话
如果你想要什么,先说出它的名字。
任何一个国家关键信息基础设施一旦遭到破坏、失去功能或数据泄露,都可能严重危害国家安全、国计民生和社会公共利益,因此保护国家关键信息基础设施意义重大。然而,在对关键信息基础设施进行安全保护之前,最重要的问题是首先要了解关键信息基础设施的概念和定义,或者说要识别哪些信息系统或设施属于关键信息基础设施。这个问题表面上看起来很简单,但实际上很复杂。
为了更深入透彻地理解这个问题,我们不妨将关键信息基础设施的概念进一步分解为内涵和外延:其内涵是指关键信息基础设施的基本概念以及关键信息基础设施所涉及和包含的行业和领域的信息设施或系统;其外延是指关键信息基础设施的边界和范围,以及需要对关键信息基础设施实施保护的具体对象。
现状
如上所述,关键信息基础设施的识别是关键信息基础设施安全保护的前提和基础,对于界定保护对象、确定保护范围、实施重点保护具有重要意义。关键信息基础架构的概念是什么?或者,哪些信息系统或设施是关键的信息基础设施?目前,不仅在中国,而且对于世界主要发达国家和网络安全强国来说,对关键信息基础设施的概念和定义的理解还没有统一。
除了中国,美国、德国、俄罗斯、日本基本可以代表欧美亚洲三大经济体中互联网发展最活跃的国家。我们可以对这四个国家以及我们对关键信息基础架构所覆盖的行业和领域的理解进行简单的比较,如表1所示:
表1:五个国家定义的关键信息基础设施行业分布对比
从表1中不难看出,从各国定义的关键信息基础设施覆盖的行业数量来看,美国最多,达到16类;其次是中国,有13类;接下来德国9类,日本8类,俄罗斯7类。这种定量的比较也符合美国对关键信息基础设施保护的相关研究在世界上起步最早、时间最长的现状,而我国对关键信息基础设施保护的研究起步较晚,但起点较高。
从各国定义的关键信息基础设施行业分布来看,政府部门、通信和交通行业最受关注,被5个国家选择。除了这三个行业,中、美、德、日还将能源、金融、水利、医疗四个行业纳入了重点信息基础设施的范围。至于其他行业是否应该被认定为关键信息基础设施,各国表现出很大的分歧,没有达成共识。例如,只有中国和俄罗斯划定了科技/科研领域,只有中国选择了教育、社保和重要互联网应用三个行业,只有俄罗斯选择了司法行业,只有德国选择了传媒和文化行业,只有日本选择了物流行业。造成这些差异的原因,初步分析可能是多方面因素造成的,如相关行业信息化发展水平不同、各行业对信息基础设施的依赖程度不同、各国历史文化和国情差异等。
目的
关键信息基础架构的概念和定义是什么?或者,关键信息基础架构覆盖了哪些行业的信息设施或系统?在国内,从一系列关键信息基础设施安全标准的预研和起草阶段开始,这个问题也一直处于不断的争议和反复论证之中。
2019年12月3日,全国信息安全标准化技术委员会秘书处在北京组织召开了国家标准《信息安全技术关键信息基础设施网络安全保护基本要求》启动会。作为一系列关键信息基础设施安全标准中第一个进入试点阶段的标准,《信息安全技术关键信息基础设施网络安全保护基本要求》首次正式定义了“关键信息基础设施”:即公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦受损、失去功能或数据泄露可能严重危害国家安全、国计民生的行业。
如果仅从这一定义的字面含义来理解,关键信息基础设施至少涵盖“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务”等七大重点行业的信息设施,但“其他一旦被破坏、丧失功能或数据泄露,可能严重危害国家安全、国计民生和公共利益的信息设施”又涉及哪些行业或领域?《信息安全技术关键信息基础设施网络安全保护基本要求》没有给出进一步的解释,所以这个问题目前还没有定论。
此外,在2019年10月下旬提交全国信息安全标准化委员会WG7会议讨论的《信息安全技术关键信息基础设施边界确定方法》附录A中给出的《关键信息基础设施信息登记表》中,我们还可以从行业角度找到更具体的关键信息基础设施覆盖范围,即至少包括7个行业的20个领域。
表2:关键信息基础设施涉及的行业和领域
值得注意的是,由于《信息安全技术关键信息基础设施边界确定方法》仍处于从草案到征求意见稿的过渡阶段,距离正式发布还有一定距离,因此表2给出的关键信息基础设施覆盖范围仅供参考。
