我国关键信息基础设施保护白皮书.pdf

我国关键信息基础设施安全保护白皮书 中国电子信息产业发展研究院网络安全研究所 赛迪（青岛）区块链研究院 二零二一年五月 1 目 录 一、关键信息基础设施概述4 （一）关键信息基础设施定义4 （二）范围界定4 （三）关键信息基础设施安全保护的重要性5 二、重点国家和地区关键信息基础设施安全保护的做法与启示8 （一）重点国家、地区关键信息基础设施保护措施8 1.美国8 2.欧盟9 3.俄罗斯10 4. 日本11 （二）国际关键信息基础设施安全保护主要启示13 1.科学界定关键信息基础设施的范围14 2.明晰关键信息基础设施安全保护的目标14 3.明确关键信息基础设施安全保护的措施方法15 4.建立关键信息基础设施保护的组织管理体系15 三、我国关键信息基础设施安全保护现状16 （一）法律法规建设加速推进16 （二）标准体系逐步完善17 （三）相关研究不断深入21 四、我国关键信息基础设施安全保护面临的问题22 （一）法律保护范围模糊22 2 微信公众号：计算机与网络安全 （二）自主可控能力不足23 （三）缺乏完善有效的脆弱性评估机制和安全恢复计划24 （四）安全风险监测和预警机制较弱25 五、提升我国关键信息基础设施安全保护水平的对策建议26 （一）做好基础性研究，制定科学保护框架26 （二）增强自主创新能力，推动国产技术研发26 （三）完善检测预警机制，制定应急响应制度与事后恢复计划.27 （四）完善安全风险评估认证机制，设立关键信息基础设施专项 安全防治体系 28 （五）相关企业应构建关键信息基础设施的安全管理体系28 3 微信公众号：计算机与网络安全 一、关键信息基础设施概述 （一）关键信息基础设施定义 关于 “关键信息基础设施” （critical infor- mation infrastructure，简称 CII）， 《网络安全法》给出的定义， 即： “公共通信和信息服务、能源、交通、水利、金融、公 共服务、电子政务等重要行业和领域，以及其他一旦遭到破 坏、丧失功能或者数据泄露，可能严重危害国家安全、国计 民生、公共利益的设施。”CII 最初是由通信信息网络发展 而来，信息和电信部门构成了其主要部分。随着网络的应用 和普及，CII 不仅仅局限于此，还涵括了电信、计算机、互 联网、卫星、光纤等支撑基础设施运行的部分。 （二）范围界定 在我国， 《关键信息基础设施安全保护条例 （征求意见 稿）》对关键信息基础设施（ “CII”）的范围进行了界定。 关键信息基础设施保护范围界定如下： 1.政府机关和能源、金融、交通、水利、卫生医疗、教 育、社保、环境保护、公用事业等行业领域的单位； 2.电信网、广播电视网、互联网等信息网络，以及提供、 和其他大型公共信息网络服务的单位； 3.国防科工、大型装备、化工、食品药品等行业领域科 研生产单位； 4 微信公众号：计算机与网络安全 4.广播电台、电视台、通讯社等新闻单位； 5.其他重点单位。 公共通信和信息服务、能源、交通、水利、金融、公共 服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、 丧失功能或者数据泄露，可能严重危害国家安全、国计民生、 公共利益的关键信息基础设施。 （三）关键信息基础设施安全保护的重要性 一是关键信息基础设施关乎国家安全和社会稳定。随着 信息化的快速普及和发展，关键信息基础设施作为事关国家 安全和社会稳定的重要战略资源的地位日益凸显。首先，互 联网的飞速发展，使得网络入侵和网络攻击事件频发，严重 威胁着关键信息基础设施的正常运转，