关键信息基础设施安全保护运营措施分析与建议

高焕新,高永前

(中国电子信息集团有限公司第六研究所，北京 100083)

0 引言

关键信息基础设施保护是各领域关键业务正常运行的保障，文章通过分析对比美国、欧盟和日本在关键信息基础设施的认定方式以及保护措施，结合我国网络安全法律法规、信息安全相关技术、科学管理以及实际工作，给出我国在关键信息基础设施保护运营措施上的优化建议，目的是提高我国关键信息基础设施保护运营者的安全保护能力、更好地实施关键信息基础设施保护的国家战略。

1 关键信息基础设施概念

关键信息基础设施(Critical Information Infrastructure，CII)是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，这些系统一旦发生网络安全事故，将会对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重威胁与损失。2016年11月7日，我国十二届全国人民代表大会常务委员会第二十四次会议通过了《中华人民共和国网络安全法》(以下简称《网络安全法》)，自2017年6月1日起施行。《网络安全法》在对关键信息基础设施的运行安全中指出，在网络安全等级保护制度的基础上，实行重点保护。在法律上对关键信息基础设施的概念做出界定，对开展关键信息基础设施安全保护提供法律依据。

在国外，美国将关键信息基础设施定义为一种计算机资源，一旦其能力丧失或遭到破坏，就会影响国家安全、经济安全、公共健康和安全。结合我国和美国对关键信息基础设施的定义，关键信息基础设施在国家层面是支撑国计民生正常运行，遭受网络攻击后可影响国家安全的设施；在企事业单位层面关键信息基础设施概括为关键业务的一种计算机和通信资源。

2 关键信息基础设施范围及认定

《网络安全法》在2017年6月1日施行后，国家互联网信息办公室在2017年7月11日发布《关键信息基础设施安全保护条例(征求意见稿)》，其中对关键信息基础设施范围及认定作出说明。

2.1 关键信息基础设施范围

《关键信息基础设施安全保护条例(征求意见稿)》中建议关键信息基础设施范围应包括政府机关，能源，金融，交通，水利等、电信、国防、通讯和其它重要单位五方面。随后国家部门发布的《关键信息基础设施确定指南(试行)》中指出关键信息基础设施的范围包括网站类、平台类和生产业务类系统三类。

2.2 关键信息基础设施认定

国内外在关键信息基础设施认定上基本上采用立法保护、明确标准的方式。

2.2.1国外认定方法

俄罗斯早在 2000年由普京总统签署了《俄罗斯联邦信息安全学说》，不断加大在关键信息基础设施上的立法。在2018年1月1日《俄罗斯联邦关键信息基础设施安全法》生效，作为该安全法的附属性文件，2018年2月8日，俄罗斯联邦政府通过第127号决议《关于确认俄罗斯联邦关键信息基础设施客体等级划分的规定，以及俄罗斯联邦关键信息基础设施客体重要性标准参数列表》，该标准参数列表中给出等级划分规定以及将重要性标准指标从低到高划分为三级、二级、一级共三个等级，根据参数的种类分为社会、政治、经济、生态环境以及国家法制程序和国家安全、国防保障五个部分。这些国家立法保护上的标准为关键信息基础设施认定上提供明确认定依据。

美国采用关键领域-关键业务-支撑关键业务所需资源的方式对关键信息基础设施进行认定[1]，欧盟和日本也采用类似的认定方式，如表1所示。

表1 国外关键信息基础设施认定方法

2.2.2国内认定方法

我国在《关键信息基础设施确定指南(试行)》中对关键信息基础设施的认定通常分为三个步骤，确定关键业务-确定支撑关键业务的信息系统或工业控制系统-根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失来认定关键信息基础设施。其中对关键业务、关键业务的信息系统或工业控制系统和认定关键信息基础设施给出参考标准，各行业根据参考标准，结合自身的实际情况确定本地区、本部门、本行业的关键信息基础设施。

关键信息基础设施识别认定过程中，应当多方参与，充分发挥有关专家作用，提高关键信息基础设施识别认定的准确性、合理性和科学性，认定标准要不断吸收实践经验，对不合理的地方实现动态调整。

