我國關(guān)鍵信息基礎(chǔ)設(shè)施保護建設(shè)白皮書

1、目錄 HYPERLINK l _bookmark0 一、關(guān)鍵信息基礎(chǔ)設(shè)施概述 4 HYPERLINK l _bookmark1 （一）關(guān)鍵信息基礎(chǔ)設(shè)施定義 4 HYPERLINK l _bookmark2 （二）范圍界定 4 HYPERLINK l _bookmark3 （三）關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的重要性 5 HYPERLINK l _bookmark4 二、重點國家和地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的做法與啟示 8 HYPERLINK l _bookmark5 （一）重點國家、地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施保護措施 8 HYPERLINK l _bookmark6 1.美國 8 HYPERLINK l

2、 _bookmark7 2.歐盟 9 HYPERLINK l _bookmark8 3.俄羅斯 10 HYPERLINK l _bookmark9 4.日本 11 HYPERLINK l _bookmark10 （二）國際關(guān)鍵信息基礎(chǔ)設(shè)施安全保護主要啟示 13 HYPERLINK l _bookmark11 科學(xué)界定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍 14 HYPERLINK l _bookmark12 明晰關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的目標 14 HYPERLINK l _bookmark13 明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的措施方法 15 HYPERLINK l _bookmark14 建立關(guān)鍵信息基礎(chǔ)設(shè)施

3、保護的組織管理體系 15 HYPERLINK l _bookmark15 三、我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護現(xiàn)狀 16 HYPERLINK l _bookmark16 （一）法律法規(guī)建設(shè)加速推進 16 HYPERLINK l _bookmark17 （二）標準體系逐步完善 17 HYPERLINK l _bookmark18 （三）相關(guān)研究不斷深入 21 HYPERLINK l _bookmark19 四、我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護面臨的問題 22 HYPERLINK l _bookmark20 （一）法律保護范圍模糊 22 HYPERLINK l _bookmark21 （二）自主可控能力不

4、足 23 HYPERLINK l _bookmark22 （三）缺乏完善有效的脆弱性評估機制和安全恢復(fù)計劃 24 HYPERLINK l _bookmark23 （四）安全風(fēng)險監(jiān)測和預(yù)警機制較弱 25 HYPERLINK l _bookmark24 五、提升我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護水平的對策建議 26 HYPERLINK l _bookmark25 （一）做好基礎(chǔ)性研究，制定科學(xué)保護框架 26 HYPERLINK l _bookmark26 （二）增強自主創(chuàng)新能力，推動國產(chǎn)技術(shù)研發(fā) 26 HYPERLINK l _bookmark27 （三）完善檢測預(yù)警機制，制定應(yīng)急響應(yīng)制度與事后恢復(fù)計劃

5、 27 HYPERLINK l _bookmark28 （四）完善安全風(fēng)險評估認證機制，設(shè)立關(guān)鍵信息基礎(chǔ)設(shè)施專項 HYPERLINK l _bookmark28 安全防治體系 28 HYPERLINK l _bookmark29 （五）相關(guān)企業(yè)應(yīng)構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的安全管理體系 28 一、關(guān)鍵信息基礎(chǔ)設(shè)施概述（一）關(guān)鍵信息基礎(chǔ)設(shè)施定義 關(guān)于“關(guān)鍵信息基礎(chǔ)設(shè)施”（critical infor- mation infrastructure，簡稱 CII），網(wǎng)絡(luò)安全法給出的定義，即：“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者

6、數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的設(shè)施?！盋II 最初是由通信信息網(wǎng)絡(luò)發(fā)展而來，信息和電信部門構(gòu)成了其主要部分。隨著網(wǎng)絡(luò)的應(yīng)用和普及，CII 不僅僅局限于此，還涵括了電信、計算機、互聯(lián)網(wǎng)、衛(wèi)星、光纖等支撐基礎(chǔ)設(shè)施運行的部分。（二）范圍界定在我國，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見 稿）對關(guān)鍵信息基礎(chǔ)設(shè)施（“CII”）的范圍進行了界定。關(guān)鍵信息基礎(chǔ)設(shè)施保護范圍界定如下：政府機關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領(lǐng)域的單位；電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供、和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；國防科工、大型裝備、化工、食品藥品

7、等行業(yè)領(lǐng)域科研生產(chǎn)單位；廣播電臺、電視臺、通訊社等新聞單位；其他重點單位。公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。（三）關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的重要性一是關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)乎國家安全和社會穩(wěn)定。隨著信息化的快速普及和發(fā)展，關(guān)鍵信息基礎(chǔ)設(shè)施作為事關(guān)國家安全和社會穩(wěn)定的重要戰(zhàn)略資源的地位日益凸顯。首先，互聯(lián)網(wǎng)的飛速發(fā)展，使得網(wǎng)絡(luò)入侵和網(wǎng)絡(luò)攻擊事件頻發(fā)，嚴重威脅著關(guān)鍵信息基礎(chǔ)設(shè)施的正常運轉(zhuǎn)，給國家安全帶來極大隱患。其次，關(guān)鍵信息基礎(chǔ)設(shè)施是恐怖主義和網(wǎng)絡(luò)攻擊

