了关键信息基础设施保护的意识雏形。由于受“911 事件”影响,1996 年,关键信息基础设施的概念被提出并正式确定。从此,在网络侧加强对关键基础设施的保护成为美国 CIP 政策新焦点,并迅速得到世界主要大国的重视。2001年,美国颁布的“爱国者法案”还以法律的形式定义了“关键基础设施”,特别明确了属于国家关键基础设施的经济部门范畴。未来,随着信息化的快速发展,“关键信息基础设施”保护将有可能逐步演变成“关键基础设施”保护。

据统计,目前已有 53 个国家/地区开展了本国、本地区 CI/CII 保护,如美国 1996 年,德国 1997 年,印度 1998年,俄罗斯 2000 年,日本 2005 年,法国 2006 年,巴西 2006 年,澳大利亚2007 年分别开展了CI/CII 保护。

就我国而言,习近平总书记在网络安全和信息化工作座谈会上的讲话中指出,金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标,必须采取有效措施,切实做好国家关键信息基础设施安全防护。其实,在习总书记讲话之前,原国家信息技术研究中心和中国信息安全测评中心作为关键基础设施的安全保障部门,已经开展了相关工作,并在国家相关部门的统一领导下,就相关重点行业开展了检查、评估工作。习总书记讲话以后,我国从上到下对关键信息基础设施有了一个非常深刻的印象。2017 年 6月 1 日,我国正式实施了《网络安全法》,对关键信息基础设施做了明确的定义。

二、CII 边界识别的必要性

为什么提出边界识别?2016 年,我作为网信办组织的关键信息基础设施检查工作的负责人,开展相关工作时遇到了几个问题。一是当时网信办下发了如何开展摸底检查工作的文件,然而确定什么是关键信息基础设施则非常复杂。为此,大家提出了一些量化的指标,但是都没有经过检验,也参考了国际上包括以前做过的一些工作的经验。第二,征集关键信息基础设施信息时,哪些需要报,应该报到什么程度,都很难把握。

近几年,在关键基础设施的检查评估指南中,重点行业都被纳入到关键信息基础设施。首先,关键基础设施需要保护什么,电力、银行是不是全都保护,这就涉及到了边界识别的问题。而这些重点行业中究竟哪些网络设施、信息系统需要保护则是 CII 边界识别的核心问题。国家开展 CII 保护的根本目标是保护重要领域内的重要业务的安全,而CII 则是支撑上述关键业务安全运行的网络设施、信息系统等。另外,一些大的行业或系统,比如水利、核电等,都是非常庞大的体系,而且是跨域跨部门的,不可能都重点保护,而应该按照业务链进行。以核电为例,从最开始对核电的监控到风控,再到出现故障以后的感知报警和处置,需要分析对整个业务链条有影响的系统和设备是什么。

因此,关键信息基础设施边界,就是指当运营者被国家有关部门确认为是CII 运营者后,需要识别自身运营的哪些网络设施、信息系统是关键业务持续、稳定运行所必须的,应当被纳入 CII 保护范围。通俗地来讲,是应该把边界识别概念定义为一旦业务被定为关键业务,也明确运营者之后,需要从保障业务安全运行的角度搞清楚应该保护什么。

三、CII 边界识别的进展与现状

2016 年,中央网信办组建了国家关键信息基础设施网络安全检查办公室,根据工作实际需要研究制定了一系列政策文件,用于指导地方、行业、企业开展关键信息基础设施检查工作,包括:《关键信息基础设施识别认定流程》《关键信息基础设施识别认定方法》《关键信息基础设施基线》等。时年,团队在国内外相关研究基础之上,结合我国关键信息基础设施保护工作实际,提出了边界识别,然后就技术相关的情况也进行了反复的论证和评估,提出了“基于业务信息流识别关键信息基础设施边界”的技术方案。

2017 年,在中央网信办指导下,云南网信办组织开展“云南省域关键信息基础设施综合试点”项目,对“基于业务信息流识别关键信息基础设施边界”进行了实践、验证、完善。2018 年 9月,在成都举办的国家网络安全宣传周上,团队首次公开向业内介绍了“基于信息流的关键信息基础设施边界识别认定方法”,并在《中国信息安全》上公开发表,得到业内一定认可。

2018 年底,信安标委秘书处在中央网信办网络安全协调局指导下, 组织开展关键信息基础设施安全检查标准应用试点工作。“基于信息流的关键信息基础设施边界识别认定方法”在此次试点中得到进一步应用和验证,同时,编制组结合此次标准试点工作对技术方案又进一步修订、改进。2019 年初,团队正式申请国家标准立项。2019 年 4月,在宁波举办的全国信安标委会议周上被 WG7 推荐立项,2019 年 8月被信安标委批准正式立项。

四、标准主要内容

首先讲一下标准的主要理念。CII保护的目标是保障关键业务持续、稳定运行,同一运营者的关键信息基础设施同其它信息基础设施应该区分开,不要混为一谈。只有把重点明确以后,才能实现一体化的保护。具体的方法就是对关键业务持续、稳定运行所必须的信息流从产生到终止所流经的重要网络设施、信息系统纳入关键信息基础设施保护范围。

CII边界识别标准框架图

标准的框架结构包括边界识别基本原理、边界识别要求、边界识别流程以及信息备案和附录五部分,如图所示。在整个编写过程中,除了检查办以外,交通、电力、金融等主要行业部门都参与这个标准的制定。

五、CII 边界识别的紧迫性

国内外相关实践经验表明, 在CII 运营者的所有信息基础设施中,有些网络设施、信息系统对保障关键业务持续、稳定运行是非常关键的“Critical”,有些仅仅是比较重要的“Important”,甚至有一些信息设施对关键业务是无关紧要的“Unimportant”。因此,将关键的信息基础设施与其它信息基础设施区分开来,是开展关键信息基础设施保护的第一步,也是 CIIP 保护的前提和基础,对明确保护对象、实施重点保护具有重要意义。

目前,大家都还停留在关键信息基础设施保护的表面上,只是宏观地去讲哪些是该保护的。至于到底落在哪个系统和网络内,或者属于哪个责任部门,还是不清楚。因此,要想做下去,只有解决好关键基础设施识别认定,这样才能落下去。

当前,CII 边界识别工作刻不容缓。如今,《关键信息基础设施保护条例》《网络安全审查办法》《个人信息出境安全评估办法》等正在陆续出台,这些法律法规的落实需要明确 CII 边界。如何指导运营者梳理自身运营的网络设施、信息系统纳入 CII 保护范畴内,也是一个急需解决的问题。希望大家能够关注和积极参与相关工作。

本文刊登于《网信军民融合》杂志2019年9月刊

声明:本文来自网信军民融合,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。