3 关键信息基础设施保护措施

关键信息基础设施保护(Critical Information Infrastructure Protection，CIIP)包括关键信息基础设施的系统、物理设施、系统运行人员、制度和政策法律。在信息技术层面是基于网络安全层面下对关键信息基础设施涉及计算机和通信资源的保护。

3.1 国外保护措施

美国2013 年发布的关键基础设施网络安全框架中，从识别、保护、检测、响应、恢复五个维度和资产管理、人员评估、安全意识培训、连续监测、响应恢复等方面加强网络安全风险管理[2]。在关键信息基础设施保护上，美国、欧盟和日本除了国家/联盟立法保护外，美国采用明确联邦政府职责分工、制定国家保护计划，网络安全框架、政府与企业合作，信息共享等方式；欧盟采用加强评估、应急计划、协调机制、预防为主、国际合作[3]；日本采用信息共享、认证评估、应急响应、协调机制、建立相关委员会等方式[4]，如表2所示。

表2 国外关键信息基础设施主要保护措施

3.2 国内保护措施

习近平总书记在2016年4月网络安全和信息化工作座谈会上的讲话指出关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。关键信息基础设施保护是我国的一项国家战略，我国在《关键信息基础设施安全保护条例(征求意见稿)》中指出关键信息基础设施安全保护坚持顶层设计、整体防护，统筹协调、分工负责的原则，充分发挥运营主体作用，社会各方积极参与，共同保护关键信息基础设施安全。其中详细给出关键岗位专业技术人员实行执证上岗制度、监测预警、应急处置和检测评估、安全信息共享机制、网络安全事件应对和灾难恢复能力等保护措施，明确了关键信息基础设施运营者在关键信息基础设施安全保护的法律责任以及网络安全保护义务。我国在关键信息基础设施安全保护上应严格按照《关键信息基础设施安全保护条例(征求意见稿)》，同时参考借鉴国内外的经验，结合具体实施单位情况制定实施措施，以下是我国现行的一些主要关键信息基础设施保护措施。

3.2.1国家支持与保障

国家制定产业、财税、金融、人才等政策支持关键信息基础设施安全相关的技术、产品、服务创新，推广安全可信的网络产品和服务，培养和选拔网络安全人才，提高关键信息基础设施的安全水平。国家建立建全安全保护法律，公安机关等部门依法打击针对和利用关键信息基础设施的各类违法活动。国家立足开放环境维护网络安全，积极开展关键信息基础设施安全领域的国际交流与合作。

3.2.2国家统一规划协调，统一标准

对关键信息基础设施保护，国家应该进行顶层设计，统一规划协调。国家应该根据关键信息基础设施范围对关键业务的保护标准进行划分，标准划分要科学合理，经过科学论证和实践检验。

3.2.3整体防护，重视细节

对关键信息基础设施保护的首要任务是保护各个节点上的网络安全，运营节点是整体防护不可分拆的部分。木桶原理在大型系统的应用就是指系统的整体安全水平取决于木桶各个组成木板的最短板。从基层运营节点按树形向根部归并，保好基层节点安全，才能保好整体安全。

关键信息基础设施保护要充分重视细节，严审各个细节的输入，例如运营者采购网络设备及软件产品时，要对产品进行安全检测、检查安全缺陷、漏洞，消除安全隐患，对有安全隐患的产品一律不予采购。

3.2.4监测预警，快速响应

运营者应建立监测预警、应急处置恢复机制，不断加强监测预警机制[5]，对预警的处理时间做出实际测试，定期以实际应急演练方式来模拟网络环境受到威胁时，采取保护行动来检验紧急情况下应急机制的有效性，确保操作人员熟练准确掌握操作方法。同时检查网络环境的健壮性，以及数据安全、数据恢复和系统的可用性。采取检测防御的方式对数据非法访问进行自动记录、跟踪、及时发现和预警上报。一旦关键信息基础设施受到威胁时，应急响应模式可以及时起动、及时清除危险，恢复运行环境。

