国外关键信息基础设施安全防护战略分析和启示

◆任 飞 曹 虎

（1.国家信息中心 北京 100045；2.成都卫士通信息产业股份有限公司 北京 100089）

0 引言

习近平总书记在“4.19”网信工作会议上提出：“加快构建关键安全基础设施安全保障体系”。面对复杂严峻的网络安全形势，各方面应齐抓共管，切实维护网络安全。为贯彻落实习总书记“网络强国”战略思想，国家互联网信息办公室于2016年12月7日发布了《网络空间安全战略》，阐明了中国关于网络空间发展和安全的重大立场和主张，明确了战略方针和主要任务。《网络空间安全战略》[1]第三大战略任务就是“保护关键信息基础设施”，该任务明确提出“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏”，“坚持技术和管理并重、保护和威慑并举，着眼识别、防护、检测、预警、响应、处置等环节”，对关键信息基础设施的安全防护和监管提出了明确的要求。

到目前为止，对于关键信息基础设施（CII，Critical Information Infrastructure）的安全防护越来越受到各国重视，欧美日等发达国家纷纷出台了相关的法律法规和行政命令，同时，诠释了关键信息基础设施的内涵[2]。

1 各国关键信息基础设施安全防护战略现状

1.1 各国关键信息基础设施安全防护立法分析

（1）美国

美国十分重视关键信息基础设施保护立法，从 1996年到2016年分别出台了《国家信息基础设施保护法案》、《关键基础设施保护法案》和《联邦信息安全管理法案》等多部法律，以加强国家关键信息基础设施的保护[3]。通过立法，主要明确了以下内容。

①对关键信息基础设施保护对象进行了定义。2001年，在《关键基础设施保护法案》中，明确了关键信息基础设施的概念，该定义在美国法律和政策中得到了扩展和应用。

②对关键信息基础设施保护范围及责任部门进行了确认。第21号总统令、国家安全第7号总统令和第63号总统令明确规定了关键信息基础设施保护范围及责任部门，当前美国关键信息基础设施保护范围覆盖了16个行业，并指定由9个责任部门负责。同时，美国政府按照实际应用情况进行了与时俱进的修订。

③对关键信息基础设施信息共享进行了强化。对于政府部门、国有企业、个体企业和私营业主之间的信息要加强共享，共享信息包括隐私、漏洞、安全等策略信息，以及比较敏感的专业技术、专利等信息。

④制定了多项关键信息基础设施保护标准。根据美国关键信息基础设施保护第13636号行政令的要求，国家标准技术研究院（NIST，National Institute of Standard and Technology）组织制定网络安全框架，降低关键信息基础设施相关的安全风险。网络安全框架包括有关促进关键信息基础设施保护的指南、标准或最佳实践。对于标准涉及的相关领域，网络安全框架可以提供灵活的、可操作的、高效益的信息安全控制措施，同时，还能协助评估、分析和控制安全风险。

（2）日本

跟随美国的步伐，日本也非常重视关键信息基础设施保护相关法律法规的制定。在2000年，日本内阁发布了《关键基础设施网络反恐措施特别行动计划》。在2005年，日本国家信息安全中心颁布了《关键基础设施信息安全措施行动计划》，《关键基础设施网络反恐措施特别行动计划》随之取消，以该计划为基础，明确了日本关键信息基础设施的定义、具体实施范围，各主管部门对关键信息基础设施进行保护的要求[4]。在2009年，日本信息安全政策委员会发布了《关键基础设施信息安全第二行动计划》，对2005年的行动计划进行了更新，为关键信息基础设施保护工作开拓了新的思路。在2014年，日本正式通过了《网络安全基本法》，以基本法的高度，明确并强化了关键信息基础设施保护思路。

（3）韩国

韩国在关键信息基础设施保护方面的主要法律是2001年出台的《信息与通信基础设施保护法案》（该法案分别于 2002到2013年间多次修订），该法案是韩国关键信息与通信基础设施保护领域内的主要立法，旨在通过制定与实施相关保护措施，确保关键信息与基础设施的稳定运营，为防范以电子手段的入侵做准备，从而确保国家安全与人民生活的稳定。该法案规定了关键信息与通信基础设施的相关管理机构、职责，确立了关键信息与通信基础设施保护措施、指导方针及保护计划，建立了包括关键信息与通信基础设施的认定、脆弱性分析与评估、关键信息与通信基础设施入侵的禁止及通知、恢复与反制、信息共享与分析、人才培养、国际合作、责任与惩罚等在内的一系列关键信息与通信基础设施保护制度。

1.2 各国关键信息基础设施安全防护特征

（1）对关键信息基础设施界限进行了明确和划分

在欧美日等发达国家中，美国是最早明确关键信息基础设施的范围的。在1998年，克林顿政府的第63号总统令《对关键基础设施保护的政策》表述了8个重点行业作为国家关键信息基础设施。在2003年，第7号国家安全总统令《关键基础设施的识别、优先级和防护》，确定了17类关键信息基础设施和重要资源。在2008年，美国国土安全部宣布将关键制造业作为第18类关键信息基础设施。在 2013年，美国发布了第 21号总统政策指示《关键基础设施安全和弹性》和第13636号总统行政令《加强关键基础设施网络安全》，将关键信息基础设施重新确定为16类[5]。

