周亞超 劉金芳
摘 要:關鍵信息基礎設施是恐怖主義和網(wǎng)絡攻擊的重點對象,各國均將視為網(wǎng)絡安全的重點并上升到國家安全的高度。通常認為,關鍵基礎設施或關鍵信息基礎設施是支撐國家安全和公共利益的重要基礎設施,但是因為各國慣例和實際情況不同,對關鍵信息基礎設施的名稱和定義有所不同。盡管我國《網(wǎng)絡安全法》等法律法規(guī)給出了關鍵信息基礎設施定義,但較為模糊。論文梳理了國內(nèi)外主要國家和地區(qū)關鍵信息基礎設施的概念,總結(jié)關鍵信息基礎設施的特點,并基于基礎設施的概念與特點,對關鍵信息基礎設施保護與一般網(wǎng)絡安全保護制度進行了分析比較。
關鍵詞:關鍵信息基礎設施;概念;范圍;特點
中圖分類號:TP274+.2 文獻標識碼:B
1 引言
信息通信技術發(fā)展為社會經(jīng)濟發(fā)展提供了巨大的潛力。隨著云計算、物聯(lián)網(wǎng)、虛擬現(xiàn)實、人工智能等下一代信息通信技術的發(fā)展,人們生活所依賴的數(shù)字互聯(lián)程度越來越高,另一方面網(wǎng)絡犯罪日益頻發(fā),網(wǎng)絡安全問題不容忽視。關鍵信息基礎設施保護是世界各國政府和相關企業(yè)面臨的普遍問題。例如,2015年聯(lián)合國政府專家組報告將關鍵信息基礎設施保護作為“負責任國家行為”的一個重要方面,推動在雙邊和多邊網(wǎng)絡安全合作框架下形成國際共識。
加強關鍵信息基礎設施概念的研究,對于開展關鍵信息基礎設施保護工作具有重大意義。關鍵信息基礎設施保護的“關鍵性”體現(xiàn)在一旦癱瘓或被摧毀,將會嚴重影響國家安全、社會經(jīng)濟、公共利益。但是,究竟哪些屬于關鍵信息基礎設施,關鍵信息基礎設施的保護工作與一般網(wǎng)絡安全保護相比有何不同等問題比較復雜,需要對其進行調(diào)研和研究。
2 國內(nèi)外關鍵信息基礎設施相關概念
2.1 美國
美國在關鍵信息基礎設施保護框架和相關政策文件中對關鍵部門存在包括關鍵基礎設施(CIP)、關鍵信息基礎設施(CIIP)、關鍵資源(CI/KR)的多種表述,在定義中強調(diào)其對國家安全的重要意義。概念上基本沿用了2001年《愛國者法案》的規(guī)定,即關鍵基礎設施是指對美國重要的物理或虛擬的系統(tǒng)和資產(chǎn),此類系統(tǒng)和資產(chǎn)的功能喪失或破壞將對國家安全、國家經(jīng)濟安全、國家公眾健康與安全或上述事項的任何組合產(chǎn)生削弱影響。
近年來,美國發(fā)布了關鍵基礎設施相關多項政策立法,其中以奧巴馬政府2013年發(fā)布13636號總統(tǒng)行政令(EO 13636)《改進關鍵基礎設施網(wǎng)絡安全》[1]和第21號總統(tǒng)政策指示(PDD 21)《關鍵基礎設施安全和韌性》中的定義最具代表性,即關鍵基礎設施是指對美國非常重要的物理或虛擬的系統(tǒng)和資產(chǎn)。如果這類系統(tǒng)或資產(chǎn)遭到破壞或喪失工作能力,將對美國的安全,國家經(jīng)濟安全,國家公眾健康或公共安全,或任何這些事項的集合產(chǎn)生削弱影響。
根據(jù)2013年《提高關鍵基礎設施的安全性和恢復力》[2],關鍵基礎設施涉及十六類,包括化學、商業(yè)設施、通信、關鍵制造、水利、國防工業(yè)基地、應急服務、能源、金融服務、食品和農(nóng)業(yè)、政府設施、醫(yī)療保健和公共衛(wèi)生、信息技術、核反應堆、材料和廢棄物、運輸系統(tǒng)、水及污水處理系統(tǒng)。
2.2 歐盟
