如何識別關鍵資訊基礎設施的邊界
■ 馮燕春 胡容銓 譚元翼 秦小偉
一、關鍵資訊基礎設施的邊界
根據《網路安全法》和《關鍵資訊基礎設施安全保護條例(徵求意見稿)》對關鍵資訊基礎設施定義和範圍的闡述,關鍵資訊基礎設施(Critical Information Infrastructure,CII)是指一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益的資訊基礎設施。CII邊界在此概念基礎之上更進一步,是指CII運營者需要識別其運營的哪些網路設施、資訊系統和數字資產應當納入保護範圍。如果CII邊界不明確、不合理,會給CII防護工作帶來嚴重影響。
(一)保護措施沒有針對性
提出任何保護措施的必要前提是已經明確了被保護的物件,否則制定保護措施就沒有針對性,CII運營者難以實施這些保護措施。
(二)保護措施難以落實
《網路安全法》對負責CII安全保護工作的部門提出了明確要求。比如:編制並組織實施關鍵資訊基礎設施安全規劃;確保業務穩定、持續執行,保證“三同步”;採購網路產品和服務,要簽訂安全保密協議,可能影響國家安全的,應當通過國家安全審查。這裡有些疑問,比如:建設員工宿舍也需要滿足“三同步”嗎?建設什麼樣的機房或者多大的機房需要滿足“三同步”原則?採購哪些網路產品和服務需要國家安全審查?採購網線、攝像頭、機櫃等需不需要進行國家安全審查等。這些具體保護措施和保護要求的落地都需要明確被保護的物件。
(三)難以形成有效保護
保護邊界過大,會讓CII運營者背上沉重負擔,甚至可能顧此失彼,因為追求絕對安全影響關鍵業務的穩定和持續執行。保護邊界過小,僅依靠幾個安全裝置和安全軟體對最貴的、最繁忙的少數幾個網路設施、資訊系統進行安全防護,缺少綜合防護和應急處置保障,將難以應對新技術、新應用迭代發展帶來的新漏洞、新威脅,難以應對不斷變化的安全威脅來源和網路攻擊手段,而難以實現對CII重點保護。
(四)制約CII保障體系的建設
CII邊界不明確給國家徵集CII資訊、建立國家關鍵資訊基礎設施保障體系造成困難。美國首次徵集本國關鍵基礎設施資訊時曾以“影響美國聯邦安全”為識別標準,結果徵集到的資訊良莠不齊。2016年中央網信辦組建國家關鍵資訊基礎設施網路安全檢查辦公室,在全國範圍內對CII進行大摸底。通過檢查普及了CII定義,讓社會各界認識到保護CII的重要性,獲得了很大成功。但是,此次檢查也碰到了一些問題。例如,徵集到數以萬計的CII資訊中,有一多半都是網站系統資訊,也就是說很多CII運營者只是將自身的網站作為CII上報,很多支撐關鍵業務的網路設施、資訊系統和數字資產資訊並沒有收集上報。為此,國家關鍵資訊基礎設施網路安全檢查辦公室集中科研力量,開展我國CII邊界識別標準和方法的研究制定工作。
二、關鍵資訊基礎設施邊界識別的主要挑戰
CII是網路設施、資訊系統和數字資產,或者由上述元素組成的集合與系統,是關鍵業務流程在資訊化實現過程中的關鍵性、基礎性支撐部分。
根據行業、領域對國家安全、國計民生、公眾利益的重要性來確定CII運營者相對容易。例如:通訊運營商、資訊服務提供商、公共服務平臺、國有大型銀行、高速鐵路運輸、航空樞紐、大型物流中轉站、大型發電站(場)、大型能源礦產開採等,一旦遭到網路攻擊導致業務中斷、功能喪失或資料洩漏,可能會給公共利益、國計民生甚至國家安全帶來嚴重影響和嚴重危害。然而,識別確認CII運營者的哪些網路設施、資訊系統和數字資產應被納入保護範疇卻有一定困難。
(一)遠遠超出關鍵基礎設施(CI)的範圍
在資訊化早期階段,CII被認為是CI的一部分,保護範圍比較明確。隨著數字經濟和資訊化水平的不斷提高,風險來源遠遠超出CI範圍,越來越多的來自於資訊通訊技術(ICT)以及操作技術(OT)這種非傳統安全領域的“虛擬實體”。例如,某些惡意軟體針對電力、燃氣、水處理或化工廠的工控系統,某些網路攻擊目標是對資訊資料的控制或篡改。
(二)需要保護完整業務鏈
開展對資訊基礎設施各組成元素的關鍵性評估,需要對完整業務鏈有整體的認識。在相關主體認知和利益的衝突下,制定可行、高效的關鍵性評估標準是一個不小的挑戰。可能出現,其中一些相關主體希望被確認為“關鍵的”,還有一些相關主體則試圖避免自身被確認為“關鍵的”。