日本颁布了《关键基础设施信息安全措施行动方案》，完整定义了关键信息基础设施，关键信息基础设施是对经济和社会生活具有高度影响力的设施[6]。

英国定义了关键国家基础设施的概念，即能够连续提供基本服务的重要基础元素。荷兰从“不可或缺”的角度对国家关键信息基础设施进行了定义，指那些会造成社会性、全国性影响的重要基础设施。

（2）对关键信息基础设施的管理体系进行了深度剖析

在美国，关键信息基础设施管理体系的基本原则是国土安全部主导、多机构参与，从态势感知出发，基于国家关键信息基础设施信息安全防护，实现共享交换、协同监管、标准制定和应急处置等功能。

在日本，关键信息基础设施管理体系以内阁秘书处为领导，政府部门和社会部门共同参与为基本原则，对相关重要基础设施进行联动管理和处置。在德国，关键信息基础设施管理体系由联邦信息安全办公室领导，为快速响应突发事件，在重要情报机构和联邦警察局设置了各级应急响应小组，为国家级关键信息基础设施防护提供支撑。

（3）在关键信息基础设施领域开展了广泛合作

在国外发达国家，政府拥有关键信息基础设施领域的管理权，但是大部分关键信息基础设施的所有权却属于私营企业，从而使得各国政府在关键信息基础设施领域开展了广泛合作。比如，美国专门制定了相关规定和制度，以规范关键信息基础设施领域政企的合作。日本建立了类似CERT的组织，以明确基础设施提供商和运营商之间的关系，为具体的信息共享和交换提供指导。以色列则强调了关键信息基础设施领域的合作关系，要求发起者、使用者和第三方监管者共同负责共享过程中安全问题。

2 结束语

自从十九世纪八十年代出现关键信息基础设施安全防护的概念以来，欧美日等发达国家在该领域的法律法规政策体系已经日渐完善，并在实践中取得了一定效果。然而，我国虽然拥有庞大的信息化设施，却在关键信息基础设施的安全防护方面长期处于比较落后的状态。因此，如果我国想快速提升关键信息基础设施的安全防护能力，以达到国家一流水平，必须快速借鉴并消化吸收欧美日发达国家的先进经验，结合我国的实际情况，探索出一条具有中国特色的关键信息基础设施安全防护路线。

（1）明确关键信息基础设施范畴

随着信息化建设的快速发展，美国率先提出了“关键信息基础设施”的概念，然而由于经济水平和社会体制的不同，国际社会对于关键基础设施相关的定义还存在分歧和建议。同时，大家对于信息安全的理解也在不断深入，伴随着人工智能、区块链等先进理念的嵌入，各国对于关键信息基础设施范畴的理解也在不断变化。我国《网络安全法》解释了关键信息基础设施的范围，即“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及一些一旦遭到破坏、丧失功能或者数据泄露，就可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，对其实行重点保护。”[8]，需要注意的是，上述范围还比较粗放，因此需要从实践层面进一步明确我国的关键信息基础设施范围。

（2）形成政企协同的保障机制

当今社会管理模式已趋向于“小政府、大社会”，关键信息基础设施保护需要多部门、多行业共同发力，仅凭政府一己之力无法完成这一艰巨任务。网信办、公安部、工信部作为我国保护关键信息基础设施的主管部门，从国家顶层的角度出台了相关政策法规。同时，公共通信和信息服务、能源、交通、水利和金融等行业主管部门出台了行业相关的关键信息基础设施安全防护制度。然而，这种自上而下、政府高度集权化的保护模式不利于国家总体把握关键信息基础设施的运行情况，不能够快速响应关键信息基础设施相关的安全事件。因此，建议制定由政府主导、企事业单位联合参与的关键基础设施协同保障机制，以保证重要领域关键信息基础设施的稳定运行。

（3）构建关键信息基础设施的信息共享机制

经过“十一五”和“十二五”的全面建设，我国政务信息资源共享工作取得了长足进步，已经完成了国家数据共享交换平台整体性设计，基于政务外网构建了国家、省部、地市三层共享架构。但由于新时期政务信息系统整合共享工作对数据共享平台的安全保障提出了更高要求，在关键信息基础设施领域，当前数据共享存在安全责任不明确、数据保护手段不健全、数据共享过程监管不完善、安全保障机制不灵活等问题，已经成为政务信息资源共享应用的主要安全问题。为解决这些问题，需要努力发挥国家电子政务外网在信息共享中的核心枢纽作用，调动相关单位的积极性，建立并完善信息共享机制，实现关键信息基础设施的信息共享。