美歐關(guān)鍵信息基礎(chǔ)設(shè)施保護分析與借鑒

周亞超，劉金芳

（1.中國信息安全研究院，北京102209；2.賽迪智庫網(wǎng)絡(luò)空間研究所，北京100036）

1 引言

針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊是世界各國面臨的共同挑戰(zhàn)。金融、能源、通信、交通等重點行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生和公共利益。當(dāng)前，我國關(guān)鍵信息基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)安全形勢嚴峻復(fù)雜，網(wǎng)絡(luò)安全防控能力薄弱，難以有效應(yīng)對網(wǎng)絡(luò)攻擊。

美歐各國均將其視為網(wǎng)絡(luò)安全和國家安全的一個重要部分，以及防范恐怖主義打擊的重點。美國早在克林頓政府時期就出臺了關(guān)鍵基礎(chǔ)設(shè)施保護政策，經(jīng)過了20多年的探索，逐步形成了較為完善的關(guān)鍵基礎(chǔ)設(shè)施管理體系和方法。近年來，歐盟高度重視關(guān)鍵信息基礎(chǔ)設(shè)施安全，發(fā)布了近10項政策決議以加強其網(wǎng)絡(luò)安全防護。美歐關(guān)鍵信息基礎(chǔ)主要由私營部門運營，強調(diào)實施公私合作的自愿性保護框架，但實際上關(guān)鍵信息基礎(chǔ)設(shè)施保護工作仍是依靠政府部門來主導(dǎo)和實施。

2 美國關(guān)鍵信息基礎(chǔ)設(shè)施保護

美國關(guān)鍵信息基礎(chǔ)設(shè)施保護機構(gòu)及其職能劃分比較明確，機構(gòu)設(shè)置呈現(xiàn)體系化，逐步建立了以國土安全部為主導(dǎo)、基礎(chǔ)設(shè)施特定領(lǐng)域機構(gòu)（SSA）具體負責(zé)和配合本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施保護工作，形成了各部門之間職能分工明確、相互協(xié)調(diào)的關(guān)鍵信息基礎(chǔ)設(shè)施保護組織體系。同時，美國政府認識到關(guān)鍵信息基礎(chǔ)設(shè)施保護是政府部門與私營部門的共同責(zé)任，不僅強調(diào)政府相關(guān)部門在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面的重要作用，還始終鼓勵和倡導(dǎo)私營部門與政府相關(guān)部門加強合作與交流，在關(guān)鍵信息基礎(chǔ)設(shè)施保護計劃、協(xié)調(diào)、實施和運行方面協(xié)同努力。

在管理體制方面，2002年美國依據(jù)《國土安全法》成立國土安全部，負責(zé)協(xié)調(diào)政府的關(guān)鍵基礎(chǔ)設(shè)施保護工作，同時在不同的關(guān)鍵基礎(chǔ)設(shè)施部門內(nèi)還設(shè)置有對應(yīng)的聯(lián)邦機構(gòu)負責(zé)具體實施這一部門的關(guān)鍵基礎(chǔ)設(shè)施保護工作。2003年發(fā)布第7 號國土安全總統(tǒng)指令（HS PD-7）《關(guān)鍵基礎(chǔ)設(shè)施標(biāo)識、優(yōu)先級和保護》[1]，確定了美國關(guān)鍵信息基礎(chǔ)設(shè)施保護框架的基礎(chǔ)性政策，該法令認為各關(guān)鍵基礎(chǔ)設(shè)施部門都有其獨特的特征和運行模式，明確指定了基礎(chǔ)設(shè)施保護行業(yè)主管部門，包括農(nóng)業(yè)部、健康和公共服務(wù)部、環(huán)境保護局、能源部、財政部、國防部，并關(guān)系到關(guān)鍵基礎(chǔ)設(shè)施和重要資源保護的各聯(lián)邦部局以及各個總統(tǒng)行政辦公室納入到保護框架之內(nèi)，包括國務(wù)院、司法部、商務(wù)部、關(guān)鍵基礎(chǔ)設(shè)施保護政策協(xié)調(diào)委員、管理和預(yù)算辦公室、首席信息官委員會等。2013年，HSPD-7被撤銷并被第21號總統(tǒng)令取代，但延續(xù)了之前的保護框架。

