1、2015年第5期 现代电信科技ODERNSCIENCE&TECHNOLOGYOFTELECOMMUNICATIONS现代电信科技M关键信息基础设施安全保护研究张彦超,丰诗朵, 赵 爽, 李 强(中国信息通信研究院信息通信安全研究所,北京100191)摘要:随着信息化快速发展和普及,关键信息基础设施在国民经济和社会发展中的基础性、重要性、战略性地位日益突出,关键信息基础设施的安全可靠运行事关人们的生命财产安全、经济社会的稳定运行乃至国家安全。深入研究国外对关键基础设施保护的重要和最新措施,梳理我国对关键信息基础设施的安全保护现状,并提出相应的具体举措建议。关键词:关键信息基础设施,网络安全,信息
2、基础设施,安全,立法,标准Abstract:Withtherapiddevelopmentandpopular原izationofinformationtechnology,theimportanceandstrategicpositionofcriticalinformationinfrastructurehasbecomeincreasinglyprominentinthenationale原conomyandsocialdevelopment.Thesafeoperationofcriticalinformationinfrastructureiscloselyrelatedtopeop
3、leslifeandpropertysafety,thestableoperationoftheeconomicandsocial,andevennationalsecurity.Thispaperstudiestheimportantandrecentmeasuresoncriticalinfrastructureprotectionofothercountries.Inaddition,thispaperreviewsthecurrentsituationofthecriticalinformationinfrastructureprotectioninourcountry,andprop
4、osesthespecificinitiativessugges原tions.Keywords: criticalinformationinfrastructure,networksecurity,security,legislation,standard1 关键信息基础设施面临复杂严峻的网络安全形势目前,关键信息基础设施已经被视为国家的重要战略资源,关键信息基础设施安全成为事关国家安全的重要问题。但是,当前网络安全威胁的范围和内容不断扩大和演化,关键信息基础设施面临的网络安全形势与挑战日益严峻复杂。一是网络入侵、网络攻击等非法活动,严重威胁着电信、能源、交通 、金 融 以 及国防军事、行 政
5、 管理等重要领域的信息基础设施的安全。木马僵尸网络、钓鱼网站等非传统网络安全威胁有增无减,分布式拒绝服务(DDOS攻击)、高级持续威胁(APT攻击)等新型网络攻击愈演愈烈。二是高危漏洞层出不穷。继“震网”和“棱镜门”事件之后,关键信息基础设施又遇全球性高危漏洞侵扰,心脏流血漏洞威胁我国境内约3.3万网站服务器,Bash漏洞影响范围遍及全球约5亿台服务器及其他网络设备。三是云计算、大数据、物联网、工业互联网等新技术新应用带来更为复杂多样的新型网络安全问题。例如,全球云 端 恶 意 代码样本已从2005年的40万种增长至目7eatrues技术专题FMSTT October2015前 的 60亿种;
6、专门针对工业控制系统的“震网”(Stuxnet)病毒感染了全球超过45000个网络。网络安全隐患遍布于新兴技术产业的各重要环节,但相关防御技术手段的研发尚处于起步阶段。2 国外关键信息基础设施保护现状近年来,美国、英国、日本、德国等国家为应对日益增长的网络安全威胁,从法律法规、战略政策、技术标准、管理体系等方面入手,采取了一系列措施加强国家关键信息基础设施保护。2.1 法律法规美国的关键信息基础设施相关法律体系最为完善。美国涉及关键信息基础设施保护的立法活动始于1996年,在此后的近10年间相关立法活动从未间断,现已形成较为完善的关键信息基础设施法律保护体系。美国在1996年国家信息基础设施保
