今日頭條
官方微信
官方抖音
資訊頻道【編者按】關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點攻擊的目標,必須采取有效措施,切實做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護,而將關(guān)鍵信息基礎(chǔ)設(shè)施元素與其它信息基礎(chǔ)設(shè)施區(qū)分開來是做好安全防護工作的前提和基礎(chǔ)。近日,在2019第七屆互聯(lián)網(wǎng)安全大會上,中國電子商會自主可控技術(shù)委員會理事長馮燕春作了題為《關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別刻不容緩》的主題報告,對關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別的概念、進展與標準工作進行了深度解讀。
一、CII 概念的由來
“ 關(guān)鍵信息基礎(chǔ)設(shè)施”(Critical Information Infrastructure,CII)的概念最初起源于美國。早在 1977 年,美國總統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施保護委員會指出,美國國家安全高度依賴信息和通信、銀行和金融、能源、運輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施,這些基礎(chǔ)設(shè)施一旦遭到攻擊會給整個國家?guī)韲乐睾蠊4藭r,美國就有了關(guān)鍵信息基礎(chǔ)設(shè)施保護的意識雛形。由于受“911 事件”影響,1996 年,關(guān)鍵信息基礎(chǔ)設(shè)施的概念被提出并正式確定。從此,在網(wǎng)絡(luò)側(cè)加強對關(guān)鍵基礎(chǔ)設(shè)施的保護成為美國 CIP 政策新焦點,并迅速得到世界主要大國的重視。2001年,美國頒布的“愛國者法案”還以法律的形式定義了“關(guān)鍵基礎(chǔ)設(shè)施”,特別明確了屬于國家關(guān)鍵基礎(chǔ)設(shè)施的經(jīng)濟部門范疇。未來,隨著信息化的快速發(fā)展,“關(guān)鍵信息基礎(chǔ)設(shè)施”保護將有可能逐步演變成“關(guān)鍵基礎(chǔ)設(shè)施”保護。
據(jù)統(tǒng)計,目前已有 53 個國家/地區(qū)開展了本國、本地區(qū) CI/CII 保護,如美國 1996 年,德國 1997 年,印度 1998年,俄羅斯 2000 年,日本 2005 年,法國 2006 年,巴西 2006 年,澳大利亞2007 年分別開展了CI/CII 保護。
就我國而言,習近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會上的講話中指出,金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞,是網(wǎng)絡(luò)安全的重中之重,也是可能遭到重點攻擊的目標,必須采取有效措施,切實做好國家關(guān)鍵信息基礎(chǔ)設(shè)施安全防護。其實,在習總書記講話之前,原國家信息技術(shù)研究中心和中國信息安全測評中心作為關(guān)鍵基礎(chǔ)設(shè)施的安全保障部門,已經(jīng)開展了相關(guān)工作,并在國家相關(guān)部門的統(tǒng)一領(lǐng)導(dǎo)下,就相關(guān)重點行業(yè)開展了檢查、評估工作。習總書記講話以后,我國從上到下對關(guān)鍵信息基礎(chǔ)設(shè)施有了一個非常深刻的印象。2017 年 6月 1 日,我國正式實施了《網(wǎng)絡(luò)安全法》,對關(guān)鍵信息基礎(chǔ)設(shè)施做了明確的定義。
二、CII 邊界識別的必要性
為什么提出邊界識別?2016 年,我作為網(wǎng)信辦組織的關(guān)鍵信息基礎(chǔ)設(shè)施檢查工作的負責人,開展相關(guān)工作時遇到了幾個問題。一是當時網(wǎng)信辦下發(fā)了如何開展摸底檢查工作的文件,然而確定什么是關(guān)鍵信息基礎(chǔ)設(shè)施則非常復(fù)雜。為此,大家提出了一些量化的指標,但是都沒有經(jīng)過檢驗,也參考了國際上包括以前做過的一些工作的經(jīng)驗。第二,征集關(guān)鍵信息基礎(chǔ)設(shè)施信息時,哪些需要報,應(yīng)該報到什么程度,都很難把握。
近幾年,在關(guān)鍵基礎(chǔ)設(shè)施的檢查評估指南中,重點行業(yè)都被納入到關(guān)鍵信息基礎(chǔ)設(shè)施。首先,關(guān)鍵基礎(chǔ)設(shè)施需要保護什么,電力、銀行是不是全都保護,這就涉及到了邊界識別的問題。而這些重點行業(yè)中究竟哪些網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)需要保護則是 CII 邊界識別的核心問題。國家開展 CII 保護的根本目標是保護重要領(lǐng)域內(nèi)的重要業(yè)務(wù)的安全,而CII 則是支撐上述關(guān)鍵業(yè)務(wù)安全運行的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。另外,一些大的行業(yè)或系統(tǒng),比如水利、核電等,都是非常龐大的體系,而且是跨域跨部門的,不可能都重點保護,而應(yīng)該按照業(yè)務(wù)鏈進行。以核電為例,從最開始對核電的監(jiān)控到風控,再到出現(xiàn)故障以后的感知報警和處置,需要分析對整個業(yè)務(wù)鏈條有影響的系統(tǒng)和設(shè)備是什么。