在部門工作協(xié)調(diào)方面，最早的基礎(chǔ)設(shè)施保護政策《第63號總統(tǒng)決定令：克林頓政府對關(guān)鍵基礎(chǔ)設(shè)施保護的政策》[2]就明確了部門聯(lián)絡(luò)的領(lǐng)導(dǎo)機構(gòu)、特殊職能的領(lǐng)導(dǎo)機構(gòu)、跨機構(gòu)協(xié)調(diào)機制。由領(lǐng)導(dǎo)機構(gòu)、國家經(jīng)濟委員會和國家協(xié)調(diào)員的推薦，總統(tǒng)指派一個由大型基礎(chǔ)設(shè)施提供商和州及地方官員組成的小組，組成國家基礎(chǔ)設(shè)施保障委員會，委員會主席由總統(tǒng)指定。國家協(xié)調(diào)員將擔(dān)任該委員會的執(zhí)行主任。國家基礎(chǔ)設(shè)施保障委員會將定期集會，以加強關(guān)鍵基礎(chǔ)設(shè)施保護中公共和私營部門間的合作關(guān)系，并在必要的時候向總統(tǒng)提交報告。

在政策執(zhí)行層面，美國國土安全部下設(shè)兩個辦公室，基礎(chǔ)設(shè)施保護辦公室、網(wǎng)絡(luò)安全和通信辦公室并分別設(shè)有中心，以加強部門間協(xié)調(diào)。2014年國土安全部在基礎(chǔ)設(shè)施保護辦公室原有職能的基礎(chǔ)上，單獨組建了網(wǎng)絡(luò)基礎(chǔ)設(shè)施分析辦公室（OCIA），具體負責(zé)落實綜合分析和標(biāo)識關(guān)鍵基礎(chǔ)設(shè)施的要求。

在預(yù)警響應(yīng)方面，2016年發(fā)布了第41號總統(tǒng)政策令《網(wǎng)絡(luò)事件協(xié)調(diào)》[3]和國土安全部《國家網(wǎng)絡(luò)事件響應(yīng)計劃》[4]規(guī)定，由國土安全部負責(zé)運營國家基礎(chǔ)設(shè)施保護中心、信息共享與分析中心等，負責(zé)實現(xiàn)信息整合和分析功能，為其他關(guān)鍵基礎(chǔ)設(shè)施相關(guān)角色提供態(tài)勢感知，對關(guān)鍵基礎(chǔ)設(shè)施進行物理和網(wǎng)絡(luò)保護，以保障國家關(guān)鍵信息基礎(chǔ)設(shè)施安全事件監(jiān)測通報與預(yù)警的有效實施。在能力建設(shè)方面，保持對網(wǎng)絡(luò)威脅的態(tài)勢感知，檢測網(wǎng)絡(luò)威脅，減輕事件影響，響應(yīng)事件并從中恢復(fù)。

在技術(shù)標(biāo)準(zhǔn)層面，根據(jù)《改善關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全行政令》[5]制定了網(wǎng)絡(luò)安全框架。該框架通過基于風(fēng)險的方法，使用現(xiàn)有的標(biāo)準(zhǔn)和最佳實踐，幫助關(guān)鍵基礎(chǔ)設(shè)施的運營使用單位應(yīng)對網(wǎng)絡(luò)空間的風(fēng)險，構(gòu)建了包括識別、保護、監(jiān)測、響應(yīng)和恢復(fù)在內(nèi)的CIIP 網(wǎng)絡(luò)安全框架，提出安全基線要求并借助NIST 80053、ISO/IEC 27001、COBIT、COSO、ISA等信息安全管理標(biāo)準(zhǔn)作為控制目標(biāo)的實現(xiàn)。

