任何国家的关键信息基础设施一旦遭到破坏、丧失功能或者数据泄露,都可能严重危及国家安全、国计民生和社会公共利益,因此对国家关键信息基础设施的安全保护意义重大。但是,在对关键信息基础设施进行安全保护之前,最重要的问题是首先要搞清关键信息基础设施的概念和定义,或者说,必须识别出哪些信息系统或设施属于关键信息基础设施,这个问题表面上看似简单,但在实践中却很复杂。
为了更加深刻和透彻地认清这个问题,我们不妨将关键信息基础设施的概念进一步分解为内涵和外延两层含义:其内涵是指关键信息基础设施的基本概念(定义)和关键信息基础设施都涉及、包含哪些行业和领域的信息设施或系统;其外延则是指关键信息基础设施的边界和范围,以及对关键信息基础设施的保护需要落实到哪些具体的对象。
如前所述,识别关键信息基础设施,是开展关键信息基础设施安全保护工作的前提和基础,对于明确保护对象、确定保护范围、实施重点保护都具有非常重要的意义。关键信息基础设施的概念究竟是什么?或者说,哪些信息系统或设施属于关键信息基础设施?目前不仅是在我国,即使是对全球范围内各主要发达国家和网络安全强国来说,对关键信息基础设施的概念和定义的理解也并未达成统一。
除了我国之外,美国、德国、俄罗斯和日本这4个国家基本上可以代表欧美亚三大经济体中除我国之外互联网发展最为活跃的国家。我们可以将这4国与我国对关键信息基础设施所涵盖行业和领域的理解作一个简要的对比,如表1所示:
表1:五国界定的关键信息基础设施行业分布对比
从表1中不难看出,单就各国界定的关键信息基础设施所涵盖的行业数量来看,美国是最多的,达16类;中国次之,达13类;接下来是德国9类,日本8类,俄罗斯7类,这种数量上的对比也符合美国对关键信息基础设施保护的相关研究在全世界范围内起步最早、时间最长,而我国对关键信息基础设施保护的研究虽起步较晚、但起点却较高的现状。
再从各国界定的关键信息基础设施行业分布情况来看,政府部门、通信和交通运输这3个行业最受关注,同时被五国所选定;而除了这3个行业之外,中、美、德、日四国也一致把能源、金融、水利和医疗卫生这4个行业也纳入了关键信息基础设施的范围;而对于其它行业是否应被识别为关键信息基础设施,各国则表现出了较大的分歧,并未达成一致共识,例如,仅中、俄两国圈定了科技/科研领域,只有中国选定了教育、社会保障、重要互联网应用这3个行业,只有俄罗斯选定了司法行业,只有德国选定了传媒与文化行业以及只有日本选定了物流行业,而造成这些差别的原因,初步分析起来可能是受各国相关行业的信息化发展水平不同,对各行业信息基础设施的依赖程度不同以及各国历史、文化和国情方面的差异等诸多因素影响所致。
关键信息基础设施的概念、定义是什么?或者说关键信息基础设施涵盖哪些行业(领域)的信息设施或系统?这个问题在我国同样也是自关键信息基础设施安全系列标准的预研和起草阶段就一直处于不断争议和反复论证中。
2019年12月3日,全国信息安全标准化技术委员会秘书处在北京组织召开了国家标准《信息安全技术 关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动会。作为关键信息基础设施安全系列标准中第一个进入试点阶段的标准,《信息安全技术关键信息基础设施网络安全保护基本要求》首次正式给出了“关键信息基础设施 (critical information infrastructure)”的定义:即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施。
如仅从这个定义的字面意义上理解,关键信息基础设施至少涵盖了“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”这7个重点行业(领域)的信息设施,但其中“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的信息设施”究竟又涉及哪些其它行业或领域?《信息安全技术关键信息基础设施网络安全保护基本要求》并没有给出进一步的解释,因此这个问题目前来看尚无定论。
此外,在2019年10月下旬全国信息安全标准化委员会WG7(第7工作组)会议上提交讨论(可否从当前草案阶段进入征求意见稿阶段)的《信息安全技术 关键信息基础设施边界确定方法》的附录A所给出的“关键信息基础设施信息登记表”中,我们也能够找到从行业角度划分的更为具体的关键信息基础设施涵盖范围,即至少包括7个行业的20个领域(如表2所示)。
表2:关键信息基础设施所涉及的行业和领域
