信息技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,但同时网络空间安全形势也日益严峻,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战。世界主要国家和地区高度重视网络空间安全,陆续出台了相关战略、规划、立法以及实施方案等,并开始加大对关键信息基础设施的保护力度。随着我国网络强国战略的深化和实施,关键信息基础设施在国民经济和社会发展中的基础性、重要性、保障性、战略性地位也日益突出。
2016年12月27日,国家互联网信息办公室发布并实施了《国家网络空间安全战略》,提出要加强对国家关键信息基础设施的保护,并指出国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统等。2017年6月《网络安全法》也颁布实施,基于对以上法规、文件要求的细化落实,围绕关键信息基础设施安全保护的总体目标,结合目前已经开展的关键信息基础设施网络安全保护工作,全国信息安全标准化委员会组织开展了关键信息基础设施安全保护系列标准的制定,并重点确立了以下5个主要核心标准:
1.《关键信息基础设施网络安全框架》作为基础标准,阐明构成框架的基本要素及其关系,统一通用术语和定义;规定关键信息基础设施网络安全保护框架和基本要求,适用于关键信息基础设施网络安全保护相关的技术活动和管理活动;
2.《关键信息基础设施网络安全保护基本要求》作为基线类标准,对关键信息基础设施运营者开展网络安全保护工作提出最低要求;该标准作为实施类标准,根据基本要求提出相应的控制措施,规定了关键信息基础设施识别认定、安全防护、检测评估、监测预警、事件处置等环节的基本要求,用于关键信息基础设施的规划设计、开发建设、运行维护、退役废弃等阶段的安全保护工作,主要适用于关键信息基础设施运营者,也可供关键信息基础设施安全保护工作部门和关键信息基础设施安全保护的其他参与者参考;
3.《关键信息基础设施安全检查评估指南》作为测评类标准,依据基本要求明确关键信息基础设施检查评估工作的方法、流程和内容,定义关键信息基础设施检查评估所采用的方法,规定关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容,适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作;
4.《关键信息基础设施安全保障指标体系》作为测评类标准,依据检查评估结果、日常安全检测等情况对关键信息基础设施安全保障状况进行定量评价;该标准主要规定用于开展关键信息基础设施安全保障的指标及其释义,适用于关键信息基础设施安全保障评价工作,为政府管理部门的信息安全态势判断和宏观决策提供支持,为关键信息基础设施的管理部门及运营单位的信息安全管理工作提供支持;
5.《关键信息基础设施安全控制措施》规定关键信息基础设施运营者在风险识别、安全防护、检测评估、监测预警、事件处置等环节应实施的安全控制措施,以满足关键信息基础设施网络安全保护的基本要求;适用于关键信息基础设施的规划设计、开发建设、运行维护、退出废弃等阶段,可供关键信息基础设施保护工作部门、关键信息基础设施运营者以及关键信息基础设施安全保护中的其他参与者参考。
为落实《网络安全法》和计划中即将出台的《关键信息基础设施安全保护条例》等法律条例的要求,全国信息安全标准化委员会开始着手组织、开展了关键信息基础设施安全系列标准的制定。从目前全国信息安全标准化技术委员会网站(https://www.tc260.org.cn)上可查询到与关键信息基础设施相关的标准研发项目共有14个,进展情况如下:
1.暂无已正式发布实施的标准
2.处于“研究”阶段的标准有3个(尚无草案或已被取代)
3.处于“草案”阶段的标准有6个
4.处于“征求意见稿”阶段的标准有4个
5.处于“报批稿”阶段的标准有1个,并已进入试点工作阶段
纵观现有11个标准当前版本(草案或工作组讨论稿、征求意见稿及报批稿)的内容不难发现,关键信息基础设施安全系列标准的研发主要借鉴了美国国家标准与技术研究院(NIST)所发布的《提升关键基础设施网络安全的框架》中提出的“识别、保护、检测、响应和恢复所组成的安全可控保障模型”,即在借鉴IPDRR(取自“识别、保护、检测、响应和恢复”这5个环节名称的英文首字母)模型的基础上,构建了我国关键信息基础设施安全系列标准的总体技术框架。