7、护法中加强了对侵害国家信息基础设施行为的认定和处罚;在2001年爱国者法案中定义了关键基础设施,提出要建立关键基础设施保护的国家能力;在2002年国土安全法中对重要基础设施安全涉及到的情报、安全评估等问题作出了比较详细的规定;在2013年网络安全法中强调了公私部门之间的合作,旨在构建最佳的安全流程,以保护关键基础设施免受网络威胁和攻击,并鼓励研发降低关键基础设施网络安全风险的标准和最佳做法。欧盟在携领各国共同提升信息基础设施保护上起到重要作用。欧盟近年来颁布的关键信息基础设施保护相关法律有2009年欧盟关键基础设施保护指令、网络和信息安全标准指令以及2005年关键基础设施保护绿皮书,在这些指令
8、中欧盟明确了关键基础设施定义范畴为包括物理资源,服务和信息技术设施,网络以及若中断或被破坏后将会对公民的健康、生命、安全和经济福祉或政府的有效运作造成严重影响基础设施资产。此外,欧盟各大成员国也都颁布了关键信息基础设施保护的相关法律,主要有英国的1990 年反计算机滥用法、法国的2009年内部安全行动法以及德国的1997年信息和通讯服务规范法。2.2 战略政策除法律法规外,美国调整关键信息基础设施安全保护策略的更多是战略与行政命令,这些战略和行政命令的规定相对法律法规更为具体,是美国开展关键信息基础设施安全保护工作的具体指南。1998年第62号和第63号总统令要求政府内部建立相应机构,开展关键
9、基础设施的保护;2003年关键基础设施和重要资产物理保护的国家战略提出了全新的国家协作模式;2006年国家基础设施保护计划定义了关键领域和部门机构及工作程序,提供了保护国家重要基础设施提供了具体的实施框架,该计划于2009年进行了更新;2013年2月发布的第13636号总统令提升关键基础设施网络安全是美国近期发布的关于关键基础设施保护的重要行政法规,从信息共享和网络安全主动防御框架构建两个方面,对关键基础设施保护提出了要求。此外,2013年美国还出台了关键基础设施安全性及恢复力,以 再 次明确了各方的角色和责任,确认了16个关键基础设施领域。从上世纪90年代至今,欧盟发布了若干关于网络和信息安
10、全的战略及决议。这些文件对于欧盟各成员国展开本国的关键信息基础设施保护工作有着重要的指导意义。欧盟发布的相关战略和规范性文件有: 欧盟网络安全战略:公开、可 靠和 安全的网络空间、通信网络弹性:成员国政策和法规及政策建议、关于建立欧洲网络和信息安全机构的规则;发布的决议和决定有: 关于信息安全的决议、关于建立欧洲信息社会安全战略的决议、关于攻击82015年第5期 现代电信科技ODERNSCIENCE&TECHNOLOGYOFTELECOMMUNICATIONS现代电信科技M信息系统的第2005/222/JHA号框架决定、关于网络和信息安全领域通用方法和特殊行动的决议。此外,欧盟还在尝试通过发行
11、债券等金融政策的调整来为进行基础设施建设和保护的融资,并倡导成员国之间、政企之间开展多层面的合作。除欧盟委员会之外,欧盟的各大成员国各有出台涉及关键信息基础设施保护的国家战略。英国在2009年国家信息保障战略中列明了关键国家基础设施的分类,包 括 通信 类(数 字 通 信、固定语音通信、邮递、政府信息、无线通信等)。法国在2011年信息系统防御和安全战略中将保护国家信息系统和关键基础设施的运营商作为7项重点工作之一。德国在2007年关键信息基础设施保护实施方案明确了关键信息基础设施保护的具体举措和建议,在2011年国家网络安全战略将保护关键信息基础设施作为十大战略重点之一。除了美国和欧盟外,印
12、度、新加坡等国也都有涉及关键信息基础设施保护的相关战略政策。印度在2013年国家网络安全政策中,规定了网络安全保障的总任务是保护网络空间信息和信息基础设施,建立对网络威胁的阻止和响应能力,最大限度地减少网络事件的危害。2013年,新加坡在全国网络安全总蓝图中提到,将加强关键信息通信基础设施的安全保障作为提高新加坡抵御网络袭击的能力的关键措施之一。2.3 管理体系美国拥有权责分明,统筹有力的信息基础设施保护管理体系。自上世纪80年代末以来,经 过 多 次机 构调整和重组,美政府相继设立关键基础设施工作组、总统关键基础设施保护委员会、国土安全委员会等多个专门机构,履行国家关键基础设施安全保护职能。