因此,關(guān)鍵信息基礎(chǔ)設(shè)施邊界,就是指當運營者被國家有關(guān)部門確認為是CII 運營者后,需要識別自身運營的哪些網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)是關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行所必須的,應(yīng)當被納入 CII 保護范圍。通俗地來講,是應(yīng)該把邊界識別概念定義為一旦業(yè)務(wù)被定為關(guān)鍵業(yè)務(wù),也明確運營者之后,需要從保障業(yè)務(wù)安全運行的角度搞清楚應(yīng)該保護什么。
三、CII 邊界識別的進展與現(xiàn)狀
2016 年,中央網(wǎng)信辦組建了國家關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查辦公室,根據(jù)工作實際需要研究制定了一系列政策文件,用于指導(dǎo)地方、行業(yè)、企業(yè)開展關(guān)鍵信息基礎(chǔ)設(shè)施檢查工作,包括:《關(guān)鍵信息基礎(chǔ)設(shè)施識別認定流程》《關(guān)鍵信息基礎(chǔ)設(shè)施識別認定方法》《關(guān)鍵信息基礎(chǔ)設(shè)施基線》等。時年,團隊在國內(nèi)外相關(guān)研究基礎(chǔ)之上,結(jié)合我國關(guān)鍵信息基礎(chǔ)設(shè)施保護工作實際,提出了邊界識別,然后就技術(shù)相關(guān)的情況也進行了反復(fù)的論證和評估,提出了“基于業(yè)務(wù)信息流識別關(guān)鍵信息基礎(chǔ)設(shè)施邊界”的技術(shù)方案。
2017 年,在中央網(wǎng)信辦指導(dǎo)下,云南網(wǎng)信辦組織開展“云南省域關(guān)鍵信息基礎(chǔ)設(shè)施綜合試點”項目,對“基于業(yè)務(wù)信息流識別關(guān)鍵信息基礎(chǔ)設(shè)施邊界”進行了實踐、驗證、完善。2018 年 9月,在成都舉辦的國家網(wǎng)絡(luò)安全宣傳周上,團隊首次公開向業(yè)內(nèi)介紹了“基于信息流的關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別認定方法”,并在《中國信息安全》上公開發(fā)表,得到業(yè)內(nèi)一定認可。
2018 年底,信安標委秘書處在中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局指導(dǎo)下, 組織開展關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查標準應(yīng)用試點工作。“基于信息流的關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別認定方法”在此次試點中得到進一步應(yīng)用和驗證,同時,編制組結(jié)合此次標準試點工作對技術(shù)方案又進一步修訂、改進。2019 年初,團隊正式申請國家標準立項。2019 年 4月,在寧波舉辦的全國信安標委會議周上被 WG7 推薦立項,2019 年 8月被信安標委批準正式立項。
四、標準主要內(nèi)容
首先講一下標準的主要理念。CII保護的目標是保障關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行,同一運營者的關(guān)鍵信息基礎(chǔ)設(shè)施同其它信息基礎(chǔ)設(shè)施應(yīng)該區(qū)分開,不要混為一談。只有把重點明確以后,才能實現(xiàn)一體化的保護。具體的方法就是對關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行所必須的信息流從產(chǎn)生到終止所流經(jīng)的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)納入關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍。
標準的框架結(jié)構(gòu)包括邊界識別基本原理、邊界識別要求、邊界識別流程以及信息備案和附錄五部分,如圖所示。在整個編寫過程中,除了檢查辦以外,交通、電力、金融等主要行業(yè)部門都參與這個標準的制定。
五、CII 邊界識別的緊迫性
國內(nèi)外相關(guān)實踐經(jīng)驗表明, 在CII 運營者的所有信息基礎(chǔ)設(shè)施中,有些網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)對保障關(guān)鍵業(yè)務(wù)持續(xù)、穩(wěn)定運行是非常關(guān)鍵的“Critical”,有些僅僅是比較重要的“Important”,甚至有一些信息設(shè)施對關(guān)鍵業(yè)務(wù)是無關(guān)緊要的“Unimportant”。因此,將關(guān)鍵的信息基礎(chǔ)設(shè)施與其它信息基礎(chǔ)設(shè)施區(qū)分開來,是開展關(guān)鍵信息基礎(chǔ)設(shè)施保護的第一步,也是 CIIP 保護的前提和基礎(chǔ),對明確保護對象、實施重點保護具有重要意義。
目前,大家都還停留在關(guān)鍵信息基礎(chǔ)設(shè)施保護的表面上,只是宏觀地去講哪些是該保護的。至于到底落在哪個系統(tǒng)和網(wǎng)絡(luò)內(nèi),或者屬于哪個責任部門,還是不清楚。因此,要想做下去,只有解決好關(guān)鍵基礎(chǔ)設(shè)施識別認定,這樣才能落下去。
當前,CII 邊界識別工作刻不容緩。如今,《關(guān)鍵信息基礎(chǔ)設(shè)施保護條例》《網(wǎng)絡(luò)安全審查辦法》《個人信息出境安全評估辦法》等正在陸續(xù)出臺,這些法律法規(guī)的落實需要明確 CII 邊界。如何指導(dǎo)運營者梳理自身運營的網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)納入 CII 保護范疇內(nèi),也是一個急需解決的問題。希望大家能夠關(guān)注和積極參與相關(guān)工作。
來源:網(wǎng)信軍民融合
北京市公安局海淀分局備案號:11010802023656號