前言

自中央網(wǎng)絡安全和信息化領導小組第一次會議上，習近平總書記指出“要抓緊制定立法規(guī)范，完善互聯(lián)網(wǎng)信息內(nèi)容管理、關鍵信息基礎設施保護等法律法規(guī)”以來；國家陸續(xù)出臺《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》、《網(wǎng)絡安全審查辦法》等，引領我國網(wǎng)絡空間安全治理邁入依法治網(wǎng)、依法管網(wǎng)、依法護網(wǎng)、依法用網(wǎng)的法制化時代。2021年9月1日，《關鍵信息基礎設施安全保護條例》(以下簡稱《條例》)的正式實施，標志著我國網(wǎng)絡安全保護邁進了以關鍵信息基礎設施安全保護為重點的新階段，對保障國家安全、經(jīng)濟發(fā)展和社會穩(wěn)定，以及推進信息化建設具有十分重要的意義。

一  網(wǎng)絡空間安全形勢嚴峻，關基設施安全受到威脅

導致關鍵服務運行中斷：2015年12月，烏克蘭配電公司約60座變電站遭到網(wǎng)絡攻擊，其首都基輔和烏克蘭西部的140萬名居民遭遇數(shù)小時停電；

導致通信基礎設施癱瘓：2016年10月，美國域名服務器管理機構Dyn遭到Mirai病毒攻擊，眾多網(wǎng)站無法訪問，美國大半個互聯(lián)網(wǎng)癱瘓；

導致大規(guī)模供應鏈中斷：2021年5月，美國最大成品油運輸管道運營商Colonial Pipeline公司工控系統(tǒng)遭勒索病毒攻擊導致停機，造成近100GB數(shù)據(jù)竊取及成品油運輸管道運營中斷。

全球多起基礎設施和重要信息系統(tǒng)遭受網(wǎng)絡攻擊事件頻發(fā)，引發(fā)了全球各國對加強關鍵信息基礎設施安全保護的思考。

二  關鍵信息基礎設施安全保護作為各國網(wǎng)絡安全戰(zhàn)略重要一環(huán)

美國自1998年頒布《克林頓政府對關鍵基礎設施保護政策》以來，先后實行了《關鍵基礎設施信息保護法》《增強關鍵信息基礎設施網(wǎng)絡安全框架(CSF)》《改善關鍵基礎設施網(wǎng)絡安全的框架》等20余項保護政策，就關鍵信息基礎設施安全的識別、安全保護框架、安全評估要求及規(guī)范等諸多方面進行標準化布局，推動建立了防護完善的安全保護體系。

歐盟自2004年“歐盟關鍵基礎設施保護規(guī)劃”啟動以來，陸續(xù)出臺《網(wǎng)絡與信息安全指令》《識別關鍵信息基礎設施服務和資產(chǎn)的方法論》《關鍵信息基礎設施領域的物聯(lián)網(wǎng)安全基線指南》等多項政策，全面強調關鍵信息基礎設施保護的重要性，實行以風險管理為基礎的安全治理策略。

我國伴隨著《條例》的出臺，也加快了關鍵信息基礎設施安全標準體系的建設工作，包括《關鍵信息基礎設施安全保護要求》《關鍵信息基礎設施安全檢查評估指南》《關鍵信息基礎設施安全控制措施》《關鍵信息基礎設施信息技術產(chǎn)品供應鏈安全要求》等相關標準，就關基設施安全保護的基本要求、檢測評估的流程指南、應急演練協(xié)同機制等內(nèi)容為運營者提供了重要技術基礎。

關鍵信息基礎設施安全保護能力的提升不僅要依靠資金投入、技術提升等，更離不開政府的高度重視和政策支持，通過對法律法規(guī)等制度體系的健全完善來牽引整體保護能力的不斷提升，已成為國際社會普遍共識。

三  關鍵信息基礎設施安全保護體系的構建

1.關鍵信息基礎設施的界定

關鍵信息基礎設施(又稱CII)，《條例》第二條就關鍵信息基礎設施的范圍進行了定義，同時在第二章“關鍵信息基礎設施認定”中明確指出保護工作部門結合本行業(yè)、本領域實際，制定關鍵信息基礎設施認定規(guī)則，并報國務院公安部門備案。

目前相關的認定標準如《CII要素識別指南》、《信息安全技術 關鍵信息基礎設施邊界確定方法》等已經(jīng)在制定中。根據(jù)法規(guī)文件及專家解讀，關鍵信息基礎設施認定規(guī)則主要考慮下列因素：

(1)網(wǎng)絡設施、信息系統(tǒng)等對于本行業(yè)、本領域關鍵核心業(yè)務的重要程度；

(2)網(wǎng)絡設施、信息系統(tǒng)等一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露可能帶來的危害程度；

(3)對其他行業(yè)和領域的關聯(lián)性影響。保護工作部門根據(jù)認定規(guī)則負責組織認定本行業(yè)、本領域的關鍵信息基礎設施，及時將認定結果通知運營者，并通報國務院公安部門。

2.各方職責的明確

對于關鍵信息基礎設施的監(jiān)管體系《條例》提出了分類分層的監(jiān)管模式：國家層面由國家網(wǎng)信部門(國家工業(yè)和信息化部)負責統(tǒng)籌協(xié)調，協(xié)調網(wǎng)絡安全信息的共享以及各部門對關鍵信息基礎設施的網(wǎng)絡安全檢查檢測工作；國務院公安部門(公安部)負責指導監(jiān)督工作，從保證國家安全角度出發(fā)，包括負責規(guī)則備案、匯總基礎設施名單、收集重大網(wǎng)絡安全事件和網(wǎng)絡安全威脅信息、對基礎設施進行網(wǎng)絡安全檢查檢測等工作；國務院電信主管部門(國家工業(yè)和信息化部)負責行業(yè)關鍵信息基礎設施安全保護和監(jiān)督管理工作(如匯集基礎電信網(wǎng)絡實施漏洞探測、滲透性測試等活動情況)。地方層面則由省級人民政府有關部門進行保護監(jiān)督管理工作。