13、国土安全部承担鉴别和认定关键基础设施、分析关键基础设施威胁和脆弱性、协调关键基础设施遭受破坏后的跨部门紧急行动等统筹协调职责。此外,美国还增设多个支撑研究机构协同信息基础设施保护,包括:美 国国土安全部设立国家基础设施保护中心、国家基础设施协调中心、基础设施信息收集部门、基础设施分析和战略部门等。欧盟及其主要成员国英国、法国、德国等都设有负责关键信息基础设施保护的专门机构。欧盟设立了网络和信息安全局,法国设立了国家信息系统防御战略委员会,德国设立了网络安全联盟、网络安全理事会以及国家网络防御中心,英国设立了国家基础设施保护中心(CPNI)民事应急局和信息保障中央局(CSIA)、内阁办公厅政策局
14、、内政部和政府通信总局(GCHQ)等其他相关部门。其中,英国国家基础设施保护中心负责协调关于关键基础设施保护工作所需的资源和专业技术,承担保护英国CNI免受物理和电子攻击侵扰的责任;民事应急局负责与其他机构建立合作伙伴关系,开发和交流最佳实践规范,加深对英国关键网络和基础设施的了解。2.4 标准与技术从国际看,信息基础设施保护的基础标准主要分为框架类和评测类两大类。其中框架类基础标准主要包括: 信息保障技术框架( IATF)、IT安全管理指南( GMITS)、信息安全管理实施细则(BS7799)等;测评类基础标准主要包括: 信息技术安全评价通用准则( ISO/IEC15408,CC)、可信计算
15、机系统评估标准( TSCEC)、信息技术安全评估标准( IITCEC)等。近年来,为提升标准的适用性并强化安全保护要求,涉及信息基础设施保护领域的国际重要标准持续发布更新,细分领域的标准研制提速。如,信息技术安全评价通用准则( ISO/IEC15408,CC)于2009修订,信息技术-安全技术-信息安全风险管理( ISO/IEC270050)以及信息及相关技术的控制目标( COBIT5.0)于2011年修订,信息技术- 安全技术-信息安全管理体系-要求9eatrues技术专题FMSTT October2015( ISO/IEC27001)于2013修订并发布。同时入侵发现及保护系统( ISO/
16、IEC27039)、供应商关系的信息安全( ISO/IEC27036)等新标准已进入研究制定阶段。3 我国关键信息基础设施保护现状中央网络安全和信息化领导小组成立之后,我国大力加强关键基础设施网络保护,相应防范水平也将得到较大提升。3.1 立法与政策2015年,我国出台网络安全法( 草 案 ),并设置专节对关键信息基础设施的运行安全作了规定。草案对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门 的监督 和支持 等作了规定。2014年工业和信息化部发布了关于加强电信和互联网行业网络安全工作的指导意见,将深化网络基础设施和业务系统安全防护作为网络安全工作
17、重点之一。要求做好定级备案,严格落实防护措施,定期开展符合性评测和风险评估,及时消除安全隐患。3.2 管理体系我国关键信息基础设施安全保护由中央网信办统筹协调管理,在行业监管层面采取“行业特色”自主管理模式。一是公安部负责政府、重要行业信息系统等级保护工作,国家保密局负责国家涉密信息系统等级保护工作。二是各行业主管部门负责本行业信息系统的定级审核批准,如中国人民银行、银监会、证监会、保 监 会 负 责 银 行、证券、保险 等行业信息系统等级保护,国家能源局负责电力、石油、煤炭等行业信息系统等级保护。三是工业和信息化部负责通信网络安全防护工作,主要职能是指导、协调、检查基础电信企业、增值电信企业
18、开展网络安全防护工作。3.3 标准与技术在标准方面,关键信息基础设施标准体系不断完善。一是电信和互联网行业至今共制订完成固定通信网安全防护要求、移动通信网安全防护要求等 60余项通信网络安全防护标准,并积极研究制定公有云服务、移动互联网等新技术新业务,以 及用户信息保护、网络软硬件产品基线要求等热点领域的网络安全行业标准。二是金融行业为加强信息安全管理和技术防范,中国人民银行发布了金融行业信息系统信息安全等级保护系列标准金融行业信息系统信息安全等级保护实施指引、测评指南和测评服务安全指引。证监会也发布了证券期货业信息系统安全等级保护基本要求、证券期货业信息系统安全等级保护测评要求等标准。三是能
19、源行业为提高电力行业网络和信息系统的信息安全保护能力和水平,电监 会发布 了电力行 业 信息系统安全等级保护定级实施指南 电 力 行 业 信息系统安全等级保护基本要求等标准。4 关键信息基础设施安全保护措施建议关键信息基础设施安全保护是网络与信息安全的基础性工作,是确保网络安全顺畅的重要手段。我国应充分发挥政府对关键信息基础设施影响大的优势,开展立法与战略研究,建立协调统一的工作机制,加强技术研发和标准制定,建设完善的关键信息基础设施保障体系。在立法与战略层面,一是推动国家网络安全法落地实施,加大关键信息基础设施保护力度。二是从国家安全的高度统筹设计关键基础设施安全保障制(下转第15页)102