8、的重點對象,各國均將視為網(wǎng)絡(luò)安全的重點并上升到國家安全的高度。通常認為,關(guān)鍵基礎(chǔ)設(shè)施或關(guān)鍵信息基礎(chǔ)設(shè)施是支撐國家安全和公共利益的重要基礎(chǔ)設(shè)施。同時，國家之間的網(wǎng)絡(luò)戰(zhàn)爭威脅日益加劇。信息技術(shù)的快速發(fā)展極大地開拓了互聯(lián)網(wǎng)絡(luò)平臺，網(wǎng)絡(luò)攻擊不再僅僅依附于傳統(tǒng)的常規(guī)戰(zhàn)爭而存在，已經(jīng)拓展和波及所有與網(wǎng)絡(luò)相關(guān)的事件和人員，通過技術(shù)手段破壞關(guān)鍵信息基礎(chǔ)設(shè)施從而導(dǎo)致政府機構(gòu)、通信癱瘓已然成為網(wǎng)絡(luò)戰(zhàn)爭的重要手段?；诖耍瑸榱烁玫貞?yīng)對各種形式的網(wǎng)絡(luò)攻擊，維護國家安全和社會穩(wěn)定，應(yīng)加強對關(guān)鍵信息基礎(chǔ)設(shè)施的保護。二是加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護是社會持續(xù)運轉(zhuǎn)的重要保障。關(guān)鍵信息基礎(chǔ)設(shè)施為國家機構(gòu)、各行業(yè)正常運轉(zhuǎn)提供必

9、需的產(chǎn)品和服務(wù)。關(guān)鍵信息基礎(chǔ)設(shè)施承載或支撐著 各行業(yè)關(guān)鍵核心業(yè)務(wù)，即支撐部門行使職能，對于部門或行 業(yè)穩(wěn)定運行具有戰(zhàn)略性作用。其次，關(guān)鍵信息基礎(chǔ)設(shè)施是行 業(yè)運作體系中被強依賴的關(guān)鍵節(jié)點，它所承載的業(yè)務(wù)對其他 部門或行業(yè)核心業(yè)務(wù)有較大關(guān)聯(lián)性影響。對這類關(guān)鍵信息基 礎(chǔ)設(shè)施的攻擊所產(chǎn)生的破壞，通過關(guān)聯(lián)的行業(yè)、領(lǐng)域逐漸傳 遞，會造成連鎖連片的嚴重后果。且隨著國家信息化戰(zhàn)略的 實施和通信技術(shù)的不斷升級，關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)不斷提 速，信息技術(shù)的研發(fā)和應(yīng)用正在催生新的經(jīng)濟增長點，這對 于調(diào)整經(jīng)濟結(jié)構(gòu)、轉(zhuǎn)變發(fā)展方式具有十分重要的作用。因此，社會的持續(xù)運轉(zhuǎn)需要大力加強對關(guān)鍵信息基礎(chǔ)設(shè)施的保護。三是對關(guān)鍵信息基

10、礎(chǔ)設(shè)施進行法律保護是順應(yīng)國際形勢的必要舉措。目前各個國家均已建立關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的相關(guān)制度，美、德、英、日等國家通過出臺和發(fā)布政策、法律、標準等多種措施，構(gòu)建了國家關(guān)鍵信息基礎(chǔ)設(shè)施保護體系。各國通過發(fā)布或升級監(jiān)管框架、出臺指南、完善機構(gòu)設(shè)置等方式進一步推動關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護工作落地和具體化，提升工業(yè)信息安全防護水平。而針對新一代信息技術(shù)的應(yīng)用可能面臨的信息安全風(fēng)險，也已有一 些國家做出了相關(guān)的嘗試，如英國政府致力于保護關(guān)鍵基礎(chǔ) 設(shè)施免受針對計算機或通信系統(tǒng)的電子攻擊威脅，并建立了 由國務(wù)大臣負責(zé)的國家基礎(chǔ)設(shè)施保護中心為核心，各基礎(chǔ)設(shè) 施部門具體實施相關(guān)職責(zé)的關(guān)鍵基礎(chǔ)設(shè)施保護管理

11、體系。因 此，為了提升我國關(guān)鍵信息基礎(chǔ)設(shè)施防護水平，加強監(jiān)管，防止安全事件發(fā)生，我國須加快對關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)法 律法規(guī)細則進行研究制定工作。四是加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護對于公民福祉的保障意義重大。加強關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的根本是對公民福祉、公民利益的保護。關(guān)鍵信息基礎(chǔ)設(shè)施運行過程中存儲或傳輸?shù)男畔?shù)據(jù)大量集中或極其敏感，其中供水、供電、醫(yī)療衛(wèi)生、社會保障等公共服務(wù)領(lǐng)域的信息系統(tǒng)、政務(wù)網(wǎng)絡(luò)及網(wǎng)絡(luò)服務(wù)提供者所有和管理的網(wǎng)絡(luò)及系統(tǒng)中有大量的公民身份信息、金融信息等，這些信息一旦被惡意收集或利用，必將損害公民的利益。其次，基于其他行業(yè)對于關(guān)鍵信息基礎(chǔ)設(shè)施的依賴性，加強關(guān)鍵信息基礎(chǔ)設(shè)施的保護

