關(guān)鍵信息基礎(chǔ)設(shè)施范圍與特點(diǎn)解析

周亞超　劉金芳

摘 要：關(guān)鍵信息基礎(chǔ)設(shè)施是恐怖主義和網(wǎng)絡(luò)攻擊的重點(diǎn)對象，各國均將視為網(wǎng)絡(luò)安全的重點(diǎn)并上升到國家安全的高度。通常認(rèn)為，關(guān)鍵基礎(chǔ)設(shè)施或關(guān)鍵信息基礎(chǔ)設(shè)施是支撐國家安全和公共利益的重要基礎(chǔ)設(shè)施，但是因?yàn)楦鲊鴳T例和實(shí)際情況不同，對關(guān)鍵信息基礎(chǔ)設(shè)施的名稱和定義有所不同。盡管我國《網(wǎng)絡(luò)安全法》等法律法規(guī)給出了關(guān)鍵信息基礎(chǔ)設(shè)施定義，但較為模糊。論文梳理了國內(nèi)外主要國家和地區(qū)關(guān)鍵信息基礎(chǔ)設(shè)施的概念，總結(jié)關(guān)鍵信息基礎(chǔ)設(shè)施的特點(diǎn)，并基于基礎(chǔ)設(shè)施的概念與特點(diǎn)，對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與一般網(wǎng)絡(luò)安全保護(hù)制度進(jìn)行了分析比較。

關(guān)鍵詞：關(guān)鍵信息基礎(chǔ)設(shè)施；概念；范圍；特點(diǎn)

中圖分類號：TP274+.2 文獻(xiàn)標(biāo)識碼：B

1 引言

信息通信技術(shù)發(fā)展為社會(huì)經(jīng)濟(jì)發(fā)展提供了巨大的潛力。隨著云計(jì)算、物聯(lián)網(wǎng)、虛擬現(xiàn)實(shí)、人工智能等下一代信息通信技術(shù)的發(fā)展，人們生活所依賴的數(shù)字互聯(lián)程度越來越高，另一方面網(wǎng)絡(luò)犯罪日益頻發(fā)，網(wǎng)絡(luò)安全問題不容忽視。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)是世界各國政府和相關(guān)企業(yè)面臨的普遍問題。例如，2015年聯(lián)合國政府專家組報(bào)告將關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)作為“負(fù)責(zé)任國家行為”的一個(gè)重要方面，推動(dòng)在雙邊和多邊網(wǎng)絡(luò)安全合作框架下形成國際共識。

加強(qiáng)關(guān)鍵信息基礎(chǔ)設(shè)施概念的研究，對于開展關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作具有重大意義。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的“關(guān)鍵性”體現(xiàn)在一旦癱瘓或被摧毀，將會(huì)嚴(yán)重影響國家安全、社會(huì)經(jīng)濟(jì)、公共利益。但是，究竟哪些屬于關(guān)鍵信息基礎(chǔ)設(shè)施，關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)工作與一般網(wǎng)絡(luò)安全保護(hù)相比有何不同等問題比較復(fù)雜，需要對其進(jìn)行調(diào)研和研究。

2 國內(nèi)外關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)概念

2.1 美國

美國在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)框架和相關(guān)政策文件中對關(guān)鍵部門存在包括關(guān)鍵基礎(chǔ)設(shè)施（CIP）、關(guān)鍵信息基礎(chǔ)設(shè)施（CIIP）、關(guān)鍵資源（CI/KR）的多種表述，在定義中強(qiáng)調(diào)其對國家安全的重要意義。概念上基本沿用了2001年《愛國者法案》的規(guī)定，即關(guān)鍵基礎(chǔ)設(shè)施是指對美國重要的物理或虛擬的系統(tǒng)和資產(chǎn)，此類系統(tǒng)和資產(chǎn)的功能喪失或破壞將對國家安全、國家經(jīng)濟(jì)安全、國家公眾健康與安全或上述事項(xiàng)的任何組合產(chǎn)生削弱影響。

