今日頭條
官方微信
官方抖音
資訊頻道【編者按】關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標,必須采取有效措施,切實做好國家關鍵信息基礎設施安全防護,而將關鍵信息基礎設施元素與其它信息基礎設施區分開來是做好安全防護工作的前提和基礎。近日,在2019第七屆互聯網安全大會上,中國電子商會自主可控技術委員會理事長馮燕春作了題為《關鍵信息基礎設施邊界識別刻不容緩》的主題報告,對關鍵信息基礎設施邊界識別的概念、進展與標準工作進行了深度解讀。
一、CII 概念的由來
“ 關鍵信息基礎設施”(Critical Information Infrastructure,CII)的概念最初起源于美國。早在 1977 年,美國總統關鍵基礎設施保護委員會指出,美國國家安全高度依賴信息和通信、銀行和金融、能源、運輸等關鍵基礎設施,這些基礎設施一旦遭到攻擊會給整個國家帶來嚴重后果。此時,美國就有了關鍵信息基礎設施保護的意識雛形。由于受“911 事件”影響,1996 年,關鍵信息基礎設施的概念被提出并正式確定。從此,在網絡側加強對關鍵基礎設施的保護成為美國 CIP 政策新焦點,并迅速得到世界主要大國的重視。2001年,美國頒布的“愛國者法案”還以法律的形式定義了“關鍵基礎設施”,特別明確了屬于國家關鍵基礎設施的經濟部門范疇。未來,隨著信息化的快速發展,“關鍵信息基礎設施”保護將有可能逐步演變成“關鍵基礎設施”保護。
據統計,目前已有 53 個國家/地區開展了本國、本地區 CI/CII 保護,如美國 1996 年,德國 1997 年,印度 1998年,俄羅斯 2000 年,日本 2005 年,法國 2006 年,巴西 2006 年,澳大利亞2007 年分別開展了CI/CII 保護。
就我國而言,習近平總書記在網絡安全和信息化工作座談會上的講話中指出,金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經濟社會運行的神經中樞,是網絡安全的重中之重,也是可能遭到重點攻擊的目標,必須采取有效措施,切實做好國家關鍵信息基礎設施安全防護。其實,在習總書記講話之前,原國家信息技術研究中心和中國信息安全測評中心作為關鍵基礎設施的安全保障部門,已經開展了相關工作,并在國家相關部門的統一領導下,就相關重點行業開展了檢查、評估工作。習總書記講話以后,我國從上到下對關鍵信息基礎設施有了一個非常深刻的印象。2017 年 6月 1 日,我國正式實施了《網絡安全法》,對關鍵信息基礎設施做了明確的定義。
二、CII 邊界識別的必要性
為什么提出邊界識別?2016 年,我作為網信辦組織的關鍵信息基礎設施檢查工作的負責人,開展相關工作時遇到了幾個問題。一是當時網信辦下發了如何開展摸底檢查工作的文件,然而確定什么是關鍵信息基礎設施則非常復雜。為此,大家提出了一些量化的指標,但是都沒有經過檢驗,也參考了國際上包括以前做過的一些工作的經驗。第二,征集關鍵信息基礎設施信息時,哪些需要報,應該報到什么程度,都很難把握。
近幾年,在關鍵基礎設施的檢查評估指南中,重點行業都被納入到關鍵信息基礎設施。首先,關鍵基礎設施需要保護什么,電力、銀行是不是全都保護,這就涉及到了邊界識別的問題。而這些重點行業中究竟哪些網絡設施、信息系統需要保護則是 CII 邊界識別的核心問題。國家開展 CII 保護的根本目標是保護重要領域內的重要業務的安全,而CII 則是支撐上述關鍵業務安全運行的網絡設施、信息系統等。另外,一些大的行業或系統,比如水利、核電等,都是非常龐大的體系,而且是跨域跨部門的,不可能都重點保護,而應該按照業務鏈進行。以核電為例,從最開始對核電的監控到風控,再到出現故障以后的感知報警和處置,需要分析對整個業務鏈條有影響的系統和設備是什么。
