今日頭條
官方微信
官方抖音
資訊頻道近年來,隨著智能化、網絡化與能源、制造、通信等基礎設施行業的融合程度不斷加深,關鍵信息基礎設施的安全風險日益突出。特別是近年來針對關鍵信息基礎設施的黑客攻擊事件頻發,關鍵信息基礎設施保護面臨巨大挑戰。因此,加強關鍵信息基礎設施保護成為多國網絡安全工作的重中之重。本文在詳細分析了我國關于關鍵信息基礎設施保護的工作探索基礎上,闡述了美國、歐盟、德國、英國、澳大利亞、日本、韓國等發達國家加強關鍵信息基礎設施保護的主要做法,并基于當前我國關鍵信息基礎設施工作動態,提出了加強我國關鍵信息基礎設施保護的幾點啟示。
一、我國關鍵信息基礎設施保護工作探索 我國關鍵信息基礎設施保護工作起步較晚。2016年11月頒布的《網絡安全法》第一次正式明確了關鍵信息基礎設施的概念。《網絡安全法》指出國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。除立法外,目前我國主要從戰略法規、標準、安全檢查等方面逐步開展關鍵信息基礎設施保護相關工作。 在戰略法規方面,一方面,我國制定發布《國家網絡空間安全戰略》,將關鍵信息基礎設施保護提升到國家網絡安全戰略高度,強調關鍵信息基礎設施保護是全社會共同的責任,要建立實施關鍵信息基礎設施保護制度,采取一切必要措施保護關鍵信息基礎設施安全。另一方面,除《網絡安全法》之外,我國在《關鍵信息基礎設施安全保護條例(征求意見稿)》進一步提出了更細致、全面的要求,確立了我國關鍵信息基礎設施的具體保護框架,在《網絡安全等級保護條例(征求意見稿)》對關鍵信息基礎設施保護也有所提及。 在標準研制方面,近年來我國已在加快推進關鍵信息基礎設施保護標準化工作,目前已公開征求意見的關鍵信息基礎設施相關標準有4項。這些標準根據作用的不同可大體分為3類,分別是框架類、測評類、實施類標準。其中框架類標準主要為《信息安全技術 關鍵信息基礎設施網絡安全保護要求》;測評類標準主要包括《信息安全技術 關鍵信息基礎設施安全檢查評估指南》《信息安全技術 關鍵信息基礎設施安全保障評價指標體系》;實施類標準有《信息安全技術 關鍵信息基礎設施安全控制措施》。此外,為加快落實關鍵信息基礎設施保護的技術要求、服務標準及其他關鍵信息基礎設施標準化工作,各細分領域也在加速研制。 在關鍵信息基礎設施安全調查檢查工作方面,中央網信辦組織開展全國范圍關鍵信息基礎設施網絡安全調查檢查工作,對我國關鍵信息基礎設施分布與底數情況進行摸底調查,為后續理清我國關鍵信息基礎設施清單、建立應對防范措施等奠定基礎,為構建關鍵信息基礎設施安全保障體系提供基礎性數據和參考。此外,公安部在每年的網絡安全執法行動檢查中,對關鍵信息基礎設施保護工作也開展了相關調查和檢查。 二、發達國家關鍵信息基礎設施保護做法 (一)美國多措并舉加強關鍵信息基礎設施保護 美國早在1998年就認識到關鍵信息基礎設施保護的重要性,在當時的《關于保護美國關鍵基礎設施的第63號總統令》中就提出了關鍵基礎設施的概念及保護要求。此后,美國主要采取以下措施加強關鍵基礎設施安全保護: 一是制定保護立法和政策。在立法方面,美國先后頒布了《2001年關鍵基礎設施保護法案》《2002年關鍵基礎設施信息法案》《2014年國家網絡安全保護法案》《2017年NIST網絡安全框架、評估和審查法》等,確立了美國關鍵基礎設施保護框架。