关键信息基础设施的概念及关键性研究

23.07.2015  19:59

  目前,国家关键信息基础设施已经被视为国家的重要战略资源,以立法形式保护关键基础设施和关键信息基础设施的安全,已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中,首当其冲的理清关键基础设施(CI)和关键信息基础设施(CII)的关系问题。在对CII的研究中发现,国际社会虽然对CI有着基本的共识,但对CII的认知存在较大的分歧。近十年来,随着信息通信技术的进一步发展,越来越多的基础设施接入互联网,CII涵盖的范围也随之不断扩大。

  1. 国际社会CI与CII的相关概念

  (1)关键基础设施相关概念

  国际社会上,国家关键基础设施(CI)的概念由来已久,这些设施的关键性在于关系国计民生,为社会提供不可缺少的产品和服务。

  1. 美国2001年《爱国者法案》认为,CI是指关系到美国生死存亡的,无论是物理还是虚拟的系统和资产,这些系统和资产的功能丧失或遭到破坏,会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。

  2. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动,加强CI保护》中针对CI作出了定义,明确CI是指如果被破坏或摧毁,会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。

  4. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转,在基础设施中,凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为:给定基础设施中IT部分的总和。

  5. 荷兰明确规定,对于社会不可或缺的,其损坏速度造成全国性紧急状态,或者会在更长时间内对社会产生不良影响的基础设施,为CI。

  6. 英国将关键国家基础设施(CNI)界定为由不间断向国家提供基本服务来说不可或缺的关键元素组成的国家基础设施。没有这些元素,就不能提供基本服务,英国将遭受严重的经济损害、巨大的社会破坏乃至严重的生命威胁。

  虽然国际社会对CI中的关键性有着基本的共识,但由于其难以量化的特性,在具体实施认定层面中还是出现了大量的分歧。

  (2)国际社会CII相关概念

  全球或国家信息基础设施中维系关键基础设施服务持续运转的这一部分称做关键信息基础设施(CII),是全球或国家信息基础设施的组成部分是确保一国关键基础设施服务得以持续运转的不可或缺要素,在很大程度上由信息和电信部门构成,但又并非仅仅包含信息和电信部门,还包括电信、计算机/软件、互联网、卫星、光纤等成分,这个术语还被用来统称相互连接的计算机、网络以及在其上传送的关键信息流。

  1、美国在其2009年《国家基础设施保护计划》(2009NIPP)中也定义了国家关键信息基础设施:电子的信息和通信系统以及这些系统中的信息,其中信息和通信系统由对各类型数据进行处理、储存和通信的软硬件所组成,其包括计算机信息系统、控制系统和网络。"国家信息基础设施"一词是在1993年9月15日美国政府发表的"国家信息基础设施行动动议"(The National Information Infrastructure :Agenda for Action)这一文件中正式出现的,它的英文原词是National Information Infrastructure,缩写为NII。与此同时,还出现了NII的同义词---信息高速公路。美国这次提出NII是一个高水准的目标,它要求在全美建成通达全国各地的信息高速公路,也即一个由通信网、计算机、信息资源、用户信息设备与人构成互联互通、无所不在的信息网络,通过它,为每个人及他(她)所用的信息设备提供接入NII的能力,将人、家庭、学校、图书馆、医院、政府与企业一一关联起来。

  2. 澳大利亚,国家关键信息基础设施被称为国家信息基础设施,是国家关键信息基础设施1的一个分支,是由国家范围的电信网络、计算机、数据库和电子系统组成,包括互联网、公共交换网、公共和私有网络、有线和无线,以及卫星通信。同时,国家信息基础设施包括驻留在网络和系统中的信息、应用和软件。

  3. 根据国际电信联盟的定义,国家关键信息基础设施是指支撑物理国家关键信息基础设施的信息系统。

  CII保护之所以特别重要,主要有两点原因:1)它们在经济部门中扮演着价值不可估量且越来越重要的角色。2)它们在各基础设施部门与保证其他基础设施随时运转的基本要求之间扮演着连接渠道的角色,此外还有若干种特性要求明确区分CI和CII。首先,新兴信息基础设施的系统特点与传统体系(其中包括较早的信息基础设施)有着本质性区别,它们在规模、连接性和依赖性方面有别于后者。这意味着需要用新的分析技术和方法来了解它们。其次,由于网络威胁在性质和破坏力方面发展非常迅速,因此,保护性措施必须在技术上不断改进,同时还不断需要新的方法。

  (3)国际社会CI和CII的关系分析

  CIP所涉及的范围要广于 CIIP(国家关键信息基础设施),而 CIIP是CIP的基本组成部分,这两个概念之间的明显区别在于CIP牵涉一国基础设施的所有关键部门,而 CIIP是全面保护工作的一个分支,侧重于保护关键信息基础设施。