12、，可以使得公民的工作、生活等更加便利。國家安全、社會穩(wěn)定及社會的持續(xù)運轉(zhuǎn)等是公民福祉得以保障的前提，故加強關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)也關(guān)乎公民福祉。二、重點國家和地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的做法與啟示（一）重點國家、地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施保護措施美國美國最早對關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的相關(guān)系統(tǒng)安全進行關(guān)注，現(xiàn)已形成較為完善的關(guān)鍵信息基礎(chǔ)設(shè)施安全政策和戰(zhàn)略，且這些政策和戰(zhàn)略隨著形勢變化而逐步調(diào)整強化。圖 2-1 美國關(guān)鍵信息基礎(chǔ)設(shè)施保護法律匯總美國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護計劃將風(fēng)險管理作為保護工作的基礎(chǔ)和指針，將保護范疇、責(zé)任者與協(xié)作方、目 標與措施有機連接在一起，構(gòu)建了與行業(yè)實際相適應(yīng)的保護 體系，美國關(guān)鍵

13、信息基礎(chǔ)設(shè)施保護計劃具有以下四個特點：一是根據(jù)行業(yè)發(fā)展和風(fēng)險點確定保護重點。針對信息和通信技術(shù)發(fā)展變化可能對關(guān)鍵基礎(chǔ)設(shè)施安全保護策略影響，例如云計算的普遍應(yīng)用、移動計算和移動應(yīng)用程序的大幅增 長、物聯(lián)網(wǎng)設(shè)備以及智能傳感器/智能設(shè)備快速增長等予以重點關(guān)注和應(yīng)對；二是依據(jù)風(fēng)險特性建立了多層次的保護工作組織體系。在充分利用國家級國家關(guān)鍵信息基礎(chǔ)設(shè)施協(xié)調(diào)中心（NCC）、信息共享和分析中心（ISAC）基礎(chǔ)上，結(jié)合行業(yè)保障需求分別設(shè)立了 IT SCC、IT GCC 等組織，促進安全戰(zhàn)略、政策、活動、情報等多維度交流；三是依托全風(fēng)險評估方法。建立與 IT 部門虛擬化、分布式關(guān)鍵基礎(chǔ)設(shè)施結(jié)構(gòu)相適應(yīng)的評估體系。

14、在風(fēng)險管理的維度上，區(qū)分政府與企業(yè)不同層次，企業(yè)通?；跇I(yè)務(wù)目標實施，政府則更關(guān)注保障業(yè)務(wù)的有效性；四是注重有效性衡量。建立了風(fēng)險管理措施效果指標體系。為了有效衡量保護措施實施效果，制定了統(tǒng)一的衡量方案。列舉出實現(xiàn)風(fēng)險管理目標的各項舉措及要求，要求各部門成員按照這一衡量方案，每季度報告保護工作進展情況。歐盟歐盟也較早認識到關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全問題，并陸續(xù)頒布一系列政策指令，尤其在成員國協(xié)調(diào)方面強化關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護。圖 2-2 歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護法律匯總在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面，歐盟提出了制定了行動計劃，并從五個方面提出了保護措施：一是準備和預(yù)防層面：鼓勵在成員國之間、公共和私

15、營部門之間通過論壇或伙伴關(guān)系等實現(xiàn)有效溝通和經(jīng)驗、信息共享。二是檢測和響應(yīng)方面：支持發(fā)展歐洲信息共享和預(yù)警機制。三是緩解和恢復(fù)階段：強化歐盟關(guān)鍵信息基礎(chǔ)設(shè)施（CII）的防御機制，鼓勵成員國及企業(yè)制定應(yīng)急預(yù)案并進 行應(yīng)急響應(yīng)和恢復(fù)演習(xí)。四是國際合作方面：確定保證互聯(lián) 網(wǎng)的穩(wěn)定性和應(yīng)急能力為歐盟優(yōu)先發(fā)展事項，鼓勵開展國際 合作。五是關(guān)鍵基礎(chǔ)設(shè)施標準方面：鼓勵歐盟及各成員國在 信息和通信技術(shù)領(lǐng)域內(nèi)制定具有廣泛適用性的標準和方法。俄羅斯為應(yīng)對關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全威脅，俄羅斯不僅在政策制度、組織架構(gòu)、法律法規(guī)等方面采取措施，還在公私合作方面制定了使用安全關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)范。圖 2-3 俄羅斯關(guān)

16、鍵信息基礎(chǔ)設(shè)施保護法律匯總2009 年俄羅斯的信息安全政策文件中描述的關(guān)鍵部門，主要指科技、國防、通信、司法、應(yīng)急響應(yīng)部門等部門。2013 年出臺的俄聯(lián)邦關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全規(guī)定：對入侵交 通、市政等國家關(guān)鍵部門信息系統(tǒng)的黑客最高可處以 10 年 監(jiān)禁。這事實上是將交通、政府等納入國家關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè) 施。俄羅斯的信息安全戰(zhàn)略更多強調(diào)在內(nèi)容層面的管控，非 常重視互聯(lián)網(wǎng)信息傳播對傳統(tǒng)文化、公民德道和價值觀帶來 的影響，而在基礎(chǔ)設(shè)施層面，則幾乎沒有特別具體的描述，只是概括性地表示保護關(guān)鍵信息基礎(chǔ)設(shè)施。日本日本參考了以美國為代表的發(fā)達國家在關(guān)鍵信息基礎(chǔ)設(shè)施安全防護的有關(guān)舉措，陸續(xù)頒布了一系列的相關(guān)法律

