摘要:关键信息基础设施是国家的重要资产,《网络安全法》明确规定要对其实行重点保护。为落实法律要求,2017 年 7 月 10 日,国家互联网信息办公室发布了《关键信息基础设施安全保护条例(征求意见稿)》,划定了关键信息基础设施的保护范围,明确了各...
国际上有关键基础设施和关键信息基础设施两个概念。关键基础设施是指对国家至关重要的系统和资产,一旦遭受破坏或毁灭,将对国家安全、经济命脉、公民的健康安全等造成严重损害。
关键信息基础设施是指对关键基础设施自身至关重要或者其运行必不可少的信息通信系统,这些系统处理、接收、存储电子信息。
近年来,随着信息技术的普及和广泛应用,关键基础设施保护重点从物理保护转向网络安全保护,关键基础设施和关键信息基础设施之间的界限日益模糊。我国《关键信息基础设施安全保护条例(征求意见稿)》采用关键信息基础设施的概念,是符合这一趋势的。
这是关键信息基础设施安全保护的关键步骤。
要实施保护必须明确哪些设施是“关键的”、“应当予以重点保护的”。
从美欧的经验看,识别认定关键信息基础设施通常按照“关键领域—关键业务—支撑关键业务所需资源”的方法进行。确定关键领域的工作由政府主导, 多通过法律政策明确规定,如美国经过不断调整和完善,2013 年第 21 号总统令《提高关键基础设施的安全性和恢复力》确定了包括化工、商业设施、通信、关键制造等在内的 16 类关键领域。关键业务和支撑关键业务所需资源的识别认定,需要依据一定的标准和程序进行,美国、欧盟都建立了基于后果的识别认定标准。美国在识别认定方面主要考虑死亡情况、经济损失、大规模撤离和国家安全影响四个方面。
我国《关键信息基础设施安全保护条例(征求意见稿)》明确划定了关键信息基础设施范围,但是对于这些范围中包含哪些关键设施,还需要进一步明确。参考美欧的做法,可以发展基于安全事件影响或后果的识别认定标准,逐步建立行业的、国家的关键信息基础设施清单。
从美国、欧盟等经验看,标准规范是加强关键信息基础设施安全保护的一项重要举措。例如,美国 2013 年发布了关键基础设施网络安全框架,多方面加强网络安全风险管理;今年 5 月又发布了《联邦机构实施网络安全框架指南》草案。
我国《网络安全法》和《关键信息基础设施安全保护条例(征求意见稿)》都明确规定要求运营者按照国家标准的强制性要求履行相关安全保护义务,但目前我国尚未建立关键信息基础设施安全保护标准规范体系。应当结合国际国内现有网络安全管理标准,制定相关标准规范,进一步明确和细化所有者和运营者的安全保护义务,促进其加强网络安全风险管理。
如美国 2003 年《网络空间安全国家战略》曾提出,要确保信息系统在受到攻击的情况下还可以运行,并能很快恢复所有运行;第 21 号总统令《提高关键基础设施的安全性和恢复力》 要求国土安全部具备对关键基础设施实时的态势感知能力。
1.开发和部署先进性的技术,如2011年美国《联邦网络空间安全研发战略规划》,提出重点发展具有“改变游戏规则”潜力的革 命性技术,并确定了四个研发主题。
2.部署动态风险评估系统,如美国在联邦机构部署爱因斯坦2和爱因斯坦3,并在各网络运行中心启用并支持共享的风险感知和协作。
3.加强公私合作和安全威胁信息共享,如美国将共享网络安全威胁信息和共同处理危机事件作为关键信息基础设施合作的主要内容。
4.规划和执行对网络安全事件的协调反应,通过定期的实战演练,增强安全事件发生后的响应和恢复能力。
建立我国关键信息基础设施网络安全监测预警体系、提升关键信息基础设施应急响应和恢复能力,是当务之急。我国《关键信息基础设施安全保护条例(征求意见稿)》第六章专门对监测预警、应急处置等作出了规定。但监测预警体系应当包含几个层面、各方主体如何参与、如何建设等,这些问题还处于不够清晰的状态,需要进一步明确;需要建立健全政府、行业和企业信息共享机制,建设共享平台;应急响应和恢复能力需要一方面建立应急协调指挥机制,另一方面需要深入开展跨部门、跨行业的网络安全应急演练,在实战中提升事件处置协同配合能力。