今日頭條
官方微信
官方抖音
資訊頻道【編者按】關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點(diǎn)攻擊的目標(biāo),必須采取有效措施,切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù),而將關(guān)鍵信息基礎(chǔ)設(shè)施元素與其它信息基礎(chǔ)設(shè)施區(qū)分開來是做好安全防護(hù)工作的前提和基礎(chǔ)。近日,在2019第七屆互聯(lián)網(wǎng)安全大會(huì)上,中國電子商會(huì)自主可控技術(shù)委員會(huì)理事長馮燕春作了題為《關(guān)鍵信息基礎(chǔ)設(shè)施邊界識(shí)別刻不容緩》的主題報(bào)告,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施邊界識(shí)別的概念、進(jìn)展與標(biāo)準(zhǔn)工作進(jìn)行了深度解讀。
一、CII 概念的由來
“ 關(guān)鍵信息基礎(chǔ)設(shè)施”(Critical Information Infrastructure,CII)的概念最初起源于美國。早在 1977 年,美國總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)委員會(huì)指出,美國國家安全高度依賴信息和通信、銀行和金融、能源、運(yùn)輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施,這些基礎(chǔ)設(shè)施一旦遭到攻擊會(huì)給整個(gè)國家?guī)韲?yán)重后果。此時(shí),美國就有了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的意識(shí)雛形。由于受“911 事件”影響,1996 年,關(guān)鍵信息基礎(chǔ)設(shè)施的概念被提出并正式確定。從此,在網(wǎng)絡(luò)側(cè)加強(qiáng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)成為美國 CIP 政策新焦點(diǎn),并迅速得到世界主要大國的重視。2001年,美國頒布的“愛國者法案”還以法律的形式定義了“關(guān)鍵基礎(chǔ)設(shè)施”,特別明確了屬于國家關(guān)鍵基礎(chǔ)設(shè)施的經(jīng)濟(jì)部門范疇。未來,隨著信息化的快速發(fā)展,“關(guān)鍵信息基礎(chǔ)設(shè)施”保護(hù)將有可能逐步演變成“關(guān)鍵基礎(chǔ)設(shè)施”保護(hù)。
據(jù)統(tǒng)計(jì),目前已有 53 個(gè)國家/地區(qū)開展了本國、本地區(qū) CI/CII 保護(hù),如美國 1996 年,德國 1997 年,印度 1998年,俄羅斯 2000 年,日本 2005 年,法國 2006 年,巴西 2006 年,澳大利亞2007 年分別開展了CI/CII 保護(hù)。
就我國而言,習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上的講話中指出,金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟(jì)社會(huì)運(yùn)行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點(diǎn)攻擊的目標(biāo),必須采取有效措施,切實(shí)做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)。其實(shí),在習(xí)總書記講話之前,原國家信息技術(shù)研究中心和中國信息安全測評(píng)中心作為關(guān)鍵基礎(chǔ)設(shè)施的安全保障部門,已經(jīng)開展了相關(guān)工作,并在國家相關(guān)部門的統(tǒng)一領(lǐng)導(dǎo)下,就相關(guān)重點(diǎn)行業(yè)開展了檢查、評(píng)估工作。習(xí)總書記講話以后,我國從上到下對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施有了一個(gè)非常深刻的印象。2017 年 6月 1 日,我國正式實(shí)施了《網(wǎng)絡(luò)安全法》,對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施做了明確的定義。
二、CII 邊界識(shí)別的必要性
