关键信息基础设施安全保护应把握几个要点.PDFVIP

关键信息基础设施安全保护应把握几个要点 （来源：《中国信息安全》2017 年第8 期，作者：闫晓丽） 关键信息基础设施是国家的重要资产，《网络安全法》明确规定 要对其实行重点保护。为落实法律要求，2017 年7 月10 日，国家互 联网信息办公室发布了《关键信息基础设施安全保护条例（征求意见 稿）》，划定了关键信息基础设施的保护范围，明确了各相关部门的安 全保护职责，规定了安全保护的基本制度。对关键信息基础设施进行 安全保护是各国通行的做法，美欧很早就建立了相关制度，采取了一 系列措施，形成了一定的做法和经验。当前，我国正加快构建关键信 息基础设施安全保护体系，应把握好几个要点。 一、界定关键信息基础设施概念 这是对关键信息基础设施进行安全保护的前提。国际上有关键基 础设施和关键信息基础设施两个概念。关键基础设施是指对国家至关 重要的系统和资产，一旦遭受破坏或毁灭，将对国家安全、经济命脉、 公民的健康安全等造成严重损害，如2001 年美国《爱国者法》和2004 年欧盟《保护关键基础设施打击恐怖主义》的规定。关键信息基础设 施是指对关键基础设施自身至关重要或者其运行必不可少的信息通 信系统，这些系统处理、接收、存储电子信息，如2011 年美国国土 安全部《安全网络未来蓝图：国土安全企业网络安全战略》和 2005 年《欧盟关键基础设施保护项目绿皮书》的规定。近年来，随着信息 技术的普及和广泛应用，关键基础设施保护重点从物理保护转向网络 安全保护，关键基础设施和关键信息基础设施之间的界限日益模糊。 我国《关键信息基础设施安全保护条例（征求意见稿）》采用关键信 息基础设施的概念，是符合这一趋势的。 二、明确关键信息基础设施具体范畴 1 这是关键信息基础设施安全保护的关键步骤，要实施保护必须明 确哪些设施是 “关键的”、“应当予以重点保护的”。从美欧的经验 看，识别认定关键信息基础设施通常按照 “关键领域—关键业务—支 撑关键业务所需资源”的方法进行。确定关键领域的工作由政府主导， 多通过法律政策明确规定，如美国经过不断调整和完善，2013 年第 21 号总统令《提高关键基础设施的安全性和恢复力》确定了包括化 工、商业设施、通信、关键制造等在内的16 类关键领域；2005 年《欧 盟关键基础设施保护项目绿皮书》中确定了能源、信息通信技术、水、 食品、健康、金融等 11 类关键领域。关键业务和支撑关键业务所需 资源的识别认定，需要依据一定的标准和程序进行，美国、欧盟都建 立了基于后果的识别认定标准。美国在识别认定方面主要考虑死亡情 况、经济损失、大规模撤离和国家安全影响四个方面，欧盟主要考虑 影响范围、影响程度（从公众影响、经济影响、环境影响、政治影响、 设施之间的相互依存关系等方面评估）、影响时间、服务的可替代性 等因素。我国《关键信息基础设施安全保护条例（征求意见稿）》明 确划定了关键信息基础设施范围，但是对于这些范围中包含哪些关键 设施，还需要进一步明确。参考美欧的做法，可以发展基于安全事件 影响或后果的识别认定标准，逐步建立行业的、国家的关键信息基础 设施清单。 三、制定关键信息基础设施安全保护标准规范 从美国、欧盟等经验看，标准规范是加强关键信息基础设施安全 保护的一项重要举措。例如，美国2013 年发布了关键基础设施网络 安全框架，从识别、保护、检测、响应、恢复五个维度和资产管理、 人员评估、安全意识培训、连续监测、响应恢复等方面加强网络安全 风险管理；今年5 月又发布了《联邦机构实施网络安全框架指南》草 案，从整合安全风险、调整采购流程、管理安全计划等八个方面指导 联邦政府机构实施网络安全框架。 2 我国《网络安全法》和《关键信息基础设施安全保护条例（征求 意见稿）》都明确规定要求运营者按照国家标准的强制性要求履行相 关安全保护义务，但目前我国尚未建立关键信息基础设施安全保护标 准规范体系。应当结合国际国内现有网络安全管理标准，制定相关标 准规范，进一步明确和细化所有者和运营者的安全保护义务，促进其 加强网络安全风险管理。 四、提高态势感知、应急响应和恢复能力 关键信息基础设施是网络防御的核心，建立有韧性的网络防御体 系是各国的战略目标。如美国2003 年《网络空间安全国家战略》曾 提出，要确保信息系统在受到攻击的情况下还可以运