近年來，美國發(fā)布了關(guān)鍵基礎(chǔ)設(shè)施相關(guān)多項(xiàng)政策立法，其中以奧巴馬政府2013年發(fā)布13636號總統(tǒng)行政令（EO 13636）《改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全》[1]和第21號總統(tǒng)政策指示（PDD 21）《關(guān)鍵基礎(chǔ)設(shè)施安全和韌性》中的定義最具代表性，即關(guān)鍵基礎(chǔ)設(shè)施是指對美國非常重要的物理或虛擬的系統(tǒng)和資產(chǎn)。如果這類系統(tǒng)或資產(chǎn)遭到破壞或喪失工作能力，將對美國的安全，國家經(jīng)濟(jì)安全，國家公眾健康或公共安全，或任何這些事項(xiàng)的集合產(chǎn)生削弱影響。

根據(jù)2013年《提高關(guān)鍵基礎(chǔ)設(shè)施的安全性和恢復(fù)力》[2]，關(guān)鍵基礎(chǔ)設(shè)施涉及十六類，包括化學(xué)、商業(yè)設(shè)施、通信、關(guān)鍵制造、水利、國防工業(yè)基地、應(yīng)急服務(wù)、能源、金融服務(wù)、食品和農(nóng)業(yè)、政府設(shè)施、醫(yī)療保健和公共衛(wèi)生、信息技術(shù)、核反應(yīng)堆、材料和廢棄物、運(yùn)輸系統(tǒng)、水及污水處理系統(tǒng)。

2.2 歐盟

與美國將關(guān)鍵基礎(chǔ)設(shè)施（CI）與關(guān)鍵信息基礎(chǔ)設(shè)施（CII）等同使用的情況不同，歐盟對兩者有明確的區(qū)別界定。

根據(jù)2004年歐盟《打擊恐怖主義活動(dòng)，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的通訊》[3]，關(guān)鍵基礎(chǔ)設(shè)施是指“如果被破壞或摧毀，會(huì)對公民的健康、安全、穩(wěn)定或經(jīng)濟(jì)福祉或成員國政府的有效運(yùn)轉(zhuǎn)造成嚴(yán)重影響的物理和信息技術(shù)設(shè)施、網(wǎng)絡(luò)、服務(wù)和資產(chǎn)”。

2005年歐盟發(fā)布《保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃（EPCIP）》[4]，將關(guān)鍵信息基礎(chǔ)設(shè)施定義為“關(guān)鍵基礎(chǔ)設(shè)施本身或關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營必不可少的ICT系統(tǒng)（電信、計(jì)算機(jī)、軟件、互聯(lián)網(wǎng)、衛(wèi)星等）”。以此為依據(jù)，歐盟范圍內(nèi)確定的關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)部門主要包括幾個(gè)領(lǐng)域。

能源（石油和天然氣生產(chǎn)、提煉、處理和儲藏，其中包括輸送管道、發(fā)電、輸電、供電、天然氣和石油）；信息和通信技術(shù)（信息系統(tǒng)和網(wǎng)絡(luò)保護(hù)、設(shè)備自動(dòng)化和控制系統(tǒng)、互聯(lián)網(wǎng)、固定電信服務(wù)、移動(dòng)電信服務(wù)、無線電通信和導(dǎo)航、衛(wèi)星通信、廣播）；水（飲用水供應(yīng)、控制水質(zhì)、控制水量）；食品（食品供應(yīng)和食品安全保護(hù)）；健康（醫(yī)療和醫(yī)院護(hù)理、藥品、血清、疫苗和藥物，生物實(shí)驗(yàn)室和生物制劑）；金融系統(tǒng)[支付服務(wù)/支付體系（私營）、政府財(cái)政調(diào)配]；公共和法律秩序和安全（維持公共和法律秩序、安全和穩(wěn)定、司法和拘留管理）；民事管理（政府職能、武裝部隊(duì)、民事管理服務(wù)，應(yīng)急服務(wù)、郵政和快遞服務(wù)）；交通（公路交通、鐵路交通、航空運(yùn)輸、內(nèi)河航運(yùn)、遠(yuǎn)洋和近海航運(yùn)）；化學(xué)和核工業(yè)[化學(xué)和核材料的生產(chǎn)、儲存/加工，危險(xiǎn)物品（化學(xué)材料）的輸送管道]；太空和研究。

