關鍵信息基礎設施安全保護應把握幾個要點

來源:中國電子信息產業發展研究院 作者:閆曉麗 點擊量:1 發表時間:2018-01-24 15:36


 關鍵信息基礎設施是國家的重要資產,《網絡安全法》明確規定要對其實行重點保護。為落實法律要求,2017年7月10日,國家互聯網信息辦公室發布了《關鍵信息基礎設施安全保護條例(征求意見稿)》,劃定了關鍵信息基礎設施的保護范圍,明確了各相關部門的安全保護職責,規定了安全保護的基本制度。對關鍵信息基礎設施進行安全保護是各國通行的做法,美歐很早就建立了相關制度,采取了一系列措施,形成了一定的做法和經驗。當前,我國正加快構建關鍵信息基礎設施安全保護體系,應把握好幾個要點。

一、界定關鍵信息基礎設施概念

 這是對關鍵信息基礎設施進行安全保護的前提。國際上有關鍵基礎設施和關鍵信息基礎設施兩個概念。關鍵基礎設施是指對國家至關重要的系統和資產,一旦遭受破壞或毀滅,將對國家安全、經濟命脈、公民的健康安全等造成嚴重損害,如2001年美國《愛國者法》和2004年歐盟《保護關鍵基礎設施打擊恐怖主義》的規定。關鍵信息基礎設施是指對關鍵基礎設施自身至關重要或者其運行必不可少的信息通信系統,這些系統處理、接收、存儲電子信息,如2011年美國國土安全部《安全網絡未來藍圖:國土安全企業網絡安全戰略》和2005年《歐盟關鍵基礎設施保護項目綠皮書》的規定。近年來,隨著信息技術的普及和廣泛應用,關鍵基礎設施保護重點從物理保護轉向網絡安全保護,關鍵基礎設施和關鍵信息基礎設施之間的界限日益模糊。我國《關鍵信息基礎設施安全保護條例(征求意見稿)》采用關鍵信息基礎設施的概念,是符合這一趨勢的。

二、明確關鍵信息基礎設施具體范疇

 這是關鍵信息基礎設施安全保護的關鍵步驟,要實施保護必須明確哪些設施是“關鍵的”、“應當予以重點保護的”。從美歐的經驗看,識別認定關鍵信息基礎設施通常按照“關鍵領域—關鍵業務—支撐關鍵業務所需資源”的方法進行。確定關鍵領域的工作由政府主導,多通過法律政策明確規定,如美國經過不斷調整和完善,2013年第21號總統令《提高關鍵基礎設施的安全性和恢復力》確定了包括化工、商業設施、通信、關鍵制造等在內的16類關鍵領域;2005年《歐盟關鍵基礎設施保護項目綠皮書》中確定了能源、信息通信技術、水、食品、健康、金融等11類關鍵領域。關鍵業務和支撐關鍵業務所需資源的識別認定,需要依據一定的標準和程序進行,美國、歐盟都建立了基于后果的識別認定標準。美國在識別認定方面主要考慮死亡情況、經濟損失、大規模撤離和國家安全影響四個方面,歐盟主要考慮影響范圍、影響程度(從公眾影響、經濟影響、環境影響、政治影響、設施之間的相互依存關系等方面評估)、影響時間、服務的可替代性等因素。我國《關鍵信息基礎設施安全保護條例(征求意見稿)》明確劃定了關鍵信息基礎設施范圍,但是對于這些范圍中包含哪些關鍵設施,還需要進一步明確。參考美歐的做法,可以發展基于安全事件影響或后果的識別認定標準,逐步建立行業的、國家的關鍵信息基礎設施清單。

三、制定關鍵信息基礎設施安全保護標準規范

 從美國、歐盟等經驗看,標準規范是加強關鍵信息基礎設施安全保護的一項重要舉措。例如,美國2013年發布了關鍵基礎設施網絡安全框架,從識別、保護、檢測、響應、恢復五個維度和資產管理、人員評估、安全意識培訓、連續監測、響應恢復等方面加強網絡安全風險管理;今年5月又發布了《聯邦機構實施網絡安全框架指南》草案,從整合安全風險、調整采購流程、管理安全計劃等八個方面指導聯邦政府機構實施網絡安全框架。

 我國《網絡安全法》和《關鍵信息基礎設施安全保護條例(征求意見稿)》都明確規定要求運營者按照國家標準的強制性要求履行相關安全保護義務,但目前我國尚未建立關鍵信息基礎設施安全保護標準規范體系。應當結合國際國內現有網絡安全管理標準,制定相關標準規范,進一步明確和細化所有者和運營者的安全保護義務,促進其加強網絡安全風險管理。

四、提高態勢感知、應急響應和恢復能力

 關鍵信息基礎設施是網絡防御的核心,建立有韌性的網絡防御體系是各國的戰略目標。如美國2003年《網絡空間安全國家戰略》曾提出,要確保信息系統在受到攻擊的情況下還可以運行,并能很快恢復所有運行;第21號總統令《提高關鍵基礎設施的安全性和恢復力》要求國土安全部具備對關鍵基礎設施實時的態勢感知能力。不僅如此,美國還在以下四個方面采取了相關舉措。

 一是開發和部署先進性的技術,如2011年美國《聯邦網絡空間安全研發戰略規劃》,提出重點發展具有“改變游戲規則”潛力的革命性技術,并確定了四個研發主題。二是部署態勢感知系統,如美國在聯邦機構部署愛因斯坦2和愛因斯坦3,并在各網絡運行中心啟用并支持共享的態勢感知和協作。三是加強公私合作和安全威脅信息共享,如美國將共享網絡安全威脅信息和共同處理危機事件作為關鍵信息基礎設施合作的主要內容。四是規劃和執行對網絡安全事件的協調反應,通過定期的實戰演練,增強安全事件發生后的響應和恢復能力。

 建立我國關鍵信息基礎設施網絡安全監測預警體系、提升關鍵信息基礎設施應急響應和恢復能力,是當務之急。我國《關鍵信息基礎設施安全保護條例(征求意見稿)》第六章專門對監測預警、應急處置等作出了規定。但監測預警體系應當包含幾個層面、各方主體如何參與、如何建設等,這些問題還處于不夠清晰的狀態,需要進一步明確;需要建立健全政府、行業和企業信息共享機制,建設共享平臺;應急響應和恢復能力需要一方面建立應急協調指揮機制,另一方面需要深入開展跨部門、跨行業的網絡安全應急演練,在實戰中提升事件處置協同配合能力。





河北11选5