17、法規(guī)，在關(guān)鍵信息基礎(chǔ)設(shè)施安全防護領(lǐng)域開展了協(xié)同性的實踐探索。圖 2-4 日本關(guān)鍵信息基礎(chǔ)設(shè)施保護法律匯總自 20 世紀 90 年代以來，日本持續(xù)關(guān)注對關(guān)鍵信息基礎(chǔ)設(shè)施的保護，并已經(jīng)逐步建立了以政策法律為基礎(chǔ)，以組織機構(gòu)體系建設(shè)為重點，以監(jiān)測預(yù)警和信息共享機制為支撐，以技術(shù)、人員、資金支持為保障的關(guān)鍵信息基礎(chǔ)設(shè)施保護制度。日本關(guān)鍵信息基礎(chǔ)設(shè)施保護基本政策中對關(guān)鍵信息基礎(chǔ)設(shè)施運營者需要采取的措施和國家層面采取的行動，給出了較為詳細的描述：一是持續(xù)提升關(guān)鍵信息基礎(chǔ)設(shè)施安全保護能力。日本內(nèi)閣秘書處制定安全規(guī)則的指導(dǎo)方針，并持續(xù)對指導(dǎo)方針進行審查，確認指導(dǎo)方針適合關(guān)鍵信息基礎(chǔ)設(shè)施運營者網(wǎng)絡(luò)安全管理的 P

18、DCA 循環(huán)，并能夠與其他原則配合，使關(guān)鍵信息基礎(chǔ)設(shè)施保護能力加強。二是建立信息共享機制。根據(jù)基本政策要求，日本內(nèi)閣秘書處制定了“從關(guān)鍵信息基礎(chǔ)設(shè)施運營者共享至國家信息安全中心(NISC)的信息”、“信息從 NISC 共享至關(guān)鍵信息基礎(chǔ)設(shè)施運營者”、“信息共享至 NISC的事件和原因種類”等政策附件，建立了正常情況下的信息共享機制和 IT 危機下的信息共享機制。三是通過跨部門演習(xí)增強事件響應(yīng)能力。特別強調(diào)了通過實施跨部門的演習(xí)，并在演習(xí)中實施有效的培訓(xùn)，增強關(guān)鍵信息基礎(chǔ)設(shè)施的 IT中斷響應(yīng)能力，建立完善 IT 中斷處置機制。四是推動運營者和國家兩級風(fēng)險管理。強調(diào)關(guān)鍵信息基礎(chǔ)設(shè)施經(jīng)營者應(yīng)結(jié)合本單

19、位業(yè)務(wù)連續(xù)性的要求，制定網(wǎng)絡(luò)安全風(fēng)險管理工作目標，制定具體工作計劃并在單位內(nèi)實施，并將應(yīng)對 IT 故障的措施納入風(fēng)險管理工作計劃。五是加強公共宣傳、國際合作、標準認證等基礎(chǔ)工作。日本內(nèi)閣秘書處開展公關(guān)，通過簡訊、網(wǎng)站、講座等手段，使公眾了解關(guān)鍵信息基礎(chǔ)設(shè)施保護基本政策，從容應(yīng)對各種情況，獲得最廣泛的合作；繼續(xù)加強國際合作，通過雙邊、區(qū)域間和多邊框架，為運營者獲取典型案例、最佳實踐等；為關(guān)鍵信息基礎(chǔ)設(shè)施保護發(fā)布參考書，系統(tǒng)地安排有關(guān)的標準和指南，對國際標準提供應(yīng)用指南，推動第三方認證和評估等。六是詳述利益相關(guān)方應(yīng)采取的行動。詳細列出了各利益相關(guān)方，包括內(nèi)閣秘書處、關(guān)鍵信息基礎(chǔ)設(shè)施保護責(zé)任部門、信

20、息安全相關(guān)部門、危機管理部門、關(guān)鍵信息基礎(chǔ)設(shè)施運營者、CEPTOAR、CEPTOAR 理事會、關(guān)鍵信息基礎(chǔ)設(shè)施保護支撐機構(gòu)和網(wǎng)絡(luò)空間相關(guān)運營者。（二）國際關(guān)鍵信息基礎(chǔ)設(shè)施安全保護主要啟示從美國、日本等國家地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的實踐來看，關(guān)鍵信息基礎(chǔ)設(shè)施安全保護重在明確以下個方面內(nèi)容：科學(xué)界定關(guān)鍵信息基礎(chǔ)設(shè)施的范圍關(guān)鍵信息基礎(chǔ)設(shè)施的概念是從關(guān)鍵基礎(chǔ)設(shè)施發(fā)展而來。目前國際上對于關(guān)鍵基礎(chǔ)設(shè)施的范圍界定逐漸趨同，美國提 出了 16 類關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域，俄羅斯、日本、歐盟等也提 出了相應(yīng)的關(guān)鍵信息基礎(chǔ)設(shè)施保護分類方法。我國中華人 民共和國網(wǎng)絡(luò)安全法等政策文件也明確了關(guān)鍵信息基礎(chǔ)設(shè) 施的領(lǐng)域范圍。