為什么提出邊界識(shí)別?2016 年,我作為網(wǎng)信辦組織的關(guān)鍵信息基礎(chǔ)設(shè)施檢查工作的負(fù)責(zé)人,開展相關(guān)工作時(shí)遇到了幾個(gè)問題。一是當(dāng)時(shí)網(wǎng)信辦下發(fā)了如何開展摸底檢查工作的文件,然而確定什么是關(guān)鍵信息基礎(chǔ)設(shè)施則非常復(fù)雜。為此,大家提出了一些量化的指標(biāo),但是都沒有經(jīng)過檢驗(yàn),也參考了國際上包括以前做過的一些工作的經(jīng)驗(yàn)。第二,征集關(guān)鍵信息基礎(chǔ)設(shè)施信息時(shí),哪些需要報(bào),應(yīng)該報(bào)到什么程度,都很難把握。
近幾年,在關(guān)鍵基礎(chǔ)設(shè)施的檢查評(píng)估指南中,重點(diǎn)行業(yè)都被納入到關(guān)鍵信息基礎(chǔ)設(shè)施。首先,關(guān)鍵基礎(chǔ)設(shè)施需要保護(hù)什么,電力、銀行是不是全都保護(hù),這就涉及到了邊界識(shí)別的問題。而這些重點(diǎn)行業(yè)中究竟哪些網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)需要保護(hù)則是 CII 邊界識(shí)別的核心問題。國家開展 CII 保護(hù)的根本目標(biāo)是保護(hù)重要領(lǐng)域內(nèi)的重要業(yè)務(wù)的安全,而CII 則是支撐上述關(guān)鍵業(yè)務(wù)安全運(yùn)行的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。另外,一些大的行業(yè)或系統(tǒng),比如水利、核電等,都是非常龐大的體系,而且是跨域跨部門的,不可能都重點(diǎn)保護(hù),而應(yīng)該按照業(yè)務(wù)鏈進(jìn)行。以核電為例,從最開始對(duì)核電的監(jiān)控到風(fēng)控,再到出現(xiàn)故障以后的感知報(bào)警和處置,需要分析對(duì)整個(gè)業(yè)務(wù)鏈條有影響的系統(tǒng)和設(shè)備是什么。
因此,關(guān)鍵信息基礎(chǔ)設(shè)施邊界,就是指當(dāng)運(yùn)營者被國家有關(guān)部門確認(rèn)為是CII 運(yùn)營者后,需要識(shí)別自身運(yùn)營的哪些網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)是關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行所必須的,應(yīng)當(dāng)被納入 CII 保護(hù)范圍。通俗地來講,是應(yīng)該把邊界識(shí)別概念定義為一旦業(yè)務(wù)被定為關(guān)鍵業(yè)務(wù),也明確運(yùn)營者之后,需要從保障業(yè)務(wù)安全運(yùn)行的角度搞清楚應(yīng)該保護(hù)什么。
三、CII 邊界識(shí)別的進(jìn)展與現(xiàn)狀
2016 年,中央網(wǎng)信辦組建了國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查辦公室,根據(jù)工作實(shí)際需要研究制定了一系列政策文件,用于指導(dǎo)地方、行業(yè)、企業(yè)開展關(guān)鍵信息基礎(chǔ)設(shè)施檢查工作,包括:《關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定流程》《關(guān)鍵信息基礎(chǔ)設(shè)施識(shí)別認(rèn)定方法》《關(guān)鍵信息基礎(chǔ)設(shè)施基線》等。時(shí)年,團(tuán)隊(duì)在國內(nèi)外相關(guān)研究基礎(chǔ)之上,結(jié)合我國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作實(shí)際,提出了邊界識(shí)別,然后就技術(shù)相關(guān)的情況也進(jìn)行了反復(fù)的論證和評(píng)估,提出了“基于業(yè)務(wù)信息流識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施邊界”的技術(shù)方案。
2017 年,在中央網(wǎng)信辦指導(dǎo)下,云南網(wǎng)信辦組織開展“云南省域關(guān)鍵信息基礎(chǔ)設(shè)施綜合試點(diǎn)”項(xiàng)目,對(duì)“基于業(yè)務(wù)信息流識(shí)別關(guān)鍵信息基礎(chǔ)設(shè)施邊界”進(jìn)行了實(shí)踐、驗(yàn)證、完善。2018 年 9月,在成都舉辦的國家網(wǎng)絡(luò)安全宣傳周上,團(tuán)隊(duì)首次公開向業(yè)內(nèi)介紹了“基于信息流的關(guān)鍵信息基礎(chǔ)設(shè)施邊界識(shí)別認(rèn)定方法”,并在《中國信息安全》上公開發(fā)表,得到業(yè)內(nèi)一定認(rèn)可。
