周亚超,刘金芳
(1.中国信息安全研究院,北京102209;2.赛迪智库网络空间研究所,北京100036)
针对关键信息基础设施的网络攻击是世界各国面临的共同挑战。金融、能源、通信、交通等重点行业和领域的关键信息基础设施是经济社会运行的神经中枢,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生和公共利益。当前,我国关键信息基础设施面临的网络安全形势严峻复杂,网络安全防控能力薄弱,难以有效应对网络攻击。
美欧各国均将其视为网络安全和国家安全的一个重要部分,以及防范恐怖主义打击的重点。美国早在克林顿政府时期就出台了关键基础设施保护政策,经过了20多年的探索,逐步形成了较为完善的关键基础设施管理体系和方法。近年来,欧盟高度重视关键信息基础设施安全,发布了近10项政策决议以加强其网络安全防护。美欧关键信息基础主要由私营部门运营,强调实施公私合作的自愿性保护框架,但实际上关键信息基础设施保护工作仍是依靠政府部门来主导和实施。
美国关键信息基础设施保护机构及其职能划分比较明确,机构设置呈现体系化,逐步建立了以国土安全部为主导、基础设施特定领域机构(SSA)具体负责和配合本领域关键信息基础设施保护工作,形成了各部门之间职能分工明确、相互协调的关键信息基础设施保护组织体系。同时,美国政府认识到关键信息基础设施保护是政府部门与私营部门的共同责任,不仅强调政府相关部门在关键信息基础设施保护方面的重要作用,还始终鼓励和倡导私营部门与政府相关部门加强合作与交流,在关键信息基础设施保护计划、协调、实施和运行方面协同努力。
在管理体制方面,2002年美国依据《国土安全法》成立国土安全部,负责协调政府的关键基础设施保护工作,同时在不同的关键基础设施部门内还设置有对应的联邦机构负责具体实施这一部门的关键基础设施保护工作。2003年发布第7 号国土安全总统指令(HS PD-7)《关键基础设施标识、优先级和保护》[1],确定了美国关键信息基础设施保护框架的基础性政策,该法令认为各关键基础设施部门都有其独特的特征和运行模式,明确指定了基础设施保护行业主管部门,包括农业部、健康和公共服务部、环境保护局、能源部、财政部、国防部,并关系到关键基础设施和重要资源保护的各联邦部局以及各个总统行政办公室纳入到保护框架之内,包括国务院、司法部、商务部、关键基础设施保护政策协调委员、管理和预算办公室、首席信息官委员会等。2013年,HSPD-7被撤销并被第21号总统令取代,但延续了之前的保护框架。
在部门工作协调方面,最早的基础设施保护政策《第63号总统决定令:克林顿政府对关键基础设施保护的政策》[2]就明确了部门联络的领导机构、特殊职能的领导机构、跨机构协调机制。由领导机构、国家经济委员会和国家协调员的推荐,总统指派一个由大型基础设施提供商和州及地方官员组成的小组,组成国家基础设施保障委员会,委员会主席由总统指定。国家协调员将担任该委员会的执行主任。国家基础设施保障委员会将定期集会,以加强关键基础设施保护中公共和私营部门间的合作关系,并在必要的时候向总统提交报告。
在政策执行层面,美国国土安全部下设两个办公室,基础设施保护办公室、网络安全和通信办公室并分别设有中心,以加强部门间协调。2014年国土安全部在基础设施保护办公室原有职能的基础上,单独组建了网络基础设施分析办公室(OCIA),具体负责落实综合分析和标识关键基础设施的要求。
在预警响应方面,2016年发布了第41号总统政策令《网络事件协调》[3]和国土安全部《国家网络事件响应计划》[4]规定,由国土安全部负责运营国家基础设施保护中心、信息共享与分析中心等,负责实现信息整合和分析功能,为其他关键基础设施相关角色提供态势感知,对关键基础设施进行物理和网络保护,以保障国家关键信息基础设施安全事件监测通报与预警的有效实施。在能力建设方面,保持对网络威胁的态势感知,检测网络威胁,减轻事件影响,响应事件并从中恢复。
在技术标准层面,根据《改善关键基础设施的网络安全行政令》[5]制定了网络安全框架。该框架通过基于风险的方法,使用现有的标准和最佳实践,帮助关键基础设施的运营使用单位应对网络空间的风险,构建了包括识别、保护、监测、响应和恢复在内的CIIP 网络安全框架,提出安全基线要求并借助NIST 80053、ISO/IEC 27001、COBIT、COSO、ISA等信息安全管理标准作为控制目标的实现。
此外,由于基础设施主要由私营部门运营,基础设施保护的一个重点工作是促进对信息安全事件预警信息的共享。鼓励私营部门建立信息共享与分析中心,在法律允许的范围内向特定部门机构或其他关键基础设施部门的合作伙伴提供情报和信息,提供实时的威胁和事件报告、警报和预警,并对敏感信息进行保护。
欧盟在关键信息基础设施保护方面的政策立法主要包括:2004年发布《打击恐怖活动,加强关键基础设施保护的通讯》,给出了关键基础设施的定义;2005年发布《保护关键基础设施的欧洲计划(EPCIP)》,该计划明确了关键信息基础设施和关键信息基础设施保护的定义,设立关键基础设施预警信息网络委员会(CIWIN),确定关键基础设施认定标准和关键部门,强调公私合作;2006年发布《关于欧盟理事会制定识别、指定欧洲关键基础设施并评估提高保护的必要性指令的建议》,该建议明确了关键基础设施的定义,要求设立安全联络官,建立关键基础设施风险和威胁评估报告;2009年发布《关键信息基础设施保护战略:保护欧洲免受大规模网络攻击和中断》,该报告是欧盟关键信息基础设施保护战略,旨在使欧盟更好地应对任何网络攻击和入侵,主要包括就绪和预防、检测和响应、缓解和恢复、国际和欧盟范围内的合作、关键基础设施标准几个方面。