與美國將關鍵基礎設施(CI)與關鍵信息基礎設施(CII)等同使用的情況不同,歐盟對兩者有明確的區(qū)別界定。
根據(jù)2004年歐盟《打擊恐怖主義活動,加強關鍵基礎設施保護的通訊》[3],關鍵基礎設施是指“如果被破壞或摧毀,會對公民的健康、安全、穩(wěn)定或經(jīng)濟福祉或成員國政府的有效運轉(zhuǎn)造成嚴重影響的物理和信息技術設施、網(wǎng)絡、服務和資產(chǎn)”。
2005年歐盟發(fā)布《保護關鍵基礎設施的歐洲計劃(EPCIP)》[4],將關鍵信息基礎設施定義為“關鍵基礎設施本身或關鍵基礎設施運營必不可少的ICT系統(tǒng)(電信、計算機、軟件、互聯(lián)網(wǎng)、衛(wèi)星等)”。以此為依據(jù),歐盟范圍內(nèi)確定的關鍵信息基礎設施相關部門主要包括幾個領域。
能源(石油和天然氣生產(chǎn)、提煉、處理和儲藏,其中包括輸送管道、發(fā)電、輸電、供電、天然氣和石油);信息和通信技術(信息系統(tǒng)和網(wǎng)絡保護、設備自動化和控制系統(tǒng)、互聯(lián)網(wǎng)、固定電信服務、移動電信服務、無線電通信和導航、衛(wèi)星通信、廣播);水(飲用水供應、控制水質(zhì)、控制水量);食品(食品供應和食品安全保護);健康(醫(yī)療和醫(yī)院護理、藥品、血清、疫苗和藥物,生物實驗室和生物制劑);金融系統(tǒng)[支付服務/支付體系(私營)、政府財政調(diào)配];公共和法律秩序和安全(維持公共和法律秩序、安全和穩(wěn)定、司法和拘留管理);民事管理(政府職能、武裝部隊、民事管理服務,應急服務、郵政和快遞服務);交通(公路交通、鐵路交通、航空運輸、內(nèi)河航運、遠洋和近海航運);化學和核工業(yè)[化學和核材料的生產(chǎn)、儲存/加工,危險物品(化學材料)的輸送管道];太空和研究。
2.3 中國
在我國的網(wǎng)絡安全法、網(wǎng)絡空間安全戰(zhàn)略以及關鍵信息基礎設施條例及相關標準中,對關鍵信息基礎設施的定義是從其受到破壞造成的影響來界定的,數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施,包括但不限于提供公共通信、廣播電視傳輸?shù)确盏幕A信息網(wǎng)絡,能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領域和國家機關的重要信息系統(tǒng)、工業(yè)控制系統(tǒng)等。
《關鍵信息基礎設施安全保護條例(征求意見稿)》[5]以舉例的方式給出了關鍵信息基礎設施的范圍:
(1)政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位;
(2)電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡,以及提供云計算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡服務的單位;
(3)國防科工、大型裝備、化工、食品藥品等行業(yè)領域科研生產(chǎn)單位;
(4)廣播電臺、電視臺、通訊社等新聞單位;
(5)其他重點單位。
2.4 其他國家和地區(qū)
英國使用了“關鍵國家基礎設施(CNI)保護”的概念,根據(jù)《國家網(wǎng)絡安全戰(zhàn)略(2016-2021)》[6],由國家安全戰(zhàn)略委員會每年開展評估工作,旨在加強政策和技術監(jiān)管,提高CNI的可恢復性。從定義上,CNI指由國家基礎設施的對于不間斷向國家提供基本服務來說不可或缺的關鍵元素組成。沒有這些元素,基本服務就不能提供,英國就會遭受嚴重后果,其中包括嚴重的經(jīng)濟損害、巨大的社會破壞乃至大量喪失生命。英國國計民生不可或缺的許多關鍵服務依賴信息技術,由公共和私營部門提供。