2018 年底,信安標(biāo)委秘書處在中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局指導(dǎo)下, 組織開展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查標(biāo)準(zhǔn)應(yīng)用試點(diǎn)工作。“基于信息流的關(guān)鍵信息基礎(chǔ)設(shè)施邊界識(shí)別認(rèn)定方法”在此次試點(diǎn)中得到進(jìn)一步應(yīng)用和驗(yàn)證,同時(shí),編制組結(jié)合此次標(biāo)準(zhǔn)試點(diǎn)工作對(duì)技術(shù)方案又進(jìn)一步修訂、改進(jìn)。2019 年初,團(tuán)隊(duì)正式申請(qǐng)國家標(biāo)準(zhǔn)立項(xiàng)。2019 年 4月,在寧波舉辦的全國信安標(biāo)委會(huì)議周上被 WG7 推薦立項(xiàng),2019 年 8月被信安標(biāo)委批準(zhǔn)正式立項(xiàng)。
四、標(biāo)準(zhǔn)主要內(nèi)容
首先講一下標(biāo)準(zhǔn)的主要理念。CII保護(hù)的目標(biāo)是保障關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行,同一運(yùn)營者的關(guān)鍵信息基礎(chǔ)設(shè)施同其它信息基礎(chǔ)設(shè)施應(yīng)該區(qū)分開,不要混為一談。只有把重點(diǎn)明確以后,才能實(shí)現(xiàn)一體化的保護(hù)。具體的方法就是對(duì)關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行所必須的信息流從產(chǎn)生到終止所流經(jīng)的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍。
標(biāo)準(zhǔn)的框架結(jié)構(gòu)包括邊界識(shí)別基本原理、邊界識(shí)別要求、邊界識(shí)別流程以及信息備案和附錄五部分,如圖所示。在整個(gè)編寫過程中,除了檢查辦以外,交通、電力、金融等主要行業(yè)部門都參與這個(gè)標(biāo)準(zhǔn)的制定。
五、CII 邊界識(shí)別的緊迫性
國內(nèi)外相關(guān)實(shí)踐經(jīng)驗(yàn)表明, 在CII 運(yùn)營者的所有信息基礎(chǔ)設(shè)施中,有些網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)對(duì)保障關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運(yùn)行是非常關(guān)鍵的“Critical”,有些僅僅是比較重要的“Important”,甚至有一些信息設(shè)施對(duì)關(guān)鍵業(yè)務(wù)是無關(guān)緊要的“Unimportant”。因此,將關(guān)鍵的信息基礎(chǔ)設(shè)施與其它信息基礎(chǔ)設(shè)施區(qū)分開來,是開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的第一步,也是 CIIP 保護(hù)的前提和基礎(chǔ),對(duì)明確保護(hù)對(duì)象、實(shí)施重點(diǎn)保護(hù)具有重要意義。
目前,大家都還停留在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的表面上,只是宏觀地去講哪些是該保護(hù)的。至于到底落在哪個(gè)系統(tǒng)和網(wǎng)絡(luò)內(nèi),或者屬于哪個(gè)責(zé)任部門,還是不清楚。因此,要想做下去,只有解決好關(guān)鍵基礎(chǔ)設(shè)施識(shí)別認(rèn)定,這樣才能落下去。
當(dāng)前,CII 邊界識(shí)別工作刻不容緩。如今,《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》《個(gè)人信息出境安全評(píng)估辦法》等正在陸續(xù)出臺(tái),這些法律法規(guī)的落實(shí)需要明確 CII 邊界。如何指導(dǎo)運(yùn)營者梳理自身運(yùn)營的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)納入 CII 保護(hù)范疇內(nèi),也是一個(gè)急需解決的問題。希望大家能夠關(guān)注和積極參與相關(guān)工作。
來源:網(wǎng)信軍民融合
北京市公安局海淀分局備案號(hào):11010802023656號(hào)