國外關鍵信息基礎設施安全防護戰略分析和啟示

◆任 飛 曹 虎

（1.國家信息中心 北京 100045；2.成都衛士通信息產業股份有限公司 北京 100089）

0 引言

習近平總書記在“4.19”網信工作會議上提出：“加快構建關鍵安全基礎設施安全保障體系”。面對復雜嚴峻的網絡安全形勢，各方面應齊抓共管，切實維護網絡安全。為貫徹落實習總書記“網絡強國”戰略思想，國家互聯網信息辦公室于2016年12月7日發布了《網絡空間安全戰略》，闡明了中國關于網絡空間發展和安全的重大立場和主張，明確了戰略方針和主要任務。《網絡空間安全戰略》[1]第三大戰略任務就是“保護關鍵信息基礎設施”，該任務明確提出“采取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞”，“堅持技術和管理并重、保護和威懾并舉，著眼識別、防護、檢測、預警、響應、處置等環節”，對關鍵信息基礎設施的安全防護和監管提出了明確的要求。

到目前為止，對于關鍵信息基礎設施（CII，Critical Information Infrastructure）的安全防護越來越受到各國重視，歐美日等發達國家紛紛出臺了相關的法律法規和行政命令，同時，詮釋了關鍵信息基礎設施的內涵[2]。

1 各國關鍵信息基礎設施安全防護戰略現狀

1.1 各國關鍵信息基礎設施安全防護立法分析

（1）美國

美國十分重視關鍵信息基礎設施保護立法，從 1996年到2016年分別出臺了《國家信息基礎設施保護法案》、《關鍵基礎設施保護法案》和《聯邦信息安全管理法案》等多部法律，以加強國家關鍵信息基礎設施的保護[3]。通過立法，主要明確了以下內容。

①對關鍵信息基礎設施保護對象進行了定義。2001年，在《關鍵基礎設施保護法案》中，明確了關鍵信息基礎設施的概念，該定義在美國法律和政策中得到了擴展和應用。

②對關鍵信息基礎設施保護范圍及責任部門進行了確認。第21號總統令、國家安全第7號總統令和第63號總統令明確規定了關鍵信息基礎設施保護范圍及責任部門，當前美國關鍵信息基礎設施保護范圍覆蓋了16個行業，并指定由9個責任部門負責。同時，美國政府按照實際應用情況進行了與時俱進的修訂。

③對關鍵信息基礎設施信息共享進行了強化。對于政府部門、國有企業、個體企業和私營業主之間的信息要加強共享，共享信息包括隱私、漏洞、安全等策略信息，以及比較敏感的專業技術、專利等信息。

④制定了多項關鍵信息基礎設施保護標準。根據美國關鍵信息基礎設施保護第13636號行政令的要求，國家標準技術研究院（NIST，National Institute of Standard and Technology）組織制定網絡安全框架，降低關鍵信息基礎設施相關的安全風險。網絡安全框架包括有關促進關鍵信息基礎設施保護的指南、標準或最佳實踐。對于標準涉及的相關領域，網絡安全框架可以提供靈活的、可操作的、高效益的信息安全控制措施，同時，還能協助評估、分析和控制安全風險。

（2）日本

跟隨美國的步伐，日本也非常重視關鍵信息基礎設施保護相關法律法規的制定。在2000年，日本內閣發布了《關鍵基礎設施網絡反恐措施特別行動計劃》。在2005年，日本國家信息安全中心頒布了《關鍵基礎設施信息安全措施行動計劃》，《關鍵基礎設施網絡反恐措施特別行動計劃》隨之取消，以該計劃為基礎，明確了日本關鍵信息基礎設施的定義、具體實施范圍，各主管部門對關鍵信息基礎設施進行保護的要求[4]。在2009年，日本信息安全政策委員會發布了《關鍵基礎設施信息安全第二行動計劃》，對2005年的行動計劃進行了更新，為關鍵信息基礎設施保護工作開拓了新的思路。在2014年，日本正式通過了《網絡安全基本法》，以基本法的高度，明確并強化了關鍵信息基礎設施保護思路。

（3）韓國

韓國在關鍵信息基礎設施保護方面的主要法律是2001年出臺的《信息與通信基礎設施保護法案》（該法案分別于 2002到2013年間多次修訂），該法案是韓國關鍵信息與通信基礎設施保護領域內的主要立法，旨在通過制定與實施相關保護措施，確保關鍵信息與基礎設施的穩定運營，為防范以電子手段的入侵做準備，從而確保國家安全與人民生活的穩定。該法案規定了關鍵信息與通信基礎設施的相關管理機構、職責，確立了關鍵信息與通信基礎設施保護措施、指導方針及保護計劃，建立了包括關鍵信息與通信基礎設施的認定、脆弱性分析與評估、關鍵信息與通信基礎設施入侵的禁止及通知、恢復與反制、信息共享與分析、人才培養、國際合作、責任與懲罰等在內的一系列關鍵信息與通信基礎設施保護制度。