值得注意的是,由于《信息安全技术关键信息基础设施边界确定方法》尚处于草案向征求意见稿的过渡阶段,距离正式发布尚有一定距离,因此表2给出的关键信息基础设施涵盖范围仅供参考。
此外,我们也能发现表1和表2中给出的关键信息基础设施涵盖行业范围并不完全一致,这种差异应该是由识别关键信息基础设施的尺度和粒度不同所导致的,而“关键信息基础设施 (critical information infrastructure)”到底会涉及哪些重点行业(领域)的信息设施,我们认为这个问题会在不久的将来,随着《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)试点工作的逐步推进,得到最终和确切的答案。
在关键信息基础设施的概念、定义基本确定之后,接下来必须进一步弄清的问题是关键信息基础设施的边界(范围)是什么?关键信息基础设施的保护对象都有哪些?我们可以把这些问题纳入关键信息基础设施概念的外延范畴中。
从《信息安全技术关键信息基础设施边界确定方法》中我们可以初步找到确定关键信息基础设施的边界(范围)的方法,该标准的当前版本(处于从草案稿修改为征求意见稿的过渡阶段)提出了如下图所示的关键信息基础设施边界识别模型。
图注:关键信息基础设施边界识别模型
这个模型最核心的内容是提出了以“关键业务”概念来识别关键信息基础设施边界的准则(图1中“CBI”即为“关键业务信息”的缩写),关键业务是关键信息基础设施存在的前提和基础,并指出:关键信息基础设施在本质上是关键业务的信息化部分,为关键业务安全运行提供信息化支撑。开展关键信息基础设施边界识别应从业务安全角度出发,将支撑关键业务持续、稳定运行的网络设施、信息系统识别出来,实施体系化重点保护。存在关键信息基础设施的关键业务应同时符合下列两个基本条件:
1、关键性
存在关键信息基础设施的关键业务一旦遭到破坏或者丧失功能,会严重危害国家安全、经济安全、社会稳定、公众健康和安全。
2、信息化
存在的关键信息基础设施关键业务须高度依赖信息化运行,即一旦网络设施、信息系统遭受攻击会给关键业务的核心功能造成严重损害。
为了更好的理解以“关键业务”概念来识别关键信息基础设施边界的准则,我们可以举一个例子来说明这个准则具体的应用方法:比如对于电网系统等能源行业来说,肯定是属于国家关键基础设施的范畴,但是电网设施里也有很多信息化系统,具体哪些信息设施和系统属于关键信息基础设施的范围呢?按照“关键业务”准则,电网的“关键业务”就是负责稳态运行监视与控制,保障电网安全运行,因此所有与电力生产、电力传输、电力配送环节的运行态势的监测、控制功能相关的信息设施和系统都应该被纳入关键信息基础设施的范围(边界内),而电网运营责任单位的其它信息系统,例如人力资源、财务和办公系统,由于其与“关键业务”不相关,一般也不会处理“关键业务信息”,因此就不应属于关键信息基础设施的范围了。
在确定了关键信息基础设施的边界(范围)之后,接下来对关键信息基础设施的安全保护应该落实到其边界(范围)内的哪些对象或要素上呢?纵观《信息安全技术关键信息基础设施边界确定方法》当前稿全文,可知这个标准目前其实并没有对这个问题给出直接和清晰的答案。而我们认为《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)却回答了这个问题:在该标准“第6章识别认定”中的“6.2资产识别”小节中,明确提出了“识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、服务和其他资产清单”和“基于资产类别、资产重要性和支撑业务的重要性,对资产进行优先排序,确定资产防护的优先级”的要求;在该标准“第7章安全防护”的“7.1网络安全等级保护制度”小节中,明确规定“运营者应符合国家网络安全等级保护制度相关要求,开展定级备案、相应等级的测评、安全建设、整改及自查工作。”,根据对此两部分条款的解读,再结合该标准全文内容进行综合研判,我们可以得出初步结论:即关键信息基础设施安全保护的对象就是“资产”,且这里的“资产”与信息系统网络安全等级保护系列标准所界定“资产”的概念和范围基本相同。
总之,《信息安全技术关键信息基础设施网络安全保护基本要求》作为我国关键信息基础设施安全保护系列标准中首个进入试点阶段的核心标准,随着其报批稿的试行,关键信息基础设施的边界、范围和保护对象的确定方法也将在实践中得到不断检验和完善。
注:本文部分内容引用和改编自360威胁情报中心《全球关键信息基础设施网络安全状况分析报告》和《信息安全技术关键信息基础设施边界确定方法》(2019年9月草案)附录A