因此,關鍵信息基礎設施邊界,就是指當運營者被國家有關部門確認為是CII 運營者后,需要識別自身運營的哪些網絡設施、信息系統是關鍵業務持續、穩定運行所必須的,應當被納入 CII 保護范圍。通俗地來講,是應該把邊界識別概念定義為一旦業務被定為關鍵業務,也明確運營者之后,需要從保障業務安全運行的角度搞清楚應該保護什么。
三、CII 邊界識別的進展與現狀
2016 年,中央網信辦組建了國家關鍵信息基礎設施網絡安全檢查辦公室,根據工作實際需要研究制定了一系列政策文件,用于指導地方、行業、企業開展關鍵信息基礎設施檢查工作,包括:《關鍵信息基礎設施識別認定流程》《關鍵信息基礎設施識別認定方法》《關鍵信息基礎設施基線》等。時年,團隊在國內外相關研究基礎之上,結合我國關鍵信息基礎設施保護工作實際,提出了邊界識別,然后就技術相關的情況也進行了反復的論證和評估,提出了“基于業務信息流識別關鍵信息基礎設施邊界”的技術方案。
2017 年,在中央網信辦指導下,云南網信辦組織開展“云南省域關鍵信息基礎設施綜合試點”項目,對“基于業務信息流識別關鍵信息基礎設施邊界”進行了實踐、驗證、完善。2018 年 9月,在成都舉辦的國家網絡安全宣傳周上,團隊首次公開向業內介紹了“基于信息流的關鍵信息基礎設施邊界識別認定方法”,并在《中國信息安全》上公開發表,得到業內一定認可。
2018 年底,信安標委秘書處在中央網信辦網絡安全協調局指導下, 組織開展關鍵信息基礎設施安全檢查標準應用試點工作。“基于信息流的關鍵信息基礎設施邊界識別認定方法”在此次試點中得到進一步應用和驗證,同時,編制組結合此次標準試點工作對技術方案又進一步修訂、改進。2019 年初,團隊正式申請國家標準立項。2019 年 4月,在寧波舉辦的全國信安標委會議周上被 WG7 推薦立項,2019 年 8月被信安標委批準正式立項。
四、標準主要內容
首先講一下標準的主要理念。CII保護的目標是保障關鍵業務持續、穩定運行,同一運營者的關鍵信息基礎設施同其它信息基礎設施應該區分開,不要混為一談。只有把重點明確以后,才能實現一體化的保護。具體的方法就是對關鍵業務持續、穩定運行所必須的信息流從產生到終止所流經的重要網絡設施、信息系統納入關鍵信息基礎設施保護范圍。
標準的框架結構包括邊界識別基本原理、邊界識別要求、邊界識別流程以及信息備案和附錄五部分,如圖所示。在整個編寫過程中,除了檢查辦以外,交通、電力、金融等主要行業部門都參與這個標準的制定。
五、CII 邊界識別的緊迫性
國內外相關實踐經驗表明, 在CII 運營者的所有信息基礎設施中,有些網絡設施、信息系統對保障關鍵業務持續、穩定運行是非常關鍵的“Critical”,有些僅僅是比較重要的“Important”,甚至有一些信息設施對關鍵業務是無關緊要的“Unimportant”。因此,將關鍵的信息基礎設施與其它信息基礎設施區分開來,是開展關鍵信息基礎設施保護的第一步,也是 CIIP 保護的前提和基礎,對明確保護對象、實施重點保護具有重要意義。
目前,大家都還停留在關鍵信息基礎設施保護的表面上,只是宏觀地去講哪些是該保護的。至于到底落在哪個系統和網絡內,或者屬于哪個責任部門,還是不清楚。因此,要想做下去,只有解決好關鍵基礎設施識別認定,這樣才能落下去。
當前,CII 邊界識別工作刻不容緩。如今,《關鍵信息基礎設施保護條例》《網絡安全審查辦法》《個人信息出境安全評估辦法》等正在陸續出臺,這些法律法規的落實需要明確 CII 邊界。如何指導運營者梳理自身運營的網絡設施、信息系統納入 CII 保護范疇內,也是一個急需解決的問題。希望大家能夠關注和積極參與相關工作。
來源:網信軍民融合
北京市公安局海淀分局備案號:11010802023656號