关键信息基础设施范围与特点解析
2018-03-01周亚超刘金芳
周亚超 刘金芳
摘 要:关键信息基础设施是恐怖主义和网络攻击的重点对象,各国均将视为网络安全的重点并上升到国家安全的高度。通常认为,关键基础设施或关键信息基础设施是支撑国家安全和公共利益的重要基础设施,但是因为各国惯例和实际情况不同,对关键信息基础设施的名称和定义有所不同。尽管我国《网络安全法》等法律法规给出了关键信息基础设施定义,但较为模糊。论文梳理了国内外主要国家和地区关键信息基础设施的概念,总结关键信息基础设施的特点,并基于基础设施的概念与特点,对关键信息基础设施保护与一般网络安全保护制度进行了分析比较。
关键词:关键信息基础设施;概念;范围;特点
中图分类号:TP274+.2 文献标识码:B
1 引言
信息通信技术发展为社会经济发展提供了巨大的潜力。随着云计算、物联网、虚拟现实、人工智能等下一代信息通信技术的发展,人们生活所依赖的数字互联程度越来越高,另一方面网络犯罪日益频发,网络安全问题不容忽视。关键信息基础设施保护是世界各国政府和相关企业面临的普遍问题。例如,2015年联合国政府专家组报告将关键信息基础设施保护作为“负责任国家行为”的一个重要方面,推动在双边和多边网络安全合作框架下形成国际共识。
加强关键信息基础设施概念的研究,对于开展关键信息基础设施保护工作具有重大意义。关键信息基础设施保护的“关键性”体现在一旦瘫痪或被摧毁,将会严重影响国家安全、社会经济、公共利益。但是,究竟哪些属于关键信息基础设施,关键信息基础设施的保护工作与一般网络安全保护相比有何不同等问题比较复杂,需要对其进行调研和研究。
2 国内外关键信息基础设施相关概念
2.1 美国
美国在关键信息基础设施保护框架和相关政策文件中对关键部门存在包括关键基础设施(CIP)、关键信息基础设施(CIIP)、关键资源(CI/KR)的多种表述,在定义中强调其对国家安全的重要意义。概念上基本沿用了2001年《爱国者法案》的规定,即关键基础设施是指对美国重要的物理或虚拟的系统和资产,此类系统和资产的功能丧失或破坏将对国家安全、国家经济安全、国家公众健康与安全或上述事项的任何组合产生削弱影响。
近年来,美国发布了关键基础设施相关多项政策立法,其中以奥巴马政府2013年发布13636号总统行政令(EO 13636)《改进关键基础设施网络安全》[1]和第21号总统政策指示(PDD 21)《关键基础设施安全和韧性》中的定义最具代表性,即关键基础设施是指对美国非常重要的物理或虚拟的系统和资产。如果这类系统或资产遭到破坏或丧失工作能力,将对美国的安全,国家经济安全,国家公众健康或公共安全,或任何这些事项的集合产生削弱影响。
根据2013年《提高关键基础设施的安全性和恢复力》[2],关键基础设施涉及十六类,包括化学、商业设施、通信、关键制造、水利、国防工业基地、应急服务、能源、金融服务、食品和农业、政府设施、医疗保健和公共卫生、信息技术、核反应堆、材料和废弃物、运输系统、水及污水处理系统。
2.2 欧盟
与美国将关键基础设施(CI)与关键信息基础设施(CII)等同使用的情况不同,欧盟对两者有明确的区别界定。
根据2004年欧盟《打击恐怖主义活动,加强关键基础设施保护的通讯》[3],关键基础设施是指“如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产”。
2005年欧盟发布《保护关键基础设施的欧洲计划(EPCIP)》[4],将关键信息基础设施定义为“关键基础设施本身或关键基础设施运营必不可少的ICT系统(电信、计算机、软件、互联网、卫星等)”。以此为依据,欧盟范围内确定的关键信息基础设施相关部门主要包括几个领域。
能源(石油和天然气生产、提炼、处理和储藏,其中包括输送管道、发电、输电、供电、天然气和石油);信息和通信技术(信息系统和网络保护、设备自动化和控制系统、互联网、固定电信服务、移动电信服务、无线电通信和导航、卫星通信、广播);水(饮用水供应、控制水质、控制水量);食品(食品供应和食品安全保护);健康(医疗和医院护理、药品、血清、疫苗和药物,生物实验室和生物制剂);金融系统[支付服务/支付体系(私营)、政府财政调配];公共和法律秩序和安全(维持公共和法律秩序、安全和稳定、司法和拘留管理);民事管理(政府职能、武装部队、民事管理服务,应急服务、邮政和快递服务);交通(公路交通、铁路交通、航空运输、内河航运、远洋和近海航运);化学和核工业[化学和核材料的生产、储存/加工,危险物品(化学材料)的输送管道];太空和研究。
2.3 中国
在我国的网络安全法、网络空间安全战略以及关键信息基础设施条例及相关标准中,对关键信息基础设施的定义是从其受到破坏造成的影响来界定的,数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗衛生、社会保障、公用事业等领域和国家机关的重要信息系统、工业控制系统等。