3.重點保護方法論

參照《信息安全技術 關鍵信息基礎設施安全保護要求(報批稿)》等標準，關鍵信息基礎設施安全保護制度應建立在網(wǎng)絡安全等級保護體系基礎上，著眼分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等重點活動的建設，并圍繞關鍵信息基礎設施網(wǎng)絡安全風險識別到處置進行閉環(huán)管理，其體系框架如圖1所示。

圖1 關鍵信息基礎設施安全保護體系框架

(1)分析識別：圍繞關鍵信息基礎設施承載的業(yè)務，開展業(yè)務識別、資產(chǎn)識別、風險識別等活動，為后續(xù)環(huán)節(jié)開展工作打下基礎；

(2)安全防護：根據(jù)已識別的相關信息從安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全通信網(wǎng)絡、安全計算環(huán)境、安全運維管理、供應鏈安全保護、數(shù)據(jù)安全防護等方面進行安全能力的建設加固；

(3)檢測評估：對安全防護環(huán)節(jié)的安全措施有效性進行驗證，定期開展相關活動；

(4)監(jiān)測預警：制定實施網(wǎng)絡安全監(jiān)測預警制度，及時對安全事件做出響應；

(5)主動防御：在減少暴露面的同時，采取誘捕、溯源、干擾和阻斷等措施主動發(fā)現(xiàn)網(wǎng)絡攻擊事件；

(6)事件處置：對網(wǎng)絡安全事件進行報告和處置并采取相應的應對措施。

四  關鍵信息基礎設施安全保護工作的思考

《關鍵信息基礎設施安全保護要求》(報批稿)是基于《網(wǎng)絡安全法》和《條例》，在網(wǎng)絡安全等級保護制度基礎上，結合我過現(xiàn)有網(wǎng)絡安全保障體系成果，從分析識別、安全防護、檢測評估、監(jiān)測預警、主動防御、事件處置等環(huán)節(jié)，提出可落地的安全保護要求。

1.以“三同步”為核心，建章立制夯實責任

《條例》在第十二條中明確提出 “安全保護措施應當與關鍵信息基礎設施同步規(guī)劃、同步建設、同步使用”，奠定了“三同步”作為關鍵信息基礎設施網(wǎng)絡安全合規(guī)建設的原則和前提要求，在實踐中我們建議通過安全規(guī)劃前置、安全建設同步和持續(xù)的安全運營來真正落實“三同步”原則。

2.以風險管理為導向，建設動態(tài)防御機制

不同環(huán)境場景下關鍵信息基礎設施所面對的安全威脅呈現(xiàn)動態(tài)變化，需要根據(jù)關鍵信息基礎設施的業(yè)務特點、網(wǎng)絡特征及面臨的安全威脅，構建動態(tài)的風險監(jiān)測和安全防護措施，形成動態(tài)的安全防護機制，根據(jù)面對的安全風險進行動態(tài)調整，以及時有效的應對安全風險。

首先，運營者應自行或委托第三方機構進行關鍵信息基礎設施安全檢測評估，評估工作每年至少進行一次，并對發(fā)現(xiàn)的問題及時整改。其次，運營者應建立常態(tài)、快速的監(jiān)測與響應能力，并與內(nèi)外部組織和人員積極聯(lián)動情報、預警及處置措施。同時，運營者應重點加強在實戰(zhàn)方面的建設，包括落地攻擊捕獲、干擾、阻斷、封控等技術手段，定期開展攻防演練。

3.以信息共享為基礎，健全聯(lián)防聯(lián)動體系

情報信息作為安全決策的基礎，在現(xiàn)在的網(wǎng)絡空間安全防御體系中占據(jù)著重要位置?！稐l例》第二十三條強調“國家網(wǎng)信部門統(tǒng)籌協(xié)調有關部門建立網(wǎng)絡安全信息共享機制，及時匯總、研判、共享、發(fā)布網(wǎng)絡安全威脅、漏洞、事件等信息，促進有關部門、保護工作部門、運營者以及網(wǎng)絡安全服務機構等之間的網(wǎng)絡安全信息共享”。需要打通不同安全設備間的信息壁壘，建立以威脅情報驅動的安全能力，實現(xiàn)整體網(wǎng)絡的聯(lián)防聯(lián)動，提升面對大規(guī)模網(wǎng)絡攻擊的防范能力。

4.關注潛在安全風險，加強特殊場景安全

《條例》中提到：“運營者應當優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務；采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查”，“履行個人信息和數(shù)據(jù)安全保護責任，建立健全個人信息和數(shù)據(jù)安全保護制度”。為維護關鍵信息基礎設施安全防護的安全可靠，應加強其在供應鏈安全、數(shù)據(jù)安全兩方面的安全建設。

五  小　結

關鍵信息基礎設施安全保護體系作為網(wǎng)絡安全體系中的一部分，隨著后續(xù)其配套制度和標準逐步發(fā)布，關鍵信息基礎設施安全保護勢必成為企業(yè)不可或缺的安全合規(guī)內(nèi)容。而如何做好完善的關鍵信息基礎設施保護體系，積極配合相關部門開展關鍵信息基礎設施的認定和保護一直都是業(yè)內(nèi)關注探討的問題。希望本文能夠給各關鍵信息基礎設施運營者在相關安全工作建設提供借鑒和思考。

來源：默安科技安全研究院