此外,我们还可以发现,表1和表2中给出的关键信息基础设施在行业范围内并不完全一致。这种差异应该是由识别关键信息基础架构的不同规模和粒度造成的。“关键信息基础设施”将涉及哪些关键行业?我们认为,随着“信息安全技术关键信息基础设施网络安全保护基本要求”试点工作的逐步推进,这个问题将在不久的将来得到最终明确的回答。
延长
关键信息基础设施的概念和定义基本确定后,关键信息基础设施的边界是什么?关键信息基础设施的保护对象是什么?我们可以将这些问题包括在关键信息基础架构概念的扩展中。
从《信息安全技术关键信息基础设施边界确定方法》中,我们可以初步找到一种确定关键信息基础设施边界的方法。该标准的当前版本提出了关键信息基础设施的边界识别模型,如下图所示。
注:关键信息基础设施的边界识别模型
该模型的核心内容是用“关键业务”的概念提出了识别关键信息基础设施边界的标准。关键业务是关键信息基础设施存在的前提和基础,指出关键信息基础设施本质上是关键业务的信息部分,为关键业务的安全运行提供信息支持。关键信息基础设施的边界识别应从业务安全角度出发,识别支撑关键业务持续稳定运行的网络设施和信息系统,实施系统化的重点保护。关键信息基础设施的关键业务应同时满足以下两个基本条件:
1.危险程度
具有关键信息基础设施的关键业务一旦被破坏或失去功能,将严重危及国家安全、经济安全、社会稳定、公共健康和安全。
2.信息化
现有的关键信息基础设施和关键业务必然高度依赖于信息运行,即一旦网络设施和信息系统受到攻击,关键业务的核心功能将严重受损。
为了更好地理解以“关键业务”概念来界定关键信息基础设施边界的准则,我们可以举一个例子来说明这一准则的具体应用方法:比如对于电网系统等能源行业,肯定属于国家关键基础设施的范畴,但电网设施中也有很多信息系统。哪些信息设施和系统属于关键信息基础设施的范围?根据“关键业务”的判据,电网“关键业务”负责监视和控制稳态运行,保障电网安全运行。因此,所有与电力生产、输电、配电的监控功能相关的信息设施和系统都应纳入关键信息基础设施的范围,而电网运行责任单位的其他信息系统,如人力资源、财务、办公系统等则与“关键业务”无关。
关键信息基础设施的边界确定后,下一步应该对边界内的哪些对象或元素实施关键信息基础设施的安全保护?纵观《信息安全技术关键信息基础设施边界确定方法》现行征求意见稿全文,可以看出该标准目前并没有对这一问题给出直接明确的答案。但我们认为《信息安全技术关键信息基础设施网络安全保护基本要求》已经回答了这个问题:在本标准第六章识别与认定中的6.2资产识别小节中,明确提出“识别关键业务链所依赖的资产,建立与关键业务链相关的网络、系统、服务等资产清单”,“根据资产类别、资产重要性和支撑业务的重要性对资产进行优先排序”。在本标准第七章安全防护的“7.1网络安全等级保护制度”小节中,明确规定“经营者应当符合国家网络安全等级保护制度的相关要求,进行分级备案、相应等级评估、安全建设、整改和自查。”根据这两部分的解读和对本标准全文的综合判断,我们可以得出一个初步结论:关键信息基础设施安全保护的对象是“资产”,这里的“资产”概念和范围与《信息系统网络安全保护系列标准》中定义的基本一致。
总之,《信息安全技术关键信息基础设施网络安全防护基本要求》是我国关键信息基础设施安全防护系列中的第一个核心标准。随着其报批稿的试行,关键信息基础设施的边界、范围和保护对象的确定方法将在实践中不断得到检验和完善。
注:本文部分内容引用并改编自360威胁情报中心《全球关键信息基础设施网络安全状况分析报告及信息安全技术关键信息基础设施边界确定方法》附录A。
关联阅读
谁说CWPP只能做东道主保安?国外对关键信息基础设施的保护怎么样?十堰关键信息基础设施成为新战场。如何维护国家网络安全?硬2020山石网柯山石云葛入选Gartner CWPP全球市场指南唯一中国品牌!Shanshi.com被选入Gartner的网络防火墙客户选择名单。
关于山石王客
山石网络科技是中国网络安全行业领先的技术创新制造商。自成立以来,一直专注于网络安全领域前沿技术的创新,提供包括边界安全、云安全、数据安全、内网安全在内的网络安全产品和服务,致力于为用户提供全方位、更智能、非侵入式的网络安全解决方案。
Shanshi.com为金融、政府、运营商、互联网、教育、医疗健康等行业的18000多名用户提供高效稳定的安全保护。Rocknet在苏州、北京、硅谷设有RD中心,业务已覆盖中国、美洲、欧洲、东南亚、中东等50多个国家和地区。
