德国关键信息基础设施保护制度及其对我国《网络安全法》的启示
2015-11-02刘山泉
文/刘山泉
德国关键信息基础设施保护制度及其对我国《网络安全法》的启示
文/刘山泉
2015年7月6日,我国《网络安全法(草案)》(以下简称《草案》)正式公布并向社会公开征求意见。其中,《草案》对关键信息基础设施运行安全作出专门规定并要求重点保护,成为立法亮点并引起各界广泛关注。本文对新近出台的德国关键信息基础设施保护制度进行介绍分析,为我国网络安全法的进一步完善提供参考借鉴。
一、关键信息基础设施保护概述
关键信息基础设施(CII)是指保障电力、电信、金融、国家机关等国家重要领域基础设施正常运作的信息网络。与之对应的另一概念——国家关键基础设施(CI)也由来已久,主要是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉以及国家有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。虽然两者概念不完全相同,但随着全球网络信息技术的创新发展和全面普及,尤其是国家关键基础设施普遍网络化和信息化,犯罪分子、恐怖分子、邪教组织等敌对势力通过网络发起针对关键基础设施的攻击变得非常容易,攻击源分散且隐蔽。因此国际社会的国家关键基础设施保护逐渐聚焦于国家关键基础设施的网络安全保障上。正因如此,关键信息基础设施保护和关键基础设施保护的边界逐渐模糊融合,两者经常互相交错使用,本文对两者进行综合介绍和分析。
美国是关键信息基础设施的主要倡导国。在美国网络安全的发展历程中,关键基础设施的网络安全始终是历届政府高度重视的领域。1998年5月22日,克林顿总统就发布题为《关键基础设施保护》的第63号总统令,明确了以关键基础设施保护为中心的国家安全政策,首次强调政府与民间协同的国家整体防护体系;2001年10月16日,布什政府发布了第13231号总统令《信息时代的关键基础设施保护》,要求设立总统网络安全顾问,建立总统关键基础设施保护委员会;奥巴马时代对美国国家网络安全战略进行了重大调整,对关键基础设施的网络安全倍加关注,并于2013年2月12日签署了《提升关键基础设施网络安全》13636号行政令,旨在提升美国保护关键基础设施免受网络攻击的能力,加强美国政府和运营关键基础设施的私营部门之间的信息共享,并于2014年2月12日由美国白宫发布了《提升关键基础设施网络安全框架》,加强相关工作的指导和规范。
印度近年来信息化发展较快,IT服务业尤其发达。政府也开始高度重视网络安全问题,特别是针对本国硬件和重要操作系统、网络应用服务等主要依靠进口的国情,重点强化对第三方信息技术产品和服务的网络安全审查,并于2012年颁布《国家电信政策(2012)》、2013年发布《2013年国家网络安全政策》等一系列政策法规,设立网络安全审查专门机构,着重从市场准入认证、信息技术产品或服务安全审查、外商投资审批等三个方面建立网络安全审查管理机制,积极营造安全的网络生态系统,鼓励信息技术领域的自主创新,降低供应链安全风险,保障国家关键基础设施运行安全。
此外,值得注意的是,2015年7月10日德国联邦参议院通过了新的《联邦信息技术安全法》,其中对能源、信息与通信、交通运输、卫生保健、供水、食品以及金融保险等行业中被认定为关键基础设施的运营者进行重点保护。该法案从受保护资产的可用性、完整性、保密性和可靠性的角度,强化信息技术安全局的职能,以应对信息技术系统面临的现实和未来的威胁。新的《信息技术安全法》共有十个部分,分别对原《联邦信息技术安全法》、《原子能法》、《能源产业法》、《远程媒体法》、《通信法》、《联邦薪金法》、《联邦刑侦局法》、《联邦收费权结构改革法》作了大量的修订,堪称系统完备的关键信息基础设施保护制度体系。
二、德国《联邦信息技术安全法》评析
(一)明确信息安全主管机构
法案第一部分对2009年的《联邦信息技术安全法》作了修订,首先明确了联邦信息技术安全局(BSI)作为国家信息安全主管机构,除了原有的保障联邦信息技术安全的职能外,它将作为个人、企业、行政机构、政界之间有关信息技术安全对话沟通的主要职能部门;在欧盟和国际层面,联邦信息技术安全局将作为德国信息技术和网络安全问题的国家级对话伙伴。