此外，由于基礎(chǔ)設(shè)施主要由私營部門運營，基礎(chǔ)設(shè)施保護的一個重點工作是促進對信息安全事件預(yù)警信息的共享。鼓勵私營部門建立信息共享與分析中心，在法律允許的范圍內(nèi)向特定部門機構(gòu)或其他關(guān)鍵基礎(chǔ)設(shè)施部門的合作伙伴提供情報和信息，提供實時的威脅和事件報告、警報和預(yù)警，并對敏感信息進行保護。

3 歐盟關(guān)鍵基礎(chǔ)設(shè)施保護

歐盟在關(guān)鍵信息基礎(chǔ)設(shè)施保護方面的政策立法主要包括：2004年發(fā)布《打擊恐怖活動，加強關(guān)鍵基礎(chǔ)設(shè)施保護的通訊》，給出了關(guān)鍵基礎(chǔ)設(shè)施的定義；2005年發(fā)布《保護關(guān)鍵基礎(chǔ)設(shè)施的歐洲計劃（EPCIP）》，該計劃明確了關(guān)鍵信息基礎(chǔ)設(shè)施和關(guān)鍵信息基礎(chǔ)設(shè)施保護的定義，設(shè)立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)委員會（CIWIN），確定關(guān)鍵基礎(chǔ)設(shè)施認定標(biāo)準(zhǔn)和關(guān)鍵部門，強調(diào)公私合作；2006年發(fā)布《關(guān)于歐盟理事會制定識別、指定歐洲關(guān)鍵基礎(chǔ)設(shè)施并評估提高保護的必要性指令的建議》，該建議明確了關(guān)鍵基礎(chǔ)設(shè)施的定義，要求設(shè)立安全聯(lián)絡(luò)官，建立關(guān)鍵基礎(chǔ)設(shè)施風(fēng)險和威脅評估報告；2009年發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施保護戰(zhàn)略：保護歐洲免受大規(guī)模網(wǎng)絡(luò)攻擊和中斷》，該報告是歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護戰(zhàn)略，旨在使歐盟更好地應(yīng)對任何網(wǎng)絡(luò)攻擊和入侵，主要包括就緒和預(yù)防、檢測和響應(yīng)、緩解和恢復(fù)、國際和歐盟范圍內(nèi)的合作、關(guān)鍵基礎(chǔ)設(shè)施標(biāo)準(zhǔn)幾個方面。

根據(jù)《 保護關(guān)鍵基礎(chǔ)設(shè)施的歐洲計劃（EPCIP）》[6]，歐盟關(guān)鍵信息基礎(chǔ)設(shè)施保護遵循幾項原則：協(xié)助原則，關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)委員會根據(jù)成員國的請求，對成員國國家關(guān)鍵基礎(chǔ)設(shè)施保護提供協(xié)助；互補原則，避免在歐盟、國家或地區(qū)層面做出重復(fù)努力，補充并充分利用現(xiàn)有措施；保密原則，對關(guān)鍵基礎(chǔ)設(shè)施保護信息（CIPI）進行分級并設(shè)定訪問權(quán)限，在安全可信的環(huán)境下進行信息共享；利益相關(guān)者合作原則，確保所有關(guān)鍵基礎(chǔ)設(shè)施利益相關(guān)者盡可能參與到歐洲關(guān)鍵基礎(chǔ)設(shè)施保護計劃的制定和實施中；風(fēng)險原則，根據(jù)風(fēng)險和威脅類型選擇需要實施的安全措施。