(三)存在資訊的不對稱
CII識別工作必須具備一定的專業和技術知識,需要CII運營者在國家有關部門的指導監督下完成。各重要行業、領域主管部門從巨集觀和整體角度對本行業、本領域CII運營者的重要性做出判斷,但缺乏對CII運營者業務執行具體情況的掌握資訊。而對於CII運營者,因缺少對國家網路安全整體態勢的深入認識,難以對自身各運營業務的重要性進行客觀判斷。由於識別與被識別雙方資訊的不對稱,往往造成CII的識別結果五花八門,甚至千差萬別。
(四)缺少事件或案例的支撐
目前,CII遭到大規模網路破壞是一個高風險、小概率的事件。因遭受網路攻擊,導致CII被損毀破壞,或其業務中斷、功能喪失、資料洩露的例子還不多。因此,對CII安全風險的確定和推斷主要依靠有關專家,還做不到基於真實事件或案例資訊資料進行判斷定。
(五)IT運維的慣性思維
一些對CII邊界識別的意見源自CII運營者IT運維部門人員的工作經驗,侷限於對資訊系統的安全防護,而缺少對整個業務鏈的關聯因素分析和風險動態管控思維,缺乏對所運營的CII及其承載核心業務在本行業、本領域、本地區等整體視角下的關鍵性評估意識。
(六)結果可驗證性
目前對於CII的識別,大多基於各相關方多輪協商的最大共同認可確定,識別結果的客觀性和有效性往往難以通過某單一驗證機制確認。因此,需要採用持續性機制,在上一次識別結果基礎上不斷迭代優化,根據資訊基礎設施的各組成元素和網路安全動態及組織管理調整等因素,進行定期或不定期的多次識別,而這種持續性機制對於CII運營者而言,往往缺少自主性和持續性。
三、關鍵資訊基礎設施邊界識別流程
通過以上分析可看出,CII邊界識別,即識別出資訊基礎設施的哪些組成元素是關鍵的,哪些元素僅僅是很重要的,是開展CII保護工作的前提和基礎。將關鍵資訊設施元素從CII運營者的其他資訊基礎設施組成元素中識別出來,是開展CII保護工作的第一步,在識別和認定過程中,保護措施也會隨之逐步明確和細化。
(一)確定關鍵行業和領域
依據《網路安全法》第三十一條,公共通訊和資訊服務、能源、交通、水利、金融、公共服務、電子政務等屬於關鍵行業和領域。
(二)確定CII運營者
負責CII安全保護工作的有關部門分別組織本行業、本領域CII安全保護工作,根據網路設施、資訊系統和數字資產對本行業、本領域關鍵、核心業務的重要程度以及一旦遭到破壞可能帶來的危害,認定本行業、本領域內的CII運營者。
(三)確定核心業務
有關企事業單位和組織機構一旦被負責CII安全保護工作的部門認定為CII運營者後,應積極主動梳理自身開展的業務,在本行業、本領域主管部門指導下,確定高度依賴資訊化的核心業務,如果被確定的核心業務有多個時,還應根據各核心業務之間的管理協調關係、流程次序、連續性以及風險影響進行進一步的業務關係梳理,標識出相互依賴度,並按照被依賴程度從高到低的順序,依次開展後續識別工作。
(四)確定邊界
CII運營者根據確定出的核心業務,對核心業務邊界進行詳細描述,對核心業務的資訊化支撐元素進行列舉,並識別哪些網路設施、資訊系統和數字資產是關鍵業務正常運營必不可少的,形成CII支撐元素列表。
(五)資訊報備
CII運營者按照“功能”將納入CII邊界內的網路設施、資訊系統和數字資產等CII支撐元素進行分類和分組,以便於管理和保護,並將分類分組後的資料表上報國家有關部門。
以上建議的整個CII保護工作流程如圖所示。
識別認定:解決什麼是CII的問題。明確CII保護物件,推動CII保護措施的完善與更新。
保護措施:解決如何落實CII保護的問題,明確CII保護工作的目標和要求,為檢查評估工作提供參照指標。
檢查評估:解決如何對CII保護措施有效性進行評定的問題。以查促建、促管、促改、促防。結合CII運營單位核心業務的資訊化支撐和網路安全的態勢,在開展檢查評估同時,推動CII邊界資訊的更新和安全保護措施的調整和升級。
(本文刊登於《中國資訊保安》雜誌2018年第12期)
宣告:本文來自中國資訊保安,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。