(二)明确关键基础设施范围
修改后的《联邦信息技术安全法》第2条10款规定,本法所述的关键基础设施是指下列的机构、设施或部门:(1)分属于能源、信息与通信、交通运输、卫生保健、供水、食品以及金融保险部门;(2)对于社会运行具有重要意义,因为它们的停运或受损将造成严重供应不足或危及公共安全。”由于德国此前并没有在法律上对关键基础设施作有定义,这条规定明确了《联邦信息技术安全法》的适用对象。定义原则上遵循了德国联邦政府内部对关键基础设施的统一分类。为落实信息技术安全法的目标,这些领域必须根据“对于社会运行具有重要意义”的标准,识别出被《信息技术安全法》列为关键基础设施的机构、设施或部门。
(三)明确关键基础设施认定标准和程序
《联邦信息技术安全法》第10条1款规定,联邦内政部在听取科学界、相关营运商和商会代表的意见并征得联邦经济与能源部、联邦司法与消费者保护部、联邦财政部、联邦劳动与社会事务部、联邦食品与农业部、联邦卫生保健部、联邦交通与数字化基础设施部、联邦国防部和德国联邦环境、自然保护、建设与核安全部的同意后,按照第2条第10款规定的“根据提供关键服务和供应程度的意义”而确定的部门中,以无需经过联邦参议院批准的法律条例的形式来确定,哪些机构、设施或部门属于本法案意义上的关键基础设施。制定或修改该条例的档案不得查询。
该条授权联邦内政部制定关键基础设施的机构、设施或部门的认定标准。认定标准的制定,从质和量上需解决两个问题,一是是否能够通过这些机构、设施或部门为社会提供关键性的服务(质),二是停运或受损是否会给重要资产和社会的运作带来根本性后果(量)。从质的角度,需要明确上述行业的哪些服务是关键性的,对于社会的运行有着重大意义,它们的停运或受损会造成供应瓶颈或者给公共安全造成重大危害。从质的角度的评价应该特别考虑人的身体、生命、健康和所有权的安全利益。从量的角度,反映的是这些机构、设施或部门的供应程度,停运或受损是否会从根本上直接或间接地影响相当大部分人口的关键服务,是否会产生巨大的不利影响。
根据政府在法案中的解释,这样的关键服务可以包括:
1 能源部门供电(行业:电力)供气(行业:燃气)供油(行业:石油)2 信息与通信部门语音和数据通讯(行业:通信、信息技术)数据的处理与存储(行业:信息技术)3 交通运输部门货运(行业:航空、海运、内河运输、铁路、公路、物流)短途客运(行业:海运、内河运输、铁路、公路、物流)长途客运(行业:航空、海运、内河运输、铁路、公路、物流)医疗供应(行业:医疗供应、实验室)4 卫生部门药品与医疗设备供应(行业:医疗供应、实验室、药品与疫苗)5供排水部门 饮用水供应(行业:公共供水)污水处理(行业:公共污水处理)6 食品部门 食品供应(行业:食品工业、食品贸易)7 金融和保险部门通过转账、支付卡和电子钱包的付款服务(行业:银行、金融服务)现金供应(行业:银行)贷款(行业:银行、金融服务)货币和外汇交易(行业:交易所、银行、支付服务)证券与衍生品交易(行业:交易所、银行、支付服务)保险服务(行业:保险)
(四)明确信息安全主管机构职责
1.安全警示职能。《联邦信息技术安全法》第7条1款规定,联邦信息技术安全局可以向公众或有关方面发布如下警示:(a)关于信息技术产品和服务中存在安全漏洞的警示;(b)关于恶意软件的警示;(c)关于数据丢失或遭遇未经授权访问事件的警示。
本条规定了联邦信息技术安全局在发生数据丢失或数据遭非法攻击时发布警示的权力。为减少损失,联邦信息技术安全局通常应该及早发布警示,告知国民,否则这样的行为将会导致重大的安全风险。该条款也允许联邦信息技术安全局向作为信息中介机构的第三方发布警示。信息中介机构由于掌握大量的信息或者享有技术优势而能尽快帮助通知到当事方。