2.3 中國

在我國的網(wǎng)絡(luò)安全法、網(wǎng)絡(luò)空間安全戰(zhàn)略以及關(guān)鍵信息基礎(chǔ)設(shè)施條例及相關(guān)標(biāo)準(zhǔn)中，對關(guān)鍵信息基礎(chǔ)設(shè)施的定義是從其受到破壞造成的影響來界定的，數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國家安全、公共利益的信息設(shè)施，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會(huì)保障、公用事業(yè)等領(lǐng)域和國家機(jī)關(guān)的重要信息系統(tǒng)、工業(yè)控制系統(tǒng)等。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》[5]以舉例的方式給出了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍：

（1）政府機(jī)關(guān)和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護(hù)、公用事業(yè)等行業(yè)領(lǐng)域的單位；

（2）電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)，以及提供云計(jì)算、大數(shù)據(jù)和其他大型公共信息網(wǎng)絡(luò)服務(wù)的單位；

（3）國防科工、大型裝備、化工、食品藥品等行業(yè)領(lǐng)域科研生產(chǎn)單位；

（4）廣播電臺、電視臺、通訊社等新聞單位；

（5）其他重點(diǎn)單位。

2.4 其他國家和地區(qū)

英國使用了“關(guān)鍵國家基礎(chǔ)設(shè)施（CNI）保護(hù)”的概念，根據(jù)《國家網(wǎng)絡(luò)安全戰(zhàn)略（2016-2021）》[6]，由國家安全戰(zhàn)略委員會(huì)每年開展評估工作，旨在加強(qiáng)政策和技術(shù)監(jiān)管，提高CNI的可恢復(fù)性。從定義上，CNI指由國家基礎(chǔ)設(shè)施的對于不間斷向國家提供基本服務(wù)來說不可或缺的關(guān)鍵元素組成。沒有這些元素，基本服務(wù)就不能提供，英國就會(huì)遭受嚴(yán)重后果，其中包括嚴(yán)重的經(jīng)濟(jì)損害、巨大的社會(huì)破壞乃至大量喪失生命。英國國計(jì)民生不可或缺的許多關(guān)鍵服務(wù)依賴信息技術(shù)，由公共和私營部門提供。

從范疇上，CNI包括十個(gè)行業(yè)：

（1）通信（數(shù)字通信、固定語音通信、郵遞、政府信息、無線通信）；

（2）應(yīng)急服務(wù)（救護(hù)、消防和營救、海上急救、警察）；

（3）能源（電力、天然氣和石油）；

（4）金融（資產(chǎn)管理、金融設(shè)施、投資銀行、市場、小額銀行）；

（5）食品（生產(chǎn)、進(jìn)口、加工、配送、零售）；

（6）政府和公共服務(wù)（中央政府、地區(qū)政府、地方政府、議會(huì)和立法機(jī)關(guān)、司法、國家安全）；

（7）公共安全（化學(xué)、生物、輻射和核恐怖襲擊；危及百姓生活的事件）；

（8）健康（醫(yī)療保健、公共衛(wèi)生）；

（9）交通（航空、海運(yùn)、鐵路、公路）；

（10）水（飲用水、污水）。

此外，加拿大、德國、法國、匈牙利、澳大利亞、奧地利、瑞士、西班牙等國網(wǎng)絡(luò)安全戰(zhàn)略與政策中主要使用關(guān)鍵基礎(chǔ)設(shè)施的概念，印度、韓國等國使用了關(guān)鍵信息基礎(chǔ)設(shè)施的概念。韓國將“關(guān)鍵信息基礎(chǔ)設(shè)施”定義為嚴(yán)重依賴信息和電信技術(shù)的關(guān)鍵基礎(chǔ)設(shè)施。涉及的行業(yè)包括：

（1）電子政務(wù)和國家政府行政機(jī)構(gòu)；

（2）國家安全；

（3）應(yīng)急/災(zāi)難恢復(fù)服務(wù)；

（4）國防；

（5）媒體服務(wù)，如廣播設(shè)施；

（6）金融服務(wù)；

（7）天然氣和能源，如電廠；

（8）交通，如地鐵和機(jī)場；

（9）電信。

3 關(guān)鍵信息基礎(chǔ)設(shè)施的范圍劃分

由于不同行業(yè)、不同類型的關(guān)鍵信息基礎(chǔ)設(shè)施千差萬別，難以細(xì)化識別關(guān)鍵信息基礎(chǔ)設(shè)施的參數(shù)指數(shù)。更具可操作性的流程是，識別關(guān)鍵業(yè)務(wù)和關(guān)鍵業(yè)務(wù)運(yùn)營單位，梳理支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)并確定信息系統(tǒng)的邊界，從而識別出關(guān)鍵信息基礎(chǔ)設(shè)施。