3.2.5网络威胁情报共享

运营者要加强网络威胁情报共享，重视网络威胁情报的收集，将数据以可信的方式准确记录在数据库中，必要时与其它运营者或者国家机关共享。运营者可以对共享数据进行大数据分析，发现有价值的信息，帮助运营者快速分析威胁数据、确定威胁来源、判定类别、提供决策帮助和解决方案，在本单位内提前实施预防措施，一旦有已识别出的相同或类似的网络威胁发生时，运营者可以快速实施解决方案。

4 对我国关键信息基础设施保护的优化建议

4.1 国家加大支持力度

我国应继续加大对关键信息基础设施科研机构、大学、企业、运营者在政策和经费上的支持，关注专业人才培养、培训和教育。

4.2 立足科学管理

运营者应充分重视科学管理的重要性，要充分做好计划、组织、协调和控制的管理作用。采用科学管理方法，建立科学管理制度，设立信息安全部门，设立首席信息官CIO专门负责，聘请经验丰富的网络安全领域管理专家对运营保护模式进行架构设计，实施顶层管理，充分发挥专家作用。管理不是一成不变的，在管理中要采用PDCA循环，不断接收反馈，持续改进，加强保护效果。同时运营者要采用实行风险管理、鼓励科技创新，以发展的眼光来不断加强安全保护能力。

4.3 重视人才培养

人才是立国和科技竞争之本，人才是现代企业中最重要的活用资源。运营者要有国家战略大局观，立足长远制定关键人才培养计划，提供人才战略可持续发展的优良环境，为人才提供广阔的施展空间，无论是关键信息基础设施保护上的哪一环节都要以人才为中心，培养优秀人才服务于关键信息基础设施的保护。

4.4 掌握核心技术

运营者要掌握核心技术，不断研发和部署先进性技术对设施进行保护。运营者在网络安全运用上需要在硬件、软件两方面着手。

在硬件保护方式上可采用核心网络跟外部环境进行物理隔离的方式，可选用的方案有防火墙或者网闸等硬件设备。在软件保护方式上，运营者应采取技术先进、分层、可扩展的软件架构，软件要做到自主可控，排除安全隐患。在资源访问上实行访问控制、身份认证、按角色授权、操作日志记录、日志审计、防抵赖、监控预警，数据要实行保密性处理、完整性验证，防篡改，运行环境安全上采用防病毒软件并及时更新病毒库查杀内部木马等计算机病毒，杜绝一切安全隐患，保证关键信息基础设施安全。在关键资源上应有冗余备份能力、灾难恢复能力等安全保护措施。运营者还需结合本单位现有硬件、软件的实际部署情况，制定安全策略，并行物理、人工、技术等防护措施，切实提高对关键信息基础设施的保护能力。

5 结论

关键信息基础设施安全保护任务艰巨，是一项长期并不断改进的工作，国家在政策支持、立法保障上给予充分保障，运营者应在思想上高度重视、从国家战略高度按照《关键信息基础设施安全保护条例(征求意见稿)》中的规定，结合实际，同时从科学管理、人才培养和技术能力多方面对关键信息基础设施进行保护，基于保护好各个节点的前提下进行整体保护，提高风险防范和应急处置能力，以发展的眼光确实加强保护能力，确保关系国计民生的关键信息基础设施安全。

[1] 闰晓丽，孟洪杰．美欧关键信息基础设施识别认定的做法及对我国的启示[J].信息安全研究,2017(10)：2-3.

[2] 闫晓丽．关键信息基础设施安全保护应把握几个要点[J].中国信息安全,2017(10)：2.

[3] 张弛崔，占华闰．美国关键基础设施安全管理综述[J].信息安全研究,2017(8)：5-7.

[4] 黄道丽，方婷．日本关键信息基础设施保护制度及对我国的启示[J].信息安全研究,2016(7)：1-3.

[5] 徐丽萍，张大伟．新形势下的关键信息基础设施保护及思考[C]//第32次全国计算机安全学术交流会论文集,2017(10)：3.