在頒布保護立法的同時,美國還積極制定保護戰略提高關鍵基礎設施保護的戰略地位。例如,美國發布的《保護網絡空間安全國家戰略》將關鍵基礎設施保護作為本國網絡安全的主要目標。 二是簽署總統令和行政令。美國為明確關鍵基礎設施保護的責任部門及相關工作部署,從1996至今簽署了多項關鍵基礎設施保護總統令和行政令。這些文件根據主要內容的不同可大體分為兩類,一類是關于設立關鍵基礎設施保護的領導機構及對應職責權利,另一類則是用于明確關鍵基礎設施保護的相關計劃及保護措施、要求等內容。 三是建立協調保護機制。美國自開展關鍵基礎設施保護工作以來,主要采取協調保護機制推動本國保護工作。在國土安全部成立之前,美國主要通過設立總統關鍵基礎設施保護委員會協調推動信息共享、突發事件應對等事宜,在國土安全部成立以后,逐漸接管了關鍵基礎設施保護職能職責,負責協調關鍵基礎設施運營者、監管機構、地方政府、大學、相關委員會、國家等相關方,共同推動國家相關政策制定、開展風險評估工作及突發事件應急響應等。 四是強化安全保護能力。美國重點從加強信息共享、標準研制等方面提升本國關鍵基礎設施保護能力。具體來說,美國很早意識到信息共享對于降低關鍵基礎設施風險的重要性,在《2014 年國家網絡安全保護法案》中提出要制定關鍵基礎設施信息共享計劃并提高信息共享程度。第13636號行政令不僅就信息共享提出了要求,還指出要制定相關標準、指南指導關鍵基礎設施保護工作,為關鍵基礎設施運營者提供了較強操作性的措施。 (二)其他發達國家關鍵信息基礎設施保護做法 歐盟是在2004年提出的關鍵基礎設施定義,隨后主要采取發布政策、指令等文件的做法,如《歐洲關鍵基礎設施保護計劃》《歐盟關鍵基礎設施認定和安全評估指令》《加強歐盟關鍵基礎設施保護指令》等,明確歐盟關鍵基礎設施保護的相關責任部門、信息共享能力建設、風險評估方法等內容。其成員國德國、英國在歐盟關鍵基礎設施保護相關規定的基礎上,結合本國實際制定了各自的保護計劃和戰略、聲明等。 澳大利亞的主要做法包括出臺政策法律文件及提供項目資金支持。一方面,澳大利亞積極加強本國關鍵基礎設施保護頂層設計,在近兩年發布的《關鍵基礎設施安全法草案2017》《關鍵基礎設施安全防護法案》中,澳大利亞提出了政府部門、運營者等主體應對關鍵基礎設施威脅的措施及要求。另一方面,為便于關鍵基礎設施運營者和所有者開展風險評估、檢測、響應計劃等工作,澳大利亞還專門為運營者和所有者提供項目資金支持。 日本較好繼承了美國、歐盟等國的關鍵基礎設施保護相關做法。相較于其他國家而言,日本除頒布立法外,更側重關鍵信息基礎設施保護工作的落地性與執行性。為此,日本先后發布了《關鍵基礎設施網絡反恐措施特別行動計劃》《關鍵基礎設施信息安全措施行動計劃》《關鍵基礎設施信息安全第二行動計劃》等多項行動計劃。此外,近兩年日本高度重視關鍵信息基礎設施防護產品國產化水平和實戰演習,目前已在電力、鐵路等行業加快推動本國防御系統和產品,并在美國協助下開展了防護演習活動。 韓國關鍵基礎設施的保護舉措相對薄弱,目前主要依據《信息與通信基礎設施保護法案》規范關鍵基礎設施安全運行。近兩年來,關鍵信息基礎設施屢遭攻擊成為世界各國關注的焦點,韓國由此逐步認識到關鍵基礎設施保護的必要性,制定了資金負擔制度以減小迅速提升本國關鍵基礎設施保護水平帶來的財政壓力。該制度在一定程度上為韓國加強關鍵基礎設施保護提供了財政基礎。
北京市公安局海淀分局備案號:11010802023656號