2.安全调查职能。《联邦信息技术安全法》第7a条规定,联邦信息技术安全局可以对已经上市或即将上市的信息技术产品和系统展开调查。第三方可以为此提供支持,只要不侵犯相关产品和系统制造商的合法权益。调查结果只能用于本法所列明的目的。若有必要,联邦信息技术安全局可以转达和公布其调查结果。在公布之前,相关产品和系统的制造商享有优先表态权。
本条为联邦信息技术安全局广泛调查信息技术产品和信息技术系统提供了法律保障。对于已经入市或即将入市的被调查产品,联邦信息技术安全局可以通过购买的方式来获取。“即将上市的”被调查产品的提法则表明,调查的权限范围也包含那些制造商虽已公布、但仍未广泛见诸于市场的产品和系统。本条并没有规定联邦信息技术安全局对制造商、供应商和其他机构的调查权。在选择进行委托调查的第三方时,联邦信息技术安全局必须考虑制造商的合法权益,有义务敦促受委托的第三方保守相关的机密,也不能将调查事务委托给制造商的直接竞争对手。此外,本条还规定了调查所获取的结果的用途。如有必要,允许联邦信息技术安全局公开发布调查结果,制造商允许有机会发表看法。
3.信息评估和共享机制。《联邦信息技术安全法》第8b条规定,联邦信息技术安全局是关键基础设施营运商报告信息技术安全事项的主受理机构。联邦信息技术安全局的职能包括:(1)收集和评估有关预防信息技术安全危险的基本信息,尤其是关于安全漏洞、恶意程序、已经发生和将要发生的对信息技术安全的攻击以及从中发现的行为方式的信息;(2)同联邦主要监管机构和联邦民事保护和灾难救助局合作,分析对关键基础设施可用性的潜在影响;(3)评估关键基础设施信息技术安全态势;(4)向关键基础设施营运者通报上述评估分析的结果。
联邦信息技术安全局对汇集和评估的信息不仅供政府当局使用,而且同样也可以供他人(第三方)使用,只要这些信息对维护安全利益是必要的。除了联邦信息技术安全法划定的关键基础设施运营者外,其他的机构或企业也是得益者,它们虽非联邦信息技术安全法划定的关键基础设施的运营者,但却也被认为属于广义的关键基础设施范畴或者对相关的信息有着合理的安全利益。
4.向联邦内政部的报告义务。《联邦信息技术安全法》第13条规定,联邦信息技术安全局向联邦内政部通报其活动。通报供联邦内政部向公众提醒信息技术安全所面对的威胁,至少每年提交一次总结性报告。
该项报告义务明确了联邦内政部作为联邦信息技术安全法的监管机构需要报告其日常活动。法定的报告义务和计划中的年度报告的发布有助于提升公众的信息技术安全意识。报告是对联邦信息技术安全局已有专业信息发布的补充,也有助于联邦政府的政策讨论。
(五)明确关键基础设施运营者义务
1. 设立联络机构义务。《联邦信息技术安全法》第8b条规定,关键基础设施营运者设立一个联络机构,并保证该联络机构通信畅通,以便联邦信息技术安全局将信息通报给该联络机构。该机构的设立有助于确保关键基础设施运营者建立预警信通报机制,当关键基础设施的信息技术系统、组件或程序遭遇重大干扰时,必须保证迅速的信息沟通,即刻向联邦信息技术安全局的情况中心和其他关键基础设施运营者通报。该联络机构的设立保证了联邦信息技术安全局与关键技术设施运营者之间的信息双向互动。
2.提交安全报告义务。《联邦信息技术安全法》第8b条还规定了关键基础设施运营者向联邦信息技术安全局递交安全报告的义务。关键基础设施营运者必须将危及其信息技术系统、组件或程序的可用性、完整性、保密性和可靠性,可能或已经造成关键基础设施停运或受损的重大干扰即刻报告给联邦信息技术安全局。《原子能法》第44条、《能源产业法》第11条也作了有关安全报告的规定。信息安全报告是国家采取行动的前提,也是做出全国协同反应的基础。本条规定了关键基础设施运营者在关键基础设施可用性、完整性、保密性和可靠性遭遇重大干扰时,即时向联邦信息技术安全局报告报告的义务。当所采用的技术不再正确或无法发挥其原定的功能,或者被试图限制时,《联邦信息技术安全法》意义上的干扰就形成了,这类情形包括:安全漏洞、恶意程序、对信息技术安全实施的现实和潜在的攻击以及特别的和意外的技术缺陷等。