從范疇上,CNI包括十個行業(yè):
(1)通信(數(shù)字通信、固定語音通信、郵遞、政府信息、無線通信);
(2)應急服務(救護、消防和營救、海上急救、警察);
(3)能源(電力、天然氣和石油);
(4)金融(資產(chǎn)管理、金融設施、投資銀行、市場、小額銀行);
(5)食品(生產(chǎn)、進口、加工、配送、零售);
(6)政府和公共服務(中央政府、地區(qū)政府、地方政府、議會和立法機關、司法、國家安全);
(7)公共安全(化學、生物、輻射和核恐怖襲擊;危及百姓生活的事件);
(8)健康(醫(yī)療保健、公共衛(wèi)生);
(9)交通(航空、海運、鐵路、公路);
(10)水(飲用水、污水)。
此外,加拿大、德國、法國、匈牙利、澳大利亞、奧地利、瑞士、西班牙等國網(wǎng)絡安全戰(zhàn)略與政策中主要使用關鍵基礎設施的概念,印度、韓國等國使用了關鍵信息基礎設施的概念。韓國將“關鍵信息基礎設施”定義為嚴重依賴信息和電信技術的關鍵基礎設施。涉及的行業(yè)包括:
(1)電子政務和國家政府行政機構;
(2)國家安全;
(3)應急/災難恢復服務;
(4)國防;
(5)媒體服務,如廣播設施;
(6)金融服務;
(7)天然氣和能源,如電廠;
(8)交通,如地鐵和機場;
(9)電信。
3 關鍵信息基礎設施的范圍劃分
由于不同行業(yè)、不同類型的關鍵信息基礎設施千差萬別,難以細化識別關鍵信息基礎設施的參數(shù)指數(shù)。更具可操作性的流程是,識別關鍵業(yè)務和關鍵業(yè)務運營單位,梳理支撐關鍵業(yè)務的信息系統(tǒng)并確定信息系統(tǒng)的邊界,從而識別出關鍵信息基礎設施。
首先是識別關鍵業(yè)務及其運營者,需要明確對經(jīng)濟社會運行具有基礎性、全局性支撐作用的關鍵業(yè)務,即“關鍵基礎設施”,在此基礎上確定關鍵基礎設施運營者。一般來說,為便于安全責任管理,一個關鍵基礎設施對應一個運營者,一個運營者可以對應多個基礎設施。
其次是識別支撐關鍵業(yè)務的信息系統(tǒng),確定關鍵信息基礎設施的邊界。關鍵基礎設施的范圍要比關鍵信息基礎設施大,需要明確信息系統(tǒng)的邊界。隨著信息通信技術廣泛使用,成為生產(chǎn)、運營、維護、管理等各個環(huán)節(jié)的重要組成部分,關鍵信息基礎設施占的比重越來越大。通過信息系統(tǒng)中信息和數(shù)據(jù)的流動,高度依賴信息化的重要業(yè)務。在這一過程中,需要確定關鍵信息基礎設施最大可能的邊界。邊界的劃分不局限于單個信息系統(tǒng),還需要梳理關鍵業(yè)務與公共系統(tǒng)的依賴關系,包括不同信息系統(tǒng)之間的互聯(lián)。
此外,為保障關鍵業(yè)務的穩(wěn)定運行,在劃分邊界時,不僅要關注信息技術系統(tǒng),也要保障運營技術(OT)系統(tǒng),例如變電、運輸控制及相關的工業(yè)控制系統(tǒng)。特別是大量定制化的、傳統(tǒng)的工業(yè)控制系統(tǒng)在設計時沒有考慮到網(wǎng)絡安全,現(xiàn)在越來越多地聯(lián)網(wǎng)并接入互聯(lián)網(wǎng),以實現(xiàn)更有效的控制和實時監(jiān)控。一方面,這將會產(chǎn)生新的漏洞并可能使系統(tǒng)暴露于網(wǎng)絡攻擊;另一方面,OT系統(tǒng)自身的復雜性也使得即使識別漏洞,短時間內(nèi)難以實現(xiàn)修補,導致OT系統(tǒng)業(yè)務中斷。因此,關鍵信息基礎設施運營單位必須考慮信息系統(tǒng)安全、數(shù)據(jù)安全、設備保修、資產(chǎn)物理位置、最小化停機時間以及連接系統(tǒng)的可用性等帶來的影響。