21、但是在實際操作層面，各行業(yè)主管部門還應(yīng) 制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施具體認定規(guī)則。同時 各國關(guān)鍵信息基礎(chǔ)設(shè)施的范圍有共性，又有差異，具有原則 性和靈活性相結(jié)合的特點，要結(jié)合本國具體的實際情況，探 索科學(xué)合理的關(guān)鍵信息基礎(chǔ)設(shè)施范圍界定和認定細則。明晰關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的目標國際范圍內(nèi)制定關(guān)鍵信息基礎(chǔ)設(shè)施安全保護體系時首先要明確本地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施保護的重點與目標。例如美國提出關(guān)鍵基礎(chǔ)設(shè)施保護的主要目標在于提高基礎(chǔ)設(shè)施的安全性和彈性，具體包括安全感知能力、安全控制能力以及應(yīng)急恢復(fù)能力；歐盟關(guān)鍵基礎(chǔ)設(shè)施保護的目標在于免受大規(guī)模網(wǎng)絡(luò)攻擊和中斷，重點是預(yù)防、安全性和恢復(fù)力；日本關(guān)鍵信息基礎(chǔ)

22、設(shè)施保護的目的是保障關(guān)鍵信息基礎(chǔ)設(shè)施持續(xù)正常穩(wěn)定運行，避免由于自然災(zāi)害、網(wǎng)絡(luò)攻擊或其他原因造成的 IT 中斷事件。我國網(wǎng)絡(luò)安全法提出，建設(shè)關(guān)鍵信息基礎(chǔ)設(shè)施應(yīng)當(dāng)確保其具有支持業(yè)務(wù)穩(wěn)定、持續(xù)運行的性能，因此，關(guān)鍵信息基礎(chǔ)設(shè)施保護應(yīng)以業(yè)務(wù)連續(xù)性和安全可控性為主要目標。明確關(guān)鍵信息基礎(chǔ)設(shè)施安全保護的措施方法從國際方面來看，美國的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護框 架是基于 NIST 的風(fēng)險管理框架提出來的，其核心包括識別、保護、檢測、響應(yīng)和恢復(fù)個部分。歐盟提出準備和預(yù)防、監(jiān)測和響應(yīng)、減災(zāi)和恢復(fù)、國際合作個方面行動措施。我 國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例提出了關(guān)鍵信息基礎(chǔ) 設(shè)施保護的識別認定、安全防護、檢測評估

23、、監(jiān)測預(yù)警和應(yīng) 急處置個基本環(huán)節(jié)。從各國實踐來看，所采取的保護環(huán)節(jié) 和措施都是基于風(fēng)險控制的動態(tài)安全保護周期過程。建立關(guān)鍵信息基礎(chǔ)設(shè)施保護的組織管理體系關(guān)鍵信息基礎(chǔ)設(shè)施保護涉及不同的行業(yè)和部門，需要充分調(diào)動利益相關(guān)方的積極性，明確管理組織機構(gòu)及其責(zé)任。各國在這方面都作了相應(yīng)的制度設(shè)計，例如美國、歐盟等國家地區(qū)建立了供應(yīng)鏈風(fēng)險工作組、威脅情報共享中心、緊密聯(lián)系領(lǐng)域多方會議、網(wǎng)絡(luò)安全自愿社區(qū)等豐富的組織，同時建立了頂層協(xié)調(diào)機制、信息共享和協(xié)同保護制度，明確關(guān)鍵信息基礎(chǔ)設(shè)施運營者的權(quán)責(zé)義務(wù)、監(jiān)管部門的責(zé)任以及國際合作機制等。我國相關(guān)行業(yè)也可借鑒類似模式，組建行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施保護相關(guān)組織，通過定期

24、會議、課題研究、政策研討等方式強化交流協(xié)作，助力保護工作實施。三、我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護現(xiàn)狀（一）法律法規(guī)建設(shè)加速推進經(jīng)過 20 多年的工作推進,我國在網(wǎng)絡(luò)安全保護法規(guī)建設(shè)方面取得很大進展,以網(wǎng)絡(luò)安全法為核心的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護法律保障體系建設(shè)正在加速推進。時間發(fā)布主體法律名稱2006 年國務(wù)院國家突發(fā)公共事件總體應(yīng)急預(yù)案2007 年國務(wù)院突發(fā)事件應(yīng)對法2013 年國務(wù)院突發(fā)事件應(yīng)急預(yù)案管理辦法2016 年國務(wù)院網(wǎng)絡(luò)安全法2017 年國家網(wǎng)信辦國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案2017 年國家網(wǎng)信辦關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例（征求意見稿）網(wǎng)絡(luò)安全等級保護條例（征求意見稿）、網(wǎng)絡(luò)2018 年