《关键信息基础设施安全保护条例(征求意见稿)》[5]以举例的方式给出了关键信息基础设施的范围:
(1)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;
(2)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;
(3)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;
(4)广播电台、电视台、通讯社等新闻单位;
(5)其他重点单位。
2.4 其他国家和地区
英国使用了“关键国家基础设施(CNI)保护”的概念,根据《国家网络安全战略(2016-2021)》[6],由国家安全战略委员会每年开展评估工作,旨在加强政策和技术监管,提高CNI的可恢复性。从定义上,CNI指由国家基础设施的对于不间断向国家提供基本服务来说不可或缺的关键元素组成。没有这些元素,基本服务就不能提供,英国就会遭受严重后果,其中包括严重的经济损害、巨大的社会破坏乃至大量丧失生命。英国国计民生不可或缺的许多关键服务依赖信息技术,由公共和私营部门提供。
从范畴上,CNI包括十个行业:
(1)通信(数字通信、固定语音通信、邮递、政府信息、无线通信);
(2)应急服务(救护、消防和营救、海上急救、警察);
(3)能源(电力、天然气和石油);
(4)金融(资产管理、金融设施、投资银行、市场、小额银行);
(5)食品(生产、进口、加工、配送、零售);
(6)政府和公共服务(中央政府、地区政府、地方政府、议会和立法机关、司法、国家安全);
(7)公共安全(化学、生物、辐射和核恐怖袭击;危及百姓生活的事件);
(8)健康(医疗保健、公共卫生);
(9)交通(航空、海运、铁路、公路);
(10)水(饮用水、污水)。
此外,加拿大、德国、法国、匈牙利、澳大利亞、奥地利、瑞士、西班牙等国网络安全战略与政策中主要使用关键基础设施的概念,印度、韩国等国使用了关键信息基础设施的概念。韩国将“关键信息基础设施”定义为严重依赖信息和电信技术的关键基础设施。涉及的行业包括:
(1)电子政务和国家政府行政机构;
(2)国家安全;
(3)应急/灾难恢复服务;
(4)国防;
(5)媒体服务,如广播设施;
(6)金融服务;
(7)天然气和能源,如电厂;
(8)交通,如地铁和机场;
(9)电信。
3 关键信息基础设施的范围划分
由于不同行业、不同类型的关键信息基础设施千差万别,难以细化识别关键信息基础设施的参数指数。更具可操作性的流程是,识别关键业务和关键业务运营单位,梳理支撑关键业务的信息系统并确定信息系统的边界,从而识别出关键信息基础设施。
首先是识别关键业务及其运营者,需要明确对经济社会运行具有基础性、全局性支撑作用的关键业务,即“关键基础设施”,在此基础上确定关键基础设施运营者。一般来说,为便于安全责任管理,一个关键基础设施对应一个运营者,一个运营者可以对应多个基础设施。
其次是识别支撑关键业务的信息系统,确定关键信息基础设施的边界。关键基础设施的范围要比关键信息基础设施大,需要明确信息系统的边界。随着信息通信技术广泛使用,成为生产、运营、维护、管理等各个环节的重要组成部分,关键信息基础设施占的比重越来越大。通过信息系统中信息和数据的流动,高度依赖信息化的重要业务。在这一过程中,需要确定关键信息基础设施最大可能的边界。边界的划分不局限于单个信息系统,还需要梳理关键业务与公共系统的依赖关系,包括不同信息系统之间的互联。
此外,为保障关键业务的稳定运行,在划分边界时,不仅要关注信息技术系统,也要保障运营技术(OT)系统,例如变电、运输控制及相关的工业控制系统。特别是大量定制化的、传统的工业控制系统在设计时没有考虑到网络安全,现在越来越多地联网并接入互联网,以实现更有效的控制和实时监控。一方面,这将会产生新的漏洞并可能使系统暴露于网络攻击;另一方面,OT系统自身的复杂性也使得即使识别漏洞,短时间内难以实现修补,导致OT系统业务中断。因此,关键信息基础设施运营单位必须考虑信息系统安全、数据安全、设备保修、资产物理位置、最小化停机时间以及连接系统的可用性等带来的影响。
根据《网络安全法》的规定,关键信息基础设施的具体范围和安全保护办法由国务院制定;按照国务院规定的职责分工,负责关键信息基础设施安全保护工作的部门分别编制并组织实施本行业、本领域的关键信息基础设施安全规划,指导和监督关键信息基础设施运行安全保护工作。由此可见,根据国务院出台的关键信息基础设施识别准则,行业主管部门负责识别认定本行业、本领域的关键信息基础设施。