在組織機構(gòu)方面，劃分為國家之間、國家與企業(yè)、企業(yè)之間不同的層面。在歐盟層面設(shè)立關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)小組，以推動歐洲關(guān)鍵基礎(chǔ)設(shè)施保護計劃總體方面和各部門具體行動的開展。各成員國設(shè)立一個關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)點，負責(zé)與其他成員國、理事會以及委員會協(xié)調(diào)成員國內(nèi)的關(guān)鍵基礎(chǔ)設(shè)施事項。關(guān)鍵基礎(chǔ)設(shè)施聯(lián)絡(luò)點的指定將不會排除其他成員國機構(gòu)對于關(guān)鍵基礎(chǔ)設(shè)施事項的參與。在企業(yè)層面，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護的組織協(xié)調(diào)機構(gòu)，即安全聯(lián)絡(luò)官制度。關(guān)鍵基礎(chǔ)設(shè)施所有者或運營者指定一名安全聯(lián)絡(luò)官，作為與所在成員國關(guān)鍵基礎(chǔ)設(shè)施保護機關(guān)之間的聯(lián)絡(luò)點。

在預(yù)警響應(yīng)方面，提出建立關(guān)鍵基礎(chǔ)設(shè)施預(yù)警信息網(wǎng)絡(luò)（CIWIN）、早期預(yù)警機制和歐洲信息共享和預(yù)警系統(tǒng)（EISAS）。促進信息共享，建立相互信任的關(guān)系，確保自愿共享的私有的、敏感的或個人信息將不會被公開披露并且這些敏感數(shù)據(jù)將得到充分的保護。

4 美歐關(guān)鍵基礎(chǔ)設(shè)施保護經(jīng)驗借鑒和思考

4.1 加強組織機制保障

一是將關(guān)鍵信息基礎(chǔ)設(shè)施保護上升到立法的高度。美歐等國不僅通過制定和發(fā)布國家戰(zhàn)略、國家政策和命令，還通過出臺相關(guān)立法滿足關(guān)鍵信息基礎(chǔ)設(shè)施的保護需求，并在其中明確了關(guān)鍵信息基礎(chǔ)設(shè)施保護的具體措施，相應(yīng)的組織管理機構(gòu)體系及其職責(zé)等內(nèi)容。

二是構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護的組織管理體系。多數(shù)國家建立了包括政府部門和私營機構(gòu)共同參與的關(guān)鍵信息基礎(chǔ)設(shè)施保護的組織管理體系，關(guān)鍵信息基礎(chǔ)設(shè)施保護的責(zé)任都是由不同政府部門的多個機構(gòu)和單位共同承擔(dān)，其職責(zé)和分工明確，并且相互之間形成了良好的協(xié)調(diào)機制。此外，還需要設(shè)立關(guān)鍵信息基礎(chǔ)設(shè)施保護的強力監(jiān)管部門。例如，美國授權(quán)國土安全部對關(guān)鍵信息基礎(chǔ)設(shè)施保護工作實施監(jiān)督管理。

4.2 加強技術(shù)平臺保障

一是建立關(guān)鍵信息基礎(chǔ)設(shè)施保護監(jiān)測通報與預(yù)警平臺。各國已經(jīng)紛紛通過建立相應(yīng)的監(jiān)測與預(yù)警發(fā)布中心，保障國家關(guān)鍵信息基礎(chǔ)設(shè)施監(jiān)測通報與預(yù)警的有效實施，如美國的國家基礎(chǔ)設(shè)施保護中心，負責(zé)全天候監(jiān)測和分析針對關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)威脅信息。

二是建立關(guān)鍵信息基礎(chǔ)設(shè)施保護的信息共享機制。各國在關(guān)鍵信息基礎(chǔ)設(shè)施保護的監(jiān)測、預(yù)警、應(yīng)急、響應(yīng)等方面都建立了及時高效的、上通下達的網(wǎng)絡(luò)安全信息共享機制，其中涉及政府部門之間，私營部門之間以及政府與私營部門之間，國家之間的關(guān)鍵信息基礎(chǔ)設(shè)施保護的信息共享，如美國的信息共享與分析中心、歐洲的早期預(yù)警和信息系統(tǒng)、歐洲網(wǎng)絡(luò)和信息安全局等。