首先是識別關(guān)鍵業(yè)務(wù)及其運(yùn)營者，需要明確對經(jīng)濟(jì)社會(huì)運(yùn)行具有基礎(chǔ)性、全局性支撐作用的關(guān)鍵業(yè)務(wù)，即“關(guān)鍵基礎(chǔ)設(shè)施”，在此基礎(chǔ)上確定關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者。一般來說，為便于安全責(zé)任管理，一個(gè)關(guān)鍵基礎(chǔ)設(shè)施對應(yīng)一個(gè)運(yùn)營者，一個(gè)運(yùn)營者可以對應(yīng)多個(gè)基礎(chǔ)設(shè)施。

其次是識別支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)，確定關(guān)鍵信息基礎(chǔ)設(shè)施的邊界。關(guān)鍵基礎(chǔ)設(shè)施的范圍要比關(guān)鍵信息基礎(chǔ)設(shè)施大，需要明確信息系統(tǒng)的邊界。隨著信息通信技術(shù)廣泛使用，成為生產(chǎn)、運(yùn)營、維護(hù)、管理等各個(gè)環(huán)節(jié)的重要組成部分，關(guān)鍵信息基礎(chǔ)設(shè)施占的比重越來越大。通過信息系統(tǒng)中信息和數(shù)據(jù)的流動(dòng)，高度依賴信息化的重要業(yè)務(wù)。在這一過程中，需要確定關(guān)鍵信息基礎(chǔ)設(shè)施最大可能的邊界。邊界的劃分不局限于單個(gè)信息系統(tǒng)，還需要梳理關(guān)鍵業(yè)務(wù)與公共系統(tǒng)的依賴關(guān)系，包括不同信息系統(tǒng)之間的互聯(lián)。

此外，為保障關(guān)鍵業(yè)務(wù)的穩(wěn)定運(yùn)行，在劃分邊界時(shí)，不僅要關(guān)注信息技術(shù)系統(tǒng)，也要保障運(yùn)營技術(shù)（OT）系統(tǒng)，例如變電、運(yùn)輸控制及相關(guān)的工業(yè)控制系統(tǒng)。特別是大量定制化的、傳統(tǒng)的工業(yè)控制系統(tǒng)在設(shè)計(jì)時(shí)沒有考慮到網(wǎng)絡(luò)安全，現(xiàn)在越來越多地聯(lián)網(wǎng)并接入互聯(lián)網(wǎng)，以實(shí)現(xiàn)更有效的控制和實(shí)時(shí)監(jiān)控。一方面，這將會(huì)產(chǎn)生新的漏洞并可能使系統(tǒng)暴露于網(wǎng)絡(luò)攻擊；另一方面，OT系統(tǒng)自身的復(fù)雜性也使得即使識別漏洞，短時(shí)間內(nèi)難以實(shí)現(xiàn)修補(bǔ)，導(dǎo)致OT系統(tǒng)業(yè)務(wù)中斷。因此，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位必須考慮信息系統(tǒng)安全、數(shù)據(jù)安全、設(shè)備保修、資產(chǎn)物理位置、最小化停機(jī)時(shí)間以及連接系統(tǒng)的可用性等帶來的影響。

根據(jù)《網(wǎng)絡(luò)安全法》的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定；按照國務(wù)院規(guī)定的職責(zé)分工，負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門分別編制并組織實(shí)施本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全規(guī)劃，指導(dǎo)和監(jiān)督關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全保護(hù)工作。由此可見，根據(jù)國務(wù)院出臺的關(guān)鍵信息基礎(chǔ)設(shè)施識別準(zhǔn)則，行業(yè)主管部門負(fù)責(zé)識別認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施。

根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（2017年7月），國家網(wǎng)信部門會(huì)同國務(wù)院電信主管部門、公安部門等部門制定關(guān)鍵信息基礎(chǔ)設(shè)施識別指南。在識別認(rèn)定過程中，充分發(fā)揮有關(guān)專家作用，提高關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定的準(zhǔn)確性、合理性和科學(xué)性。