根据《关键信息基础设施安全保护条例(征求意见稿)》(2017年7月),国家网信部门会同国务院电信主管部门、公安部门等部门制定关键信息基础设施识别指南。在识别认定过程中,充分发挥有关专家作用,提高关键信息基础设施识别认定的准确性、合理性和科学性。
4 关键信息基础设施的特点
分析关键信息基础设施的特点,有助于改进保护方法、构建保障体系、提高威胁应对能力,一般来说具有几个特点。
首先关键信息基础设施对象应为一个整体系统,而不是若干的离散系统。围绕关键业务,组成基础设施的不同信息系统和网络设施自身的安全等级要求不一定相同,可能有些系统自身的安全等级不高,但会影响关键业务的整体安全。
二是关键信息基础设施具有不同的形态结构,包括:
(1)信息系统,如政府网站、信息服务平台,这类一般属于网络安全等级保护三级或四级范畴;
(2)网络设施,如通信网、广播电视网,参照电信网安全管理要求;
(3)数据资产,汇聚海量数据的云平台、互联网应用等,这类更侧重数据安全要求;
(4)关键基础设施的信息部分,如铁路的列车控制系统,参照电力、能源、化工、交通运输等行业的工业控制系统安全要求。
三是关键信息基础设施面临的安全威胁主要是复杂威胁和动态威胁,因此安全保护强调更多考虑的是具备韧性(Resilience)。网络威胁不断变化、新的脆弱性层出不穷、影响范围很大,例如2017年Wanner Cry勒索病毒给很多国家的健康医疗、能源、电信等行业造成严重影响。攻击实施者可能是黑客个人、犯罪组织甚至可能是国家间的网络战。保障关键信息基础设施的绝对安全是不可能的,各国政府出台的基础设施政策更多强调的是增强韧性或可恢复性,适应不断变化的环境,增加攻击难度,降低攻击造成的影响。
四是关键信息基础设施的安全目标与业务特点相关。不同企业由于业务特点强调安全性的重点也不同,例如政府网站通常是与政务内网隔离或在云端存储的公开披露内容,即使短时间内无法访问也不会造成严重影响,但如果内容受到恶意篡改可能造成輿论不利影响,因此更强调完整性,对保密性和可用性要求则没有那么高。同样的,基于业务特点金融行业侧重完整性以确保用户金融数据准确,通信、电力行业侧重系统可用性以确保服务不能中断,而存储大量敏感信息的医疗行业更侧重安全性以确保患者信息不能泄露。
五是关键信息基础设施安全保护更侧重于安全能力建设,而不只是满足合规性要求。安全能力建设可以从当前面临的威胁和希望达到的结果出发,以风险管理的思路贯穿关键信息基础设施保护生命周期过程,包括识别、防护、监测、预警、处置、恢复等,从而构建全局的、整体的安全防护体系。
5 关键信息基础设施保护与一般网络安全保护的区别
《网络安全法》中将网络运行安全分为“一般规定”和“关键信息基础设施的运行安全”两个部分;前者指实行网络安全等级保护制度,后者指关键信息基础设施保护制度。本文从研究层面简要分析一下两者之间的关联和区别。
从适用范围来说,等级保护适用范围广,主要覆盖的是单个或局部系统的网络安全。基础设施适用范围窄,高度开放、互联环境下,综合性的大型系统或全局系统的网络安全。由于等级保护需要兼顾的对象范围较为宽泛,安全要求的针对性不强,而关键信息基础设施保护的范围很集中,可以提出更系统、甚至更严格的要求。
从保护体系来说,等级保护主要依靠合规要求和监督检查。关键信息基础设施保护则是一个需要多方参与保障体系,对运营者更强调的是安全保障能力的要求,需要行业部门、统筹部门、职能部门、专业机构相关角色的协同防护。基础设施保护要求侧重于安全风险防控,提供了安全能力持续提升的方法,旨在落实责任、感知风险、消除风险或将风险控制在一定水平,并确保业务连续性和系统可恢复。
从保护思路来说,关键信息基础设施保护需要从静态合规安全向风险导向的持续动态安全的转变,从自我防护向协同防护转变。关键信息基础设施安全关乎国家安全,是一个持续的安全监测和控制的过程,仅依靠关键信息基础设施运营单位是不够的,需要专业机构及其他相关单位的多方参与和协同防护。
6 结束语
理解关键信息基础设施的概念是关键信息基础设施研究的基础。本文首先分析美欧等国对关键信息基础设施定义,从研究层面划分关键信息基础设施的乏味,与一般性网络设施和信息系统相比,分析关键信息基础设施具备哪些特点和特殊性,此基础上初步总结了关键信息基础设施保护工作的启发和指导意义。
参考文献
[1] 美国第13636号总统行政令(EO 13636)改进关键基础设施网络安全[Z].2013年.
[2] 美国.提高关键基础设施的安全性和恢复力[Z].2013年.
[3] 欧盟打击恐怖主义活动,加强关键基础设施保护的通讯[Z].2004年.
[4] 欧盟.保护关键基础设施的欧洲计划(EPCIP)[Z].2005年.
[5] 关键信息基础设施安全保护条例(征求意见稿)[Z].2017年.
[6] 英国.国家网络安全战略(2016-2021)[Z].2016年.