根據(jù)《網(wǎng)絡安全法》的規(guī)定,關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定;按照國務院規(guī)定的職責分工,負責關鍵信息基礎設施安全保護工作的部門分別編制并組織實施本行業(yè)、本領域的關鍵信息基礎設施安全規(guī)劃,指導和監(jiān)督關鍵信息基礎設施運行安全保護工作。由此可見,根據(jù)國務院出臺的關鍵信息基礎設施識別準則,行業(yè)主管部門負責識別認定本行業(yè)、本領域的關鍵信息基礎設施。
根據(jù)《關鍵信息基礎設施安全保護條例(征求意見稿)》(2017年7月),國家網(wǎng)信部門會同國務院電信主管部門、公安部門等部門制定關鍵信息基礎設施識別指南。在識別認定過程中,充分發(fā)揮有關專家作用,提高關鍵信息基礎設施識別認定的準確性、合理性和科學性。
4 關鍵信息基礎設施的特點
分析關鍵信息基礎設施的特點,有助于改進保護方法、構建保障體系、提高威脅應對能力,一般來說具有幾個特點。
首先關鍵信息基礎設施對象應為一個整體系統(tǒng),而不是若干的離散系統(tǒng)。圍繞關鍵業(yè)務,組成基礎設施的不同信息系統(tǒng)和網(wǎng)絡設施自身的安全等級要求不一定相同,可能有些系統(tǒng)自身的安全等級不高,但會影響關鍵業(yè)務的整體安全。
二是關鍵信息基礎設施具有不同的形態(tài)結(jié)構,包括:
(1)信息系統(tǒng),如政府網(wǎng)站、信息服務平臺,這類一般屬于網(wǎng)絡安全等級保護三級或四級范疇;
(2)網(wǎng)絡設施,如通信網(wǎng)、廣播電視網(wǎng),參照電信網(wǎng)安全管理要求;
(3)數(shù)據(jù)資產(chǎn),匯聚海量數(shù)據(jù)的云平臺、互聯(lián)網(wǎng)應用等,這類更側(cè)重數(shù)據(jù)安全要求;
(4)關鍵基礎設施的信息部分,如鐵路的列車控制系統(tǒng),參照電力、能源、化工、交通運輸?shù)刃袠I(yè)的工業(yè)控制系統(tǒng)安全要求。
三是關鍵信息基礎設施面臨的安全威脅主要是復雜威脅和動態(tài)威脅,因此安全保護強調(diào)更多考慮的是具備韌性(Resilience)。網(wǎng)絡威脅不斷變化、新的脆弱性層出不窮、影響范圍很大,例如2017年Wanner Cry勒索病毒給很多國家的健康醫(yī)療、能源、電信等行業(yè)造成嚴重影響。攻擊實施者可能是黑客個人、犯罪組織甚至可能是國家間的網(wǎng)絡戰(zhàn)。保障關鍵信息基礎設施的絕對安全是不可能的,各國政府出臺的基礎設施政策更多強調(diào)的是增強韌性或可恢復性,適應不斷變化的環(huán)境,增加攻擊難度,降低攻擊造成的影響。