3.维持最低安全水平义务。《联邦信息技术安全法》第8a条规定了关键基础设施的最低安全保障水平要求。关键基础设施营运商有义务最晚在法规生效后两年内,采取适当的预防措施来避免对基础设施营运能力至关重要的信息技术系统、组件或程序的可用性、完整性、保密性和可靠性的干扰。通过检测信息技术系统、组件、程序、信息处理过程,可以确保关键基础设施运营者在信息技术对其提供关键服务具有影响的场所采取保障性措施。
4.合规性证明义务。《联邦信息技术安全法》第8a条还规定了关键基础设施营运商至少在两年内以适当的方式证明达到了最低安全标准的义务。营运商将接受审计、检测或认证包括其中所发现的安全缺陷的相关材料呈交联邦信息技术安全局。一旦有安全缺陷存在,联邦信息技术安全局可以要求索取全部的审计、检测或认证结果,并征得联邦主要监管机构的同意或者与其他的主要监管机构协商来消除安全缺陷。
三、我国关键信息基础设施保护制度的建议
我国在2003年中办发“27号”文中就提出“重点保障基础信息网络和重要信息系统安全”,并且在实践中明确基础信息网络就是公用电信网、国际互联网和广播电视传输网,重要信息系统特指银行、证券、保险、民航、铁路、电力、海关、税务等行业的系统,相关安全保护工作持续推进,运行安全总体平稳。但随着国民经济和社会信息化战略的持续深入,网络与信息系统的战略性、基础性和先导性特征日益明显,网络安全问题也逐渐呈现出经常性、交织性、衍生性和放大性的特点。加强网络安全治理,特别是对涉及国家安全和社会运行的关键信息基础设施予以重点保护,已成各方共识。《草案》为此设立了“关键信息基础设施的运行安全”一节也是业界期待,结合我国信息化发展实际和网络安全管理现状,借鉴德国等国成熟的立法和实践经验,在关键信息基础设施保护制度安排中可在以下几个方面予以重点把握。
1.明确网信部门的主管机构定位。“名不正,则言不顺”。随着2014年我国网络安全和信息化领导体制的重大调整,网信部门作为网络安全战略统筹和综合协调的职能定位逐渐为业界所认同。但关键信息基础设施保护涉及大量跨领域、跨部门、跨区域统筹问题。为此,在《草案》明确了行业主管部门的监督指导职责的基础上,应更加突出网信部门的牵头推进职能,切实避免多头管理、分头检查、重复预警的乱象。应明确网信部门在国家关键信息基础设施范围甄别与认定,安全风险评估、信息汇总、态势研判和预警处置,网络安全审查等方面的主管部门责任,以应对“谁主管、谁负责,谁运行、谁负责”管理模式带来的条块分割弊端,避免关键信息基础设施突发事件应急处置中容易出现的“两拳不能相合、首尾不能相接”情况,力求局部合理、整体最优。
2.科学合理地界定保护范围。纵观世界各国,凡是已经开展了网络安全建设的国家,都高度重视关键基础设施范围的确定,而且范围都有不断扩大的趋势,例如美国就多达17大类。德国《联邦信息技术安全法》明确,由联邦内政部在听取科学界、相关营运商和商会代表的意见的基础上确定认定标准,值得借鉴。我国《草案》首次明确了关键信息基础设施范围包括:基础信息网络、重点行业信息系统、公共服务领域重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商系统,大类上已经比较宽泛。关键是国家网信部门应该在国务院的授权下,牵头建立由学术界、曲型关键信息基础设施运营机构、主管部门、行业协会等共同参与的关键信息基础设施遴选模式,特别是认定范围的动态调整机制,做到原则性和灵活性相结合。基于国家安全和社会运行的风险评估,及时“调进和调出”关键信息基础设施名录,一方面避免信息安全技术和管理资源的浪费,另一方面最大限度的避开“漏网之鱼”。尤其重视公共服务领域重要信息系统和用户数量众多的网络服务商系统的界定。未来,随着互联网发展和城市基础设施PPP模式的持续推进,会有越来越多的市场化设施安全问题成为公共问题、社会问题甚至国家安全问题,必须及时跟进。事实上美国有85%以上的关键基础设施属于私营机构,美国《提升关键基础设施网络安全框架》的有关设定可供参考。