4 關(guān)鍵信息基礎(chǔ)設(shè)施的特點(diǎn)

分析關(guān)鍵信息基礎(chǔ)設(shè)施的特點(diǎn)，有助于改進(jìn)保護(hù)方法、構(gòu)建保障體系、提高威脅應(yīng)對能力，一般來說具有幾個(gè)特點(diǎn)。

首先關(guān)鍵信息基礎(chǔ)設(shè)施對象應(yīng)為一個(gè)整體系統(tǒng)，而不是若干的離散系統(tǒng)。圍繞關(guān)鍵業(yè)務(wù)，組成基礎(chǔ)設(shè)施的不同信息系統(tǒng)和網(wǎng)絡(luò)設(shè)施自身的安全等級要求不一定相同，可能有些系統(tǒng)自身的安全等級不高，但會(huì)影響關(guān)鍵業(yè)務(wù)的整體安全。

二是關(guān)鍵信息基礎(chǔ)設(shè)施具有不同的形態(tài)結(jié)構(gòu)，包括：

（1）信息系統(tǒng)，如政府網(wǎng)站、信息服務(wù)平臺，這類一般屬于網(wǎng)絡(luò)安全等級保護(hù)三級或四級范疇；

（2）網(wǎng)絡(luò)設(shè)施，如通信網(wǎng)、廣播電視網(wǎng)，參照電信網(wǎng)安全管理要求；

（3）數(shù)據(jù)資產(chǎn)，匯聚海量數(shù)據(jù)的云平臺、互聯(lián)網(wǎng)應(yīng)用等，這類更側(cè)重?cái)?shù)據(jù)安全要求；

（4）關(guān)鍵基礎(chǔ)設(shè)施的信息部分，如鐵路的列車控制系統(tǒng)，參照電力、能源、化工、交通運(yùn)輸?shù)刃袠I(yè)的工業(yè)控制系統(tǒng)安全要求。

三是關(guān)鍵信息基礎(chǔ)設(shè)施面臨的安全威脅主要是復(fù)雜威脅和動(dòng)態(tài)威脅，因此安全保護(hù)強(qiáng)調(diào)更多考慮的是具備韌性（Resilience）。網(wǎng)絡(luò)威脅不斷變化、新的脆弱性層出不窮、影響范圍很大，例如2017年Wanner Cry勒索病毒給很多國家的健康醫(yī)療、能源、電信等行業(yè)造成嚴(yán)重影響。攻擊實(shí)施者可能是黑客個(gè)人、犯罪組織甚至可能是國家間的網(wǎng)絡(luò)戰(zhàn)。保障關(guān)鍵信息基礎(chǔ)設(shè)施的絕對安全是不可能的，各國政府出臺的基礎(chǔ)設(shè)施政策更多強(qiáng)調(diào)的是增強(qiáng)韌性或可恢復(fù)性，適應(yīng)不斷變化的環(huán)境，增加攻擊難度，降低攻擊造成的影響。

四是關(guān)鍵信息基礎(chǔ)設(shè)施的安全目標(biāo)與業(yè)務(wù)特點(diǎn)相關(guān)。不同企業(yè)由于業(yè)務(wù)特點(diǎn)強(qiáng)調(diào)安全性的重點(diǎn)也不同，例如政府網(wǎng)站通常是與政務(wù)內(nèi)網(wǎng)隔離或在云端存儲的公開披露內(nèi)容，即使短時(shí)間內(nèi)無法訪問也不會(huì)造成嚴(yán)重影響，但如果內(nèi)容受到惡意篡改可能造成輿論不利影響，因此更強(qiáng)調(diào)完整性，對保密性和可用性要求則沒有那么高。同樣的，基于業(yè)務(wù)特點(diǎn)金融行業(yè)側(cè)重完整性以確保用戶金融數(shù)據(jù)準(zhǔn)確，通信、電力行業(yè)側(cè)重系統(tǒng)可用性以確保服務(wù)不能中斷，而存儲大量敏感信息的醫(yī)療行業(yè)更側(cè)重安全性以確保患者信息不能泄露。