四是關鍵信息基礎設施的安全目標與業(yè)務特點相關。不同企業(yè)由于業(yè)務特點強調(diào)安全性的重點也不同,例如政府網(wǎng)站通常是與政務內(nèi)網(wǎng)隔離或在云端存儲的公開披露內(nèi)容,即使短時間內(nèi)無法訪問也不會造成嚴重影響,但如果內(nèi)容受到惡意篡改可能造成輿論不利影響,因此更強調(diào)完整性,對保密性和可用性要求則沒有那么高。同樣的,基于業(yè)務特點金融行業(yè)側(cè)重完整性以確保用戶金融數(shù)據(jù)準確,通信、電力行業(yè)側(cè)重系統(tǒng)可用性以確保服務不能中斷,而存儲大量敏感信息的醫(yī)療行業(yè)更側(cè)重安全性以確保患者信息不能泄露。
五是關鍵信息基礎設施安全保護更側(cè)重于安全能力建設,而不只是滿足合規(guī)性要求。安全能力建設可以從當前面臨的威脅和希望達到的結(jié)果出發(fā),以風險管理的思路貫穿關鍵信息基礎設施保護生命周期過程,包括識別、防護、監(jiān)測、預警、處置、恢復等,從而構建全局的、整體的安全防護體系。
5 關鍵信息基礎設施保護與一般網(wǎng)絡安全保護的區(qū)別
《網(wǎng)絡安全法》中將網(wǎng)絡運行安全分為“一般規(guī)定”和“關鍵信息基礎設施的運行安全”兩個部分;前者指實行網(wǎng)絡安全等級保護制度,后者指關鍵信息基礎設施保護制度。本文從研究層面簡要分析一下兩者之間的關聯(lián)和區(qū)別。
從適用范圍來說,等級保護適用范圍廣,主要覆蓋的是單個或局部系統(tǒng)的網(wǎng)絡安全?;A設施適用范圍窄,高度開放、互聯(lián)環(huán)境下,綜合性的大型系統(tǒng)或全局系統(tǒng)的網(wǎng)絡安全。由于等級保護需要兼顧的對象范圍較為寬泛,安全要求的針對性不強,而關鍵信息基礎設施保護的范圍很集中,可以提出更系統(tǒng)、甚至更嚴格的要求。
從保護體系來說,等級保護主要依靠合規(guī)要求和監(jiān)督檢查。關鍵信息基礎設施保護則是一個需要多方參與保障體系,對運營者更強調(diào)的是安全保障能力的要求,需要行業(yè)部門、統(tǒng)籌部門、職能部門、專業(yè)機構相關角色的協(xié)同防護?;A設施保護要求側(cè)重于安全風險防控,提供了安全能力持續(xù)提升的方法,旨在落實責任、感知風險、消除風險或?qū)L險控制在一定水平,并確保業(yè)務連續(xù)性和系統(tǒng)可恢復。
從保護思路來說,關鍵信息基礎設施保護需要從靜態(tài)合規(guī)安全向風險導向的持續(xù)動態(tài)安全的轉(zhuǎn)變,從自我防護向協(xié)同防護轉(zhuǎn)變。關鍵信息基礎設施安全關乎國家安全,是一個持續(xù)的安全監(jiān)測和控制的過程,僅依靠關鍵信息基礎設施運營單位是不夠的,需要專業(yè)機構及其他相關單位的多方參與和協(xié)同防護。
6 結(jié)束語
理解關鍵信息基礎設施的概念是關鍵信息基礎設施研究的基礎。本文首先分析美歐等國對關鍵信息基礎設施定義,從研究層面劃分關鍵信息基礎設施的乏味,與一般性網(wǎng)絡設施和信息系統(tǒng)相比,分析關鍵信息基礎設施具備哪些特點和特殊性,此基礎上初步總結(jié)了關鍵信息基礎設施保護工作的啟發(fā)和指導意義。
參考文獻
[1] 美國第13636號總統(tǒng)行政令(EO 13636)改進關鍵基礎設施網(wǎng)絡安全[Z].2013年.
[2] 美國.提高關鍵基礎設施的安全性和恢復力[Z].2013年.
[3] 歐盟打擊恐怖主義活動,加強關鍵基礎設施保護的通訊[Z].2004年.
[4] 歐盟.保護關鍵基礎設施的歐洲計劃(EPCIP)[Z].2005年.
[5] 關鍵信息基礎設施安全保護條例(征求意見稿)[Z].2017年.
[6] 英國.國家網(wǎng)絡安全戰(zhàn)略(2016-2021)[Z].2016年.