25、-2019 年國家網(wǎng)信辦安全漏洞管理規(guī)定（征求意見稿）網(wǎng)絡(luò)安全威脅信息發(fā)布管理辦法（征求意見稿）等相繼向社會公開征求意見2020 年國家網(wǎng)信辦網(wǎng)絡(luò)安全審查辦法表 3-1 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護法律法規(guī)匯總（二）標準體系逐步完善為保證關(guān)鍵信息基礎(chǔ)設(shè)施安全，我國在標準建設(shè)方面做了大量的工作。一是標準化組織建設(shè)逐步完善。2002 年 4 月全國信息安全標準化技術(shù)委員會（下簡稱“信安標委”）正式成立，信安標委直屬國家標準化管理委員會，負責(zé)全國信息安全標準化工作，統(tǒng)一協(xié)調(diào)和組織申報信息安全國家標準年度計劃項目，組織信息安全領(lǐng)域國家標準的送審、報批、宣貫等工作。關(guān)鍵信息基礎(chǔ)設(shè)施安全標準化相關(guān)的工作由秘書

26、處牽頭組織，根據(jù)技術(shù)內(nèi)容的不同，由不同的工作組來具體承擔(dān)。各工作組負責(zé)本領(lǐng)域內(nèi)的標準需求調(diào)研、標準制定、標準宣貫、標準實施評價等工作。圖 3-1 信安標委組織結(jié)構(gòu)二是從網(wǎng)絡(luò)安全等級保護標準 1.0 到等保 2.0，我國信息安全保護的基本制度、基本策略和基本方法不斷完善。2007 年，信息安全等級保護管理辦法（公通字200743 號）文件的正式發(fā)布，標志著等級保護 1.0 的正式啟動，在 2008 年至 2012 年期間陸續(xù)發(fā)布了等級保護的一些主要標準，構(gòu)成等級保護 1.0 的標準體系。通過十余年的時間的發(fā)展與實踐，成為了我國非涉密信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)的重要標準。 近年來為適應(yīng)新技術(shù)的發(fā)展，解決

27、云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領(lǐng)域信息系統(tǒng)的等級保護工作的需要，由公安部牽頭組織開展了信息技術(shù)新領(lǐng)域等級保護重點標準申報國家標準的工作，等級保護正式進入 2.0 時代。等保 2.0 相關(guān)國家標準于 2019 年 5 月 10 日正式發(fā)布。2019 年 12 月 1日開始實施。這是我國實行網(wǎng)絡(luò)安全等級保護制度過程中的一件大事，具有里程碑意義。相較于等保 1.0，等保 2.0 發(fā)生了以下主要變化： 等保 1.0等保 2.0名稱信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求定級對象信息安全等級保護工作直接作用的具體的信息網(wǎng)絡(luò)安全等級保護工作的作用對象，主要包括信息系統(tǒng)、

28、基礎(chǔ)信息網(wǎng)絡(luò)、云計算平臺、大數(shù)據(jù)平臺物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等。和信息系統(tǒng)。控制措施分類結(jié)構(gòu)技術(shù)和管理兩個維度。技術(shù)上，劃分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全；在管理上，劃分為安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理系統(tǒng)運維管理。依舊保留技術(shù)和管理兩個維度。在技術(shù)上，變更為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心；在管理上，調(diào)整為、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。內(nèi)容劃分為定級、備案、建設(shè)整改、等級測評和監(jiān)督檢查五個規(guī)定動作。變更為五個規(guī)定動作+新的安全要求(增加了風(fēng)險評估、

29、安全監(jiān)測、通報預(yù) 表 3-2 等保 1.0 與 2.0 變化對比表 、警、案事件調(diào)查、數(shù)據(jù)防護、災(zāi)難備份、應(yīng)急處置等)。法律效力/網(wǎng)絡(luò)安全法第 21 條規(guī)定“國家實行網(wǎng)絡(luò)安全等級保護制度，要求網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度要求，履行安全保護義務(wù)”。落實網(wǎng)絡(luò)安全等級保護制度上升為法律義務(wù)。從等保 1.0 到 2.0，不斷完善的等級保護體系在實踐中為等保全生命周期提供服務(wù)，從定級備案咨詢、安全建設(shè)整改、等級保護測評、到監(jiān)督檢查改進等均能夠提供專業(yè)的服務(wù)，在輔助企業(yè)完成等級保護建設(shè)工作的同時，實際提升了系統(tǒng)運營使用單位的信息安全防護能力。三是標準實施試點有序開展。為驗證關(guān)鍵信息基礎(chǔ)設(shè)施安全保

30、護相關(guān)標準內(nèi)容的合理性和可操作性，信安標委采取了標準實施試點措施。2018 年 11 月 8 日，信安標委啟動了信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南試點工作。本次試點工作旨在驗證評估指南標準制定的科學(xué)合理性，為關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估工作摸索經(jīng)驗。試點工作選取了包含通信、互聯(lián)網(wǎng)、交通、能源、金融、電子政務(wù)、公共服務(wù)等行業(yè)在內(nèi)的 12 家關(guān)鍵信息基礎(chǔ)設(shè)施運營者作為標準試點單位，選取中國信息安全測評中心、國家計算機網(wǎng)絡(luò)與信息安全管理中心等 6 家第三方測評機構(gòu)作為檢查評估方參與了標準實施試點。試點效果表明，試點機制可有效驗證標準內(nèi)容是否先進合理和可操作性，有效提高標準的制定質(zhì)量。（三