20、015年第5期 现代电信科技ODERNSCIENCE&TECHNOLOGYOFTELECOMMUNICATIONS现代电信科技M互联网企业中形成辐射效应,利用有价值的信息吸引更多互联网企业主动参与。可通过互联网协会等行业组织建立联系,向企业通报宣贯行业政策、法律法规,传达服务要求,协助企业搞好用户服务。并且深度剖析用户投诉、举报、申诉案例,防微杜渐。共同加强案例研判能力,定期与中消协、12321等机构沟通,形成行业用户权益保护判例库;鼓励优秀企业分享成功经验,共同促进行业服务水平提升。逐步形成良性信息传播平台。4.3 建议3:建立网民意见收集反馈服务平台,保障用户知情权。平台具有政策宣传发布、
21、用户意见收集反馈、企业公开承诺答复等多项功能,同时兼具数据分析统计、政企信息沟通、内部任务流转等作用。服务平台可由网站、wap客户端等形式构成,数据实时统计、定期公示。用户可进行意见反馈、投诉、举报及信息查询。互联网企业人员针对问题解决处理、答复用户。相关数据同时进入后台进行分析统计、实时展示。服务平台数据向互联网企业共享,数据结合第三方监测以及用户投诉申诉数据,对互联网企业服务水平进行综合评价,评价规则、评价过程力争开放、透明。4.4 建议4:建立互联网企业服务综合评估工作机制,保障用户选择权。基于用户评价、投申诉数据等,对 互联网企业进行综合服务评估,推动互联网市场健康有序发展。评估工作通
22、过第三方机构开展,可定期 公开 发 布报告,扩大影响力,最大限度消除信息不对称,方便用户识别与选择,也可为政府监管工作提供依据。作者简介马 慧:毕业于北京邮电大学,中国信息通信研究院泰尔规划研究所高级工程师,从事电信服务质量监管及用户权益保护研究。刘 婷:毕业于厦门大学,现就职于中国信息通信研究院泰尔规划研究所,长期从事电信服务和收费管理、普遍服务、用户权益保护等研究。度,尽快研究出台相关国家战略。在管理体系方面,一是在中央网络安全与信息化领导小组的统筹协调下,不断完善关键信息基础设施保护管理体系,加强工信部、公安部以及其他相关部门在关键信息基础设施保护工作上的协调配合,加强政府部门、行 业
23、机构 与 企业间的信息共享。二是深化完善关键信息基础设施安全防护工作,形成动态化、常态化和规范化的防护机制。三是充分发挥第三方机构的作用,形成政策智囊、标准研究、检测认证、安全评估等方面全方位、立体化的支撑体系。在技术标准方面,一是加强标准制定的顶层设计,加强网络安全标准化战略与基础理论研究。二是完善关键信息基础设施网络安全标准,健全现有网络安全标准,增加云计算、物联网等新技术新业务安全标准。三是加大标准规范的宣传贯彻力度,切实做好标准实施监督和检查工作。四是积极参与网络安全国际标准化活动及工作规则制定,逐步提升我国在网络安全国际标准化组织中的影响力。作者简介张彦超:中国信息通信研究院信息通信
24、安全研究所工程师,博士,主要从事云计算安全、网络数据安全、通信网络安全防护等方面的工作。负责起草多项通信网络安全标准,以 第一作者在国内外发表多篇论文。丰诗朵:中国信息通信研究院信息通信安全研究所工程师,硕士,从事数据安全、中外网络安全法律比较等方面的研究。负责和参与了多项网络安全政策制定、工信部等政府部门的项目和课题研究以及运营商项目,多次在法学核心期刊发表学术文章。赵 爽:中国信息通信研究院信息通信安全研究所工程师,硕士,主要从事网络与信息安全产业、网络安全战略政策、通信网络安全防护等方面的研究。李 强:中国信息通信研究院信息通信安全研究所工程师,博士,主要从事云安全、物联网安全、工业互联网安全等方面的研究工作。负责起草多项通信网络安全标准,以第一作者在国内外发表多篇论文。(上接第10页)酝杂栽栽酝杂栽栽15关键信息基础设施安全保护研究作者: 张彦超, 丰诗朵, 赵爽, 李强作者单位: 中国信息通信研究院信息通信安全研究所,北京,100191刊名: 现代电信科技英文刊名: Modern Science & Technology of Telecommunications年,卷(期): 2015(5)引用本文格式:张彦超.丰诗朵.赵爽.李强 关键信息基础设施安全保护研究期刊论文-现代电信科技 2015(5)