五是關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)更側(cè)重于安全能力建設(shè)，而不只是滿足合規(guī)性要求。安全能力建設(shè)可以從當(dāng)前面臨的威脅和希望達(dá)到的結(jié)果出發(fā)，以風(fēng)險(xiǎn)管理的思路貫穿關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)生命周期過程，包括識別、防護(hù)、監(jiān)測、預(yù)警、處置、恢復(fù)等，從而構(gòu)建全局的、整體的安全防護(hù)體系。

5 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與一般網(wǎng)絡(luò)安全保護(hù)的區(qū)別

《網(wǎng)絡(luò)安全法》中將網(wǎng)絡(luò)運(yùn)行安全分為“一般規(guī)定”和“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)行安全”兩個(gè)部分；前者指實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，后者指關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度。本文從研究層面簡要分析一下兩者之間的關(guān)聯(lián)和區(qū)別。

從適用范圍來說，等級保護(hù)適用范圍廣，主要覆蓋的是單個(gè)或局部系統(tǒng)的網(wǎng)絡(luò)安全。基礎(chǔ)設(shè)施適用范圍窄，高度開放、互聯(lián)環(huán)境下，綜合性的大型系統(tǒng)或全局系統(tǒng)的網(wǎng)絡(luò)安全。由于等級保護(hù)需要兼顧的對象范圍較為寬泛，安全要求的針對性不強(qiáng)，而關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的范圍很集中，可以提出更系統(tǒng)、甚至更嚴(yán)格的要求。

從保護(hù)體系來說，等級保護(hù)主要依靠合規(guī)要求和監(jiān)督檢查。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)則是一個(gè)需要多方參與保障體系，對運(yùn)營者更強(qiáng)調(diào)的是安全保障能力的要求，需要行業(yè)部門、統(tǒng)籌部門、職能部門、專業(yè)機(jī)構(gòu)相關(guān)角色的協(xié)同防護(hù)。基礎(chǔ)設(shè)施保護(hù)要求側(cè)重于安全風(fēng)險(xiǎn)防控，提供了安全能力持續(xù)提升的方法，旨在落實(shí)責(zé)任、感知風(fēng)險(xiǎn)、消除風(fēng)險(xiǎn)或?qū)L(fēng)險(xiǎn)控制在一定水平，并確保業(yè)務(wù)連續(xù)性和系統(tǒng)可恢復(fù)。

從保護(hù)思路來說，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需要從靜態(tài)合規(guī)安全向風(fēng)險(xiǎn)導(dǎo)向的持續(xù)動(dòng)態(tài)安全的轉(zhuǎn)變，從自我防護(hù)向協(xié)同防護(hù)轉(zhuǎn)變。關(guān)鍵信息基礎(chǔ)設(shè)施安全關(guān)乎國家安全，是一個(gè)持續(xù)的安全監(jiān)測和控制的過程，僅依靠關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營單位是不夠的，需要專業(yè)機(jī)構(gòu)及其他相關(guān)單位的多方參與和協(xié)同防護(hù)。

6 結(jié)束語

理解關(guān)鍵信息基礎(chǔ)設(shè)施的概念是關(guān)鍵信息基礎(chǔ)設(shè)施研究的基礎(chǔ)。本文首先分析美歐等國對關(guān)鍵信息基礎(chǔ)設(shè)施定義，從研究層面劃分關(guān)鍵信息基礎(chǔ)設(shè)施的乏味，與一般性網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)相比，分析關(guān)鍵信息基礎(chǔ)設(shè)施具備哪些特點(diǎn)和特殊性，此基礎(chǔ)上初步總結(jié)了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作的啟發(fā)和指導(dǎo)意義。

參考文獻(xiàn)

[1] 美國第13636號總統(tǒng)行政令（EO 13636）改進(jìn)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全[Z].2013年.

[2] 美國.提高關(guān)鍵基礎(chǔ)設(shè)施的安全性和恢復(fù)力[Z].2013年.

[3] 歐盟打擊恐怖主義活動(dòng)，加強(qiáng)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的通訊[Z].2004年.

[4] 歐盟.保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的歐洲計(jì)劃（EPCIP）[Z].2005年.

[5] 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）[Z].2017年.

[6] 英國.國家網(wǎng)絡(luò)安全戰(zhàn)略（2016-2021）[Z].2016年.