31、）相關(guān)研究不斷深入隨著我國關(guān)鍵信息基礎(chǔ)設(shè)施被黑客和相關(guān)組織的攻擊威脅日益嚴重,我國在關(guān)鍵信息基礎(chǔ)設(shè)施安全領(lǐng)域也進行了多方位的研究與探索,包括關(guān)鍵信息基礎(chǔ)設(shè)施的框架體系、邊界識別、風(fēng)險管控等方面。一是在框架體系方面，我國相關(guān)研究工作人員深入的研究了大數(shù)據(jù)安全框架體系及其管理模式,建立了基于大數(shù)據(jù)安全和隱私保護架構(gòu)的模型,該模型可應(yīng)用于智慧城市等多種重要場景,通過此模型可以深入摸索城市關(guān)鍵信息基礎(chǔ)設(shè)施安全框架體系,并對其安全趨勢進行評估,為我國關(guān)鍵信息基礎(chǔ)設(shè)施的安全防御能力奠定良好的基礎(chǔ)。二是在邊界識別方面，相關(guān)研究工作人員提出了關(guān)鍵信 息基礎(chǔ)設(shè)施安全防護需要識別被納入保護范圍的設(shè)施,關(guān)鍵 信息基

32、礎(chǔ)設(shè)施的界定是該領(lǐng)域的重中之重,邊界的不明確將 會給其安全防護工作帶來嚴重影響,當(dāng)前有學(xué)術(shù)研究者通過 深入分析關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別所面臨的問題及挑戰(zhàn)，提出了一種確定關(guān)鍵信息基礎(chǔ)設(shè)施的邊界識別方案。同時, 通過研究其他國家關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別的經(jīng)驗,借鑒 了邊界識別方法。三是在測量與評估方面，我國相關(guān)研究學(xué)者基于信息安全等級保護來研究關(guān)鍵信息基礎(chǔ)設(shè)施安全防護測量和評估工作,并根據(jù)不同行業(yè)領(lǐng)域的主要特點,基于信息系統(tǒng)安全評估相關(guān)的要求和指南,提出了識別關(guān)鍵信息基礎(chǔ)設(shè)施屬性的風(fēng)險評估方法,進而實行我國關(guān)鍵信息基礎(chǔ)設(shè)施的測量和評估工作。四、我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護面臨的問題（一）法律保護范

33、圍模糊雖然網(wǎng)絡(luò)安全法限定了關(guān)鍵信息基礎(chǔ)設(shè)施的保護范圍，但并沒有明確指出重要行業(yè)和公共服務(wù)領(lǐng)域的具體范圍和判定標準。同時，網(wǎng)絡(luò)安全法雖然設(shè)專節(jié)對關(guān)鍵信息基礎(chǔ)設(shè)施保護進行了規(guī)定，但沒有進行制定具體的實施要求，大多是方向上的指導(dǎo)和禁止，還需要進一步規(guī)定落實的細則和完善的措施。關(guān)于定級對象，根據(jù)信息安全等級保護管理辦法中給的 5 個等級描述都是針對信息系統(tǒng)，也就是說等級保護的對象是信息系統(tǒng)，在信息系統(tǒng)安全等級保護定級指南(GBT 220402008)又對信息系統(tǒng)進行了進一步的詮釋，對照關(guān)鍵信息基礎(chǔ)設(shè)施保護，在最新發(fā)布的等保 2.0 中，網(wǎng)絡(luò)安全等級保護工作的作用對象有所增加，包含了信息系統(tǒng)、基礎(chǔ)信息網(wǎng)

34、絡(luò)、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術(shù)的網(wǎng)絡(luò)等，定級對象的增加為定級方法、保護要求、測評等方面提出了更高的要求，涉及關(guān)鍵信息基礎(chǔ)設(shè)施運營的各細分領(lǐng)域及行業(yè)的法律法規(guī)、保護指南還需加快研究完善。（二）自主可控能力不足自主可控能力一向被認為是保障網(wǎng)絡(luò)安全、信息安全的 基本前提。然而，自主可控設(shè)備目前還不能完全覆蓋我國關(guān) 鍵信息基礎(chǔ)設(shè)施建設(shè)和運行管理的要求，我國在引進外國先 進技術(shù)、加快產(chǎn)業(yè)更新?lián)Q代的同時，也給關(guān)鍵信息基礎(chǔ)設(shè)施 各領(lǐng)域帶來許多安全隱患問題。事實上，大量外國信息技術(shù) 產(chǎn)品已深度滲透至我國的電信、金融、石油、交管等關(guān)鍵網(wǎng) 絡(luò)基礎(chǔ)設(shè)施，導(dǎo)致我國的經(jīng)濟命脈部分

35、信息實況被外方掌握，系統(tǒng)運行受到控制，甚至存在被境內(nèi)外敵對勢力依令破壞的 潛在威脅。當(dāng)前我國關(guān)鍵信息基礎(chǔ)設(shè)施的部分設(shè)備和部件短 期難以擺脫依賴進口的局面，一些信息系統(tǒng)也是由國外企業(yè) 提供技術(shù)服務(wù)，且采用的是國外的技術(shù)標準，我國對核心元 件的控制力較低，缺乏自主可控的技術(shù)產(chǎn)品，從長遠來看，這對我國的關(guān)鍵信息基礎(chǔ)設(shè)施的保護而言無疑是致命的安 全隱患，只有加大我國自主創(chuàng)新產(chǎn)品的運用才能在日后可能 面臨的攻擊中掌握主動權(quán)。（三）缺乏完善有效的脆弱性評估機制和安全恢復(fù)計劃一方面，當(dāng)前我國大多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施運營者還沒有形成統(tǒng)一的行業(yè)安全評估標準，設(shè)施脆弱性和風(fēng)險評估制度也不夠完善。仍有部分運營者將工作