根据《 保护关键基础设施的欧洲计划(EPCIP)》[6],欧盟关键信息基础设施保护遵循几项原则:协助原则,关键基础设施预警信息网络委员会根据成员国的请求,对成员国国家关键基础设施保护提供协助;互补原则,避免在欧盟、国家或地区层面做出重复努力,补充并充分利用现有措施;保密原则,对关键基础设施保护信息(CIPI)进行分级并设定访问权限,在安全可信的环境下进行信息共享;利益相关者合作原则,确保所有关键基础设施利益相关者尽可能参与到欧洲关键基础设施保护计划的制定和实施中;风险原则,根据风险和威胁类型选择需要实施的安全措施。
在组织机构方面,划分为国家之间、国家与企业、企业之间不同的层面。在欧盟层面设立关键基础设施联络小组,以推动欧洲关键基础设施保护计划总体方面和各部门具体行动的开展。各成员国设立一个关键基础设施联络点,负责与其他成员国、理事会以及委员会协调成员国内的关键基础设施事项。关键基础设施联络点的指定将不会排除其他成员国机构对于关键基础设施事项的参与。在企业层面,建立关键信息基础设施保护的组织协调机构,即安全联络官制度。关键基础设施所有者或运营者指定一名安全联络官,作为与所在成员国关键基础设施保护机关之间的联络点。
在预警响应方面,提出建立关键基础设施预警信息网络(CIWIN)、早期预警机制和欧洲信息共享和预警系统(EISAS)。促进信息共享,建立相互信任的关系,确保自愿共享的私有的、敏感的或个人信息将不会被公开披露并且这些敏感数据将得到充分的保护。
一是将关键信息基础设施保护上升到立法的高度。美欧等国不仅通过制定和发布国家战略、国家政策和命令,还通过出台相关立法满足关键信息基础设施的保护需求,并在其中明确了关键信息基础设施保护的具体措施,相应的组织管理机构体系及其职责等内容。
二是构建关键信息基础设施保护的组织管理体系。多数国家建立了包括政府部门和私营机构共同参与的关键信息基础设施保护的组织管理体系,关键信息基础设施保护的责任都是由不同政府部门的多个机构和单位共同承担,其职责和分工明确,并且相互之间形成了良好的协调机制。此外,还需要设立关键信息基础设施保护的强力监管部门。例如,美国授权国土安全部对关键信息基础设施保护工作实施监督管理。
一是建立关键信息基础设施保护监测通报与预警平台。各国已经纷纷通过建立相应的监测与预警发布中心,保障国家关键信息基础设施监测通报与预警的有效实施,如美国的国家基础设施保护中心,负责全天候监测和分析针对关键信息基础设施的网络威胁信息。
二是建立关键信息基础设施保护的信息共享机制。各国在关键信息基础设施保护的监测、预警、应急、响应等方面都建立了及时高效的、上通下达的网络安全信息共享机制,其中涉及政府部门之间,私营部门之间以及政府与私营部门之间,国家之间的关键信息基础设施保护的信息共享,如美国的信息共享与分析中心、欧洲的早期预警和信息系统、欧洲网络和信息安全局等。
三是为关键信息基础设施运营者提供技术支持。美欧等国将关键信息基础设施保护上升到国家安全和社会稳定的高度,提出对关键信息基础设施保护的实施给予充足的财政保障,并由政府机构为关键信息基础设施运营者提供技术支持,强调政府鼓励和支持相关技术和产品的研究与开发,保障对进行关键信息基础设施保护的研究中心、大学和公司提供相应的政策和经费支持。
关键信息基础设施安全基线要求作为一种行之有效的网络安全保护方法,其制定和实施将对关键信息基础设施运营单位产生深远的影响。围绕安全风险,安全基线要求的制定不仅考虑通用的安全风险,也需要考虑不同部门或组织内不同业务职能特有的风险情景。例如,能源、金融和健康医疗企业也可能面临不同的风险情景或后果;企业内部支付系统与人事管理系统的风险也会不同。
一般来说,安全基线的制定和选择有两种方法,以结果为导向的方法和基于控制措施的方法,两种方法对于组织风险管理来说是互补的。以结果为导向的方法通过建立必要的流程和能力来应对不断变化的威胁,确保基线能够应对威胁环境的变化,在这个过程中不断学习和改进。该方法有助于实现同一个组织内部不同部门角色之间的转换,如业务部门、安全部门、信息技术部门等,其缺点是可实施性较差、难以把握,对组织的适应性要求较高并需要有一定的安全基础。
基于控制措施的方法提供了应对常见网络安全风险的基本要求,适合于网络安全能力有限的组织来改善安全状况。但基线要求不能脱离业务环境孤立存在,静态的控制措施容易形成合规性的思维模式,人为限制了如何实现安全保障。例如,站在企业管理层的角度,满足基线要求就不用支持必要的安全投入了,即使出现了更先进、更有效的技术方案也不必更新。而以结果为导向的方法更易于调整和改进组织管理,升级和开发新的安全技术方式,实现关键信息基础设施的动态防护。
从美欧关键信息基础设施保护的实践可以发现,各国从政策立法、管理和技术层面进行综合性的保障制度构建,注重对安全风险进行管理控制,强调预警和应急制度,加强信息共享,提供安全要求标准化参考,形成网络安全基线要求。这些可以为我国关键信息基础设施保护工作的开展提供参考,对我国关键信息基础设施保护工作有重要的借鉴意义。