三是為關(guān)鍵信息基礎(chǔ)設(shè)施運營者提供技術(shù)支持。美歐等國將關(guān)鍵信息基礎(chǔ)設(shè)施保護上升到國家安全和社會穩(wěn)定的高度，提出對關(guān)鍵信息基礎(chǔ)設(shè)施保護的實施給予充足的財政保障，并由政府機構(gòu)為關(guān)鍵信息基礎(chǔ)設(shè)施運營者提供技術(shù)支持，強調(diào)政府鼓勵和支持相關(guān)技術(shù)和產(chǎn)品的研究與開發(fā)，保障對進行關(guān)鍵信息基礎(chǔ)設(shè)施保護的研究中心、大學(xué)和公司提供相應(yīng)的政策和經(jīng)費支持。

4.3 建立安全基線要求

關(guān)鍵信息基礎(chǔ)設(shè)施安全基線要求作為一種行之有效的網(wǎng)絡(luò)安全保護方法，其制定和實施將對關(guān)鍵信息基礎(chǔ)設(shè)施運營單位產(chǎn)生深遠的影響。圍繞安全風(fēng)險，安全基線要求的制定不僅考慮通用的安全風(fēng)險，也需要考慮不同部門或組織內(nèi)不同業(yè)務(wù)職能特有的風(fēng)險情景。例如，能源、金融和健康醫(yī)療企業(yè)也可能面臨不同的風(fēng)險情景或后果；企業(yè)內(nèi)部支付系統(tǒng)與人事管理系統(tǒng)的風(fēng)險也會不同。

一般來說，安全基線的制定和選擇有兩種方法，以結(jié)果為導(dǎo)向的方法和基于控制措施的方法，兩種方法對于組織風(fēng)險管理來說是互補的。以結(jié)果為導(dǎo)向的方法通過建立必要的流程和能力來應(yīng)對不斷變化的威脅，確保基線能夠應(yīng)對威脅環(huán)境的變化，在這個過程中不斷學(xué)習(xí)和改進。該方法有助于實現(xiàn)同一個組織內(nèi)部不同部門角色之間的轉(zhuǎn)換，如業(yè)務(wù)部門、安全部門、信息技術(shù)部門等，其缺點是可實施性較差、難以把握，對組織的適應(yīng)性要求較高并需要有一定的安全基礎(chǔ)。

基于控制措施的方法提供了應(yīng)對常見網(wǎng)絡(luò)安全風(fēng)險的基本要求，適合于網(wǎng)絡(luò)安全能力有限的組織來改善安全狀況。但基線要求不能脫離業(yè)務(wù)環(huán)境孤立存在，靜態(tài)的控制措施容易形成合規(guī)性的思維模式，人為限制了如何實現(xiàn)安全保障。例如，站在企業(yè)管理層的角度，滿足基線要求就不用支持必要的安全投入了，即使出現(xiàn)了更先進、更有效的技術(shù)方案也不必更新。而以結(jié)果為導(dǎo)向的方法更易于調(diào)整和改進組織管理，升級和開發(fā)新的安全技術(shù)方式，實現(xiàn)關(guān)鍵信息基礎(chǔ)設(shè)施的動態(tài)防護。

5 結(jié)束語

從美歐關(guān)鍵信息基礎(chǔ)設(shè)施保護的實踐可以發(fā)現(xiàn)，各國從政策立法、管理和技術(shù)層面進行綜合性的保障制度構(gòu)建，注重對安全風(fēng)險進行管理控制，強調(diào)預(yù)警和應(yīng)急制度，加強信息共享，提供安全要求標(biāo)準(zhǔn)化參考，形成網(wǎng)絡(luò)安全基線要求。這些可以為我國關(guān)鍵信息基礎(chǔ)設(shè)施保護工作的開展提供參考，對我國關(guān)鍵信息基礎(chǔ)設(shè)施保護工作有重要的借鑒意義。