3.强化运营者的安全保护主体责任。关键信息基础设施的运营机构是保障设施运行安全的第一责任。以上海为例,在地方信息安全保障工作实践中,以“2000年”问题的解决为起点,确定了影响城市运行安全的重点单位名单,并结合城市信息化建设实际,进行了多轮更新和调整,建立了信息安全责任制度,要求落实信息安全主管领导、落实信息安全工作机构、落实信息安全专职人员、落实信息安全管理制度、落实信息安全技术措施、落实信息安全专项资金和人员培训等,但实践中于法无据,实际效果也是差强人意。为此,立法规定关键信息基础设施运营者的安全保护义务,解决了其保护责任模糊不明的问题十分必要。德国《联邦信息技术安全法》明确的关键基础设施运营者,在设立信息安全联络机构、提交安全报告、维持最低安全水平、安全合规性证明等方面义务设定与上海的信息安全工作实践有很多异曲同工之处。只有通过立法形式确定的强制性,才能明确相关主体责任,引起主管领导重视,客观上可以推动重点行业的信息技术或网络安全部门有效获得网络安全保障资源,密切与业务部门的配合,实现网络安全和信息化的协同发展。
4.明确设施保护的基本要求。《联邦信息技术安全法》第8a条规定了关键基础设施的最低安全保障水平要求,明确关键基础设施营运商有义务最晚在法规生效后两年内,采取适当的预防措施来避免对基础设施营运能力至关重要的信息技术系统、组件或程序的可用性、完整性、保密性和可靠性的干扰,并以检测、审计和认证等适当的方式证明达到了最低安全标准的义务。美国《提升关键基础设施网络安全框架》中按照风险和成本等因素,也将框架实现划分为“内部具备”、“熟知风险”、“符合标准”和“自动适应”等四个不同层级。与之类似,我国1994年《计算机信息系统安全保护条例》提出等级保护制度,对各类信息系统提出了分五个等级的通用安全要求,逐渐成为业界接受的基本制度。但随着移动互联网和云计算的持续发展,特别是“两化融合”的不断深入,信息物理系统日益呈现出复杂、动态和新型的特点。等级保护也因为其通用性,不可避免在面对复杂的信息物理系统形态时出现“顾此失彼”、“牵强附会”的情形,反而影响了其作为基本制度执行的严肃性。为此,借鉴国外的成熟做法,在关键设施网络安全保护中,在依托等级保护作为基本要求的同时,完善适应关键信息基础设施特点的保护制度是符合我国当前网络安全保障工作实际的。
5.强化针对关键设施保护的专门规定。目前,上海针对涉及国计民生重要信息系统(城市关键信息基础设施)的安全监管已经建立了检查评估、安全测评、等级保护、应急管理等多项制度,但制度有的是针对信息系统的、有的是面向运行管理过程的,在实施中的“交叉点”和“空白点”问题日益突出,影响了制度落实的实际效果,迫切需要完善适应强化关键信息基础设施监管要求的管理制度。与此同时,作为关键信息基础设施重要载体的信息物理系统呈现出运营主体多元化、系统形态复杂化、供应链风险凸现等特点,为此迫切需要完善风险评估和应急处置相结合,覆盖系统运行事前、事中、事后全生命周期的管理制度,并以网络安全审查制度为基础,全面规范信息安全相关技术、产品、服务、系统和人员的管理。为此,《草案》应在明确风险评估、应急处置、网络安全审查等制度基本内容和主要程序的基础上,授权国务院细化关键信息基础设施安全保护操作细则。
6.建立主管机构和运营者的安全信息双向、互惠机制。随着“互联网+”行动的持续深入,互联网正逐渐成为覆盖政治、经济、文化、社会多个领域,影响公民工作、学习和生活方方面面的基础设施,成为关键信息基础设施协同互动的重要载体。为此,加强涉及关键信息基础设施运行的安全信息交流和分享至关重要。我国在信息安全保障实践中,也推行了安全事件报告、预警信息发布、漏洞隐患通报等工作安排,但在实际操作中“事故信息隐瞒不报”、“漏洞信息多头通报”、第三方漏洞平台“绑架政府、打家劫舍”等问题突出。为此,有必要在《草案》中对涉及关键信息基础设施的安全信息分享机制作专门的条款设定,在明确关键设施运营者事故信息报告、隐患风险上报、系统重大变更报告、安全状况年度报告等义务的同时,进一步强调国家网信部门统筹面向关键设施运营者的预警信息通报机制,建立将政府掌握的有关涉密信息在符合保密规定的前提下,有序分享到关键设施运营者,并设定第三方漏洞机构对涉及关键信息基础设施的漏洞信息的合规披露义务,营造良性信息共享生态。
(作者单位:上海市经济与信息化委员会信息安全处)X