2019年12月,《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)试点工作开始启动,该标准也是关键信息基础设施安全系列标准中首个进入试点阶段的标准,在其报批稿中也明确了如图1所示的关键信息基础设施网络安全保护各环节关系,并指出“关键信息基础设施网络安全保护包括识别认定、安全防护、检测评估、监测预警、事件处置五个环节。图1所示为一般情况下的环节之间的关系图,当关键信息基础设施运行时,根据实际情况环节之间的关系有所变动。”
图1:关键信息基础设施网络安全保护各环节关系图
目前从全国信息安全标准化技术委员会网站(https://www.tc260.org.cn)可查询到的所有与关键信息基础设施安全相关的各标准研制进展情况如表1所示:
表1:关键信息基础设施安全系列标准进展及概况(点击查看大图)
除前文所述的关键信息基础设施安全保护系列标准中的5个主要核心标准以外,表1中其它标准(未见草案或已被取代的标准除外)的主要内容和应用范围如下:
1.《关键信息基础设施边界确定方法》描述了关键信息基础设施形态组成和关键信息基础设施边界识别方法,给出了关键信息基础设施边界识别模型,提出了关键信息基础设施边界识别原则、流程,为开展关键信息基础设施边界识别工作提供一种方法性指南,适用于关键信息基础设施运营者、关键信息基础设施保护部门和网络安全服务机构识别关键信息基础设施边界;
2.《关键信息基础设施安全防护能力评价方法》描述了关键信息基础设施安全保护能力成熟度模型、模型使用方法,给出了不同成熟度的评价指标,适用于关键信息基础设施运营者对自身安全能力进行评价,也可适用于网络安全服务机构对关键信息基础设施运营者安全能力进行评价,也可供关键信息基础设施安全保护工作部门和关键信息基础设施安全保护的其他参与者参考;
3.《关键信息基础设施安全等级保护技术框架》规范了关键信息基础设施安全等级保护的技术框架,适用于关键信息基础设施运营者对网络安全控制措施的选择,以及对网络安全保护状况的评价,也可用于指导关键信息基础设施领域的主管部门的本领域网络安全保护状况的评价;
4.《重大活动关键基础设施网络安全保障指南》规定了重大活动期间重要网络和信息系统等关键基础设施的各相关方,围绕网络安全保障体系开展各阶段、各层面的安全保障工作,适用于关键基础设施使用、运营单位在重大活动期间进行网络安全保障工作时进行参考,也适用于关键基础设施监管部门在重大活动期间进行监督管理工作时参考;
5.《关键信息基础设施网络安全信息共享规范》对关键信息基础设施网络安全信息进行了分类,提出了信息共享原则,制定了信息描述规范,定义了信息共享的模式。该标准为国家网信部门统筹协调有关部门、运营者以及有关研究机构、网络安全服务机构等相关方共享有效的关键信息基础设施网络安全信息共享提供指导,也适用于网络与信息系统主管和运营部门参考开展网络安全信息共享工作;
6.《关键信息基础设施网络安全应急预案编制指南》规定了关键信息基础设施网络安全应急预案的预案体系、编制流程、主要内容和附件的编制要求。该标准适用于关键信息基础设施网络安全应急预案的编制与修订工作,亦可为其他信息系统网络安全应急预案的编制提供参考。
虽然关键信息基础设施保护系列标准的预研和编制工作自2015年以来取得了较大的进展,但目前仍面临较多问题,至少体现在以下几个方面:
1.围绕在研的各关键信息基础设施保护标准,仍存在相对较大和广泛的争议,例如关键信息基础设施概念和定义虽已确定,但具体每个关键信息基础设施的资产识别和边界划分等细节问题仍未达成共识,种种问题导致关键信息基础设施安全系列标准的制定、发布和实施等工作进展相对较慢;
2.关键信息基础设施保护系列标准与已实施多年并于2019年底前完成修订的信息安全等级保护系列标准不可避免地存在诸多交叉和重叠的内容,这种情况不但在较大程度上降低了关键信息基础设施保护系列标准出台实施的紧迫性,也导致某些标准在评审和征求意见等环节受到一定程度的质疑,并给潜在的关键信息基础设施的运营中在标准适用和选择等方面带来了一些困惑;
3.关键信息基础设施保护系列标准目前在研究和制定的各阶段进程中也存在着一定的不确定性,例如原《关键信息基础设施安全控制措施测评要求》已被取消,和另外一个关键信息基础设施研究项目共同被《关键信息基础设施安全防护能力评价方法》所取代;
4.某些在研标准所借鉴的总体思路和技术框架,例如《关键信息基础设施安全防护能力评价方法》所参考的SSE-CMM模型(系统安全工程能力成熟度模型),是否适用于关键信息基础设施安全保护也受到了一定程度的质疑;
5.作为政策法规方面主要驱动力的《关键信息基础设施安全保护条例》由于种种原因未按计划于2019年底前颁布实施,目前其最新公开版本仍处于征求意见稿阶段,该条例如能尽快出台,则将会对关键信息基础设施保护系列标准的研发和推进起到较大促进作用,否则该系列标准的正式出台和发布实施或仍需较长时间。