1.2 各國關鍵信息基礎設施安全防護特征

（1）對關鍵信息基礎設施界限進行了明確和劃分

在歐美日等發達國家中，美國是最早明確關鍵信息基礎設施的范圍的。在1998年，克林頓政府的第63號總統令《對關鍵基礎設施保護的政策》表述了8個重點行業作為國家關鍵信息基礎設施。在2003年，第7號國家安全總統令《關鍵基礎設施的識別、優先級和防護》，確定了17類關鍵信息基礎設施和重要資源。在2008年，美國國土安全部宣布將關鍵制造業作為第18類關鍵信息基礎設施。在 2013年，美國發布了第 21號總統政策指示《關鍵基礎設施安全和彈性》和第13636號總統行政令《加強關鍵基礎設施網絡安全》，將關鍵信息基礎設施重新確定為16類[5]。

日本頒布了《關鍵基礎設施信息安全措施行動方案》，完整定義了關鍵信息基礎設施，關鍵信息基礎設施是對經濟和社會生活具有高度影響力的設施[6]。

英國定義了關鍵國家基礎設施的概念，即能夠連續提供基本服務的重要基礎元素。荷蘭從“不可或缺”的角度對國家關鍵信息基礎設施進行了定義，指那些會造成社會性、全國性影響的重要基礎設施。

（2）對關鍵信息基礎設施的管理體系進行了深度剖析

在美國，關鍵信息基礎設施管理體系的基本原則是國土安全部主導、多機構參與，從態勢感知出發，基于國家關鍵信息基礎設施信息安全防護，實現共享交換、協同監管、標準制定和應急處置等功能。

在日本，關鍵信息基礎設施管理體系以內閣秘書處為領導，政府部門和社會部門共同參與為基本原則，對相關重要基礎設施進行聯動管理和處置。在德國，關鍵信息基礎設施管理體系由聯邦信息安全辦公室領導，為快速響應突發事件，在重要情報機構和聯邦警察局設置了各級應急響應小組，為國家級關鍵信息基礎設施防護提供支撐。

（3）在關鍵信息基礎設施領域開展了廣泛合作

在國外發達國家，政府擁有關鍵信息基礎設施領域的管理權，但是大部分關鍵信息基礎設施的所有權卻屬于私營企業，從而使得各國政府在關鍵信息基礎設施領域開展了廣泛合作。比如，美國專門制定了相關規定和制度，以規范關鍵信息基礎設施領域政企的合作。日本建立了類似CERT的組織，以明確基礎設施提供商和運營商之間的關系，為具體的信息共享和交換提供指導。以色列則強調了關鍵信息基礎設施領域的合作關系，要求發起者、使用者和第三方監管者共同負責共享過程中安全問題。

2 結束語

自從十九世紀八十年代出現關鍵信息基礎設施安全防護的概念以來，歐美日等發達國家在該領域的法律法規政策體系已經日漸完善，并在實踐中取得了一定效果。然而，我國雖然擁有龐大的信息化設施，卻在關鍵信息基礎設施的安全防護方面長期處于比較落后的狀態。因此，如果我國想快速提升關鍵信息基礎設施的安全防護能力，以達到國家一流水平，必須快速借鑒并消化吸收歐美日發達國家的先進經驗，結合我國的實際情況，探索出一條具有中國特色的關鍵信息基礎設施安全防護路線。

（1）明確關鍵信息基礎設施范疇

隨著信息化建設的快速發展，美國率先提出了“關鍵信息基礎設施”的概念，然而由于經濟水平和社會體制的不同，國際社會對于關鍵基礎設施相關的定義還存在分歧和建議。同時，大家對于信息安全的理解也在不斷深入，伴隨著人工智能、區塊鏈等先進理念的嵌入，各國對于關鍵信息基礎設施范疇的理解也在不斷變化。我國《網絡安全法》解釋了關鍵信息基礎設施的范圍，即“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及一些一旦遭到破壞、喪失功能或者數據泄露，就可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，對其實行重點保護。”[8]，需要注意的是，上述范圍還比較粗放，因此需要從實踐層面進一步明確我國的關鍵信息基礎設施范圍。

（2）形成政企協同的保障機制

當今社會管理模式已趨向于“小政府、大社會”，關鍵信息基礎設施保護需要多部門、多行業共同發力，僅憑政府一己之力無法完成這一艱巨任務。網信辦、公安部、工信部作為我國保護關鍵信息基礎設施的主管部門，從國家頂層的角度出臺了相關政策法規。同時，公共通信和信息服務、能源、交通、水利和金融等行業主管部門出臺了行業相關的關鍵信息基礎設施安全防護制度。然而，這種自上而下、政府高度集權化的保護模式不利于國家總體把握關鍵信息基礎設施的運行情況，不能夠快速響應關鍵信息基礎設施相關的安全事件。因此，建議制定由政府主導、企事業單位聯合參與的關鍵基礎設施協同保障機制，以保證重要領域關鍵信息基礎設施的穩定運行。

（3）構建關鍵信息基礎設施的信息共享機制

經過“十一五”和“十二五”的全面建設，我國政務信息資源共享工作取得了長足進步，已經完成了國家數據共享交換平臺整體性設計，基于政務外網構建了國家、省部、地市三層共享架構。但由于新時期政務信息系統整合共享工作對數據共享平臺的安全保障提出了更高要求，在關鍵信息基礎設施領域，當前數據共享存在安全責任不明確、數據保護手段不健全、數據共享過程監管不完善、安全保障機制不靈活等問題，已經成為政務信息資源共享應用的主要安全問題。為解決這些問題，需要努力發揮國家電子政務外網在信息共享中的核心樞紐作用，調動相關單位的積極性，建立并完善信息共享機制，實現關鍵信息基礎設施的信息共享。