36、重點放在事故事件管理上，甚至只是事故管理，發(fā)生事故后再進行整頓、檢查，此類防護機制往往會造成重大損失。當(dāng)前全球范圍內(nèi)的針對 CII 的蓄意攻擊事件頻發(fā)，例如 2015 年烏克蘭的部分變電站 控制系統(tǒng)遭到破壞，造成大面積停電、2017 年美國核電站遭 受黑客網(wǎng)絡(luò)攻擊等，眾多 CII 安全事件的經(jīng)驗啟示我們應(yīng)當(dāng) 盡快完善風(fēng)險評估，從而從根源控制，將關(guān)口前移。另一方面，缺乏完善的事后安全恢復(fù)計劃，當(dāng)前我國多數(shù)關(guān)鍵信息基礎(chǔ)設(shè)施運營者都未制定完善詳盡的事后安全恢復(fù)計劃，未厘清涉及關(guān)鍵信息基礎(chǔ)設(shè)施保護過程中的防護流程、未明確指出需要加強保護的重點環(huán)節(jié)，也無法保障相應(yīng)評估制度的制定和落實，這為關(guān)鍵信息基礎(chǔ)設(shè)

37、施保護及快速安全恢復(fù)帶來了極大的隱患。同時，我國還面臨著專業(yè)檢查評估人員缺少、檢查工作耗時多、效率低、檢查方法、檢查內(nèi)容不統(tǒng)一的問題。這也為 CII 脆弱性評估帶來了一定程度上的困難。（四）安全風(fēng)險監(jiān)測和預(yù)警機制較弱我國監(jiān)測和預(yù)警機制仍待完善，全國性的風(fēng)險監(jiān)測體系還沒有建立起來，缺乏完備有效的應(yīng)急響應(yīng)措施。目前等級保護 2.0 提出了在風(fēng)險監(jiān)測方面增強了以下措施：“為檢驗安全防護措施的有效性，發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險隱患，運營者制定相應(yīng)的檢測評估制度，確定檢測評估的流程及內(nèi)容等要素，并分析潛在安全風(fēng)險可能引起的安全事件”。同時在安全預(yù)警方面強調(diào)：“運營者制定并實施網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息 通報制度，針對

38、即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或?qū)崟r發(fā)出安全警示”。目前我國相關(guān)行業(yè)管理部門以 事前控制和預(yù)防為核心并根據(jù)對關(guān)鍵信息基礎(chǔ)設(shè)施不同的 威脅進行了匹配性工作，但各細分行業(yè)內(nèi)具體的監(jiān)測與預(yù)警 標準還未制定，且當(dāng)前安全預(yù)警體制機制還存在各主管機構(gòu) 之間的協(xié)調(diào)力和聯(lián)動性欠缺、信息傳遞機制缺陷，安全風(fēng)險 檢測與預(yù)警信息共享程度低等問題，安全預(yù)警機制改革勢在 必行。五、提升我國關(guān)鍵信息基礎(chǔ)設(shè)施安全保護水平的對策建議（一）做好基礎(chǔ)性研究，制定科學(xué)保護框架目前，雖然網(wǎng)絡(luò)安全法列舉了 CII 的保護范圍，但是隨著互聯(lián)網(wǎng)信息技術(shù)的快速發(fā)展，其局限性勢必會越來越突顯，而且也缺乏相關(guān)的認證機制。借鑒國際關(guān)

39、鍵信息基礎(chǔ)設(shè)施保護經(jīng)驗，我國應(yīng)做好基礎(chǔ)性研究工作，重點開展以下工作：研究我國關(guān)鍵信息基礎(chǔ)設(shè)施的定義、分類和結(jié)構(gòu)，以及我國 CIIP 的等級保護框架，研究并不斷完善適用于 CIIP的定級對象定義及定級對象的確定方法；研究基礎(chǔ)信息網(wǎng)絡(luò)等不同形態(tài)定級對象特征研究，研究各細分領(lǐng)域相應(yīng)的定級方法、基本要求和測評要求；參照基礎(chǔ)設(shè)施關(guān)鍵性分析方法，結(jié)合信息系統(tǒng)所服務(wù)的領(lǐng)域，結(jié)合基礎(chǔ)設(shè)施的依賴關(guān)系，充分認識定級對象的重要性；研究威脅場景分析方法，分析危害方式；參照風(fēng)險分析方法，分析和評價危害后果，最終確定各類信息系統(tǒng)、信息網(wǎng)絡(luò)、平臺等對象的安全保護等級。（二）增強自主創(chuàng)新能力，推動國產(chǎn)技術(shù)研發(fā)國家應(yīng)盡快制定和落實自主創(chuàng)新的政策以建立激勵機 制，促進關(guān)鍵信息基礎(chǔ)設(shè)施核心產(chǎn)品的研發(fā)，加快人才培養(yǎng)，同時也要加強對關(guān)鍵信息基礎(chǔ)設(shè)施保護研究的人才和資金