  然而随着信息技术的发展,国家关键基础设施普遍网络化和信息化,犯罪分子、恐怖分子、邪教组织等敌对势力通过网络发起针对CI的攻击变得非常容易,攻击源分散且隐藏。因此国际社会的国家关键基础设施保护逐渐聚焦于国家关键基础设施的网络安全保障上,关键信息基础设施和关键基础设施的边界逐渐模糊,两者的概念经常互相交错使用。1998年美国签署的《关于保护美国关键基础设施的第63号总统令》中,设立了国家关键基础设施保护的国家目标,要求“采取所有必要的措施来迅速减弱关键基础设施——尤其是信息系统——在面临物理和信息攻击时的任何重大脆弱性”。 2003年2月美国发布的《网络空间安全国家战略》指出,“保护美国关键基础设施免遭网络攻击、降低国家在网络攻击前的脆弱性、缩短网络攻击发生后的破坏和恢复时间”为“网络空间安全”的三大战略目标。

  总的来说,随着国家关键基础设施的普遍网络化和信息化,美国的国家关键基础设施保护逐渐聚焦于国家关键基础设施的网络安全保障上。同时,在欧盟、澳大利亚、日本等国家,关键信息基础设施和关键基础设施的边界逐渐模糊,两者的概念经常互相交错使用。关键信息基础设施已经逐渐与关键基础设施的边界趋同。国际社会中,国家关键信息基础设施也通常用于泛指那些需要进行网络安全保障的国家关键基础设施。

  2. 国内相关概念分析

  目前我国尚未从法律层面给出CI及CII的明确概念,在实施关键信息基础设施保护时经常处于无法可依的状况。这但相关部门分别从重大基础设施和重点领域网络与信息系统两个角度开展了安全保障工作。随着这些重大基础设施的网络化和信息化,通过将这些网络化和信息化的重大基础设施认定为国家关键信息基础设施,进而可为从国家层面全面部署,统一开展安全保障工作打下基础。

  (1)我国相关概念基础

  重大基础设施:“《国务院办公厅关于开展重大基础设施安全隐患排查工作的通知》国办发〔2007〕58号”中使用了“重大基础设施”的概念,并列举了公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施等九种类别,但该定义过于偏重物理设施,涵盖范围较窄,可以作为关键业务梳理时的参考依据。

  重点领域网络与信息系统:《2012年重点领域网络与信息安全检查总结报告》中指出,各重点领域共有XXXXX余个“重要网络与信息系统”,其中的调查报告则初步列举了我国XXX个关系国家安全、经济秩序正常运行和社会稳定的“关键网络与信息系统”。初步划定了我国信息安全保障的重点。

  基础信息资源:《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》国发〔2012〕23号文中提到,应强化信息资源和个人信息保护。加强地理、人口、法人、统计等基础信息资源的保护和管理,保障信息系统互联互通和部门间信息资源共享安全。明确敏感信息保护要求,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任,严格规范企业、机构在我国境内收集数据的行为。

  国家重要信息系统:2013年公安部发布了“关于开展国家重要信息系统调查工作的函”,对四级信息系统,以及第三级信息系统中跨省全国联网的大系统,对本行业、本部门重要业务起到关键支撑性作用或面向公众提供大范围服务(不包括政府网站)的信息系统,以及涉及国家安全、经济命脉、社会稳定和公共利益的极端重要系统,进行调查,并在2013年6月前上报。该调查范围主要为三级、四级的等保定级对象。

  关键信息基础设施:2014年2月27日召开的中央网络安全和信息化领导小组第一次会议中提到,建设网络强国,要有良好的信息基础设施,形成势力雄厚的信息经济,要完善关键信息基础设施保护等法律法规等。

  重点领域:指政府、以及银行、证券、保险、电力、石油天然气、石化、煤炭、铁路、民航、公路、广播电视、国防军工、医疗卫生、教育、水利、环境保护等行业,城市轨道交通、供水供气供热等市政领域。

  基础设施是通指为社会生产和居民生活提供公共服务的物质工程设施,是用于保证国家或地区社会经济活动正常进行的公共服务系统。它是社会赖以生存发展的一般物质条件。“基础设施”不仅包括公路、铁路、机场、通讯、水电煤气等公共设施,即俗称的基础建设(physicalinfrastructure),而且包括教育、科技、医疗卫生、体育、文化等社会事业即“社会性基础设施”(social infrastructure)。

  早期的信息基础设施的范围包含了诸如通信管网(由光纤PSTN、同轴电缆、以太网线及其管道资源等组成)、无线基站、中继设备、各级机房以及相关配套的电源、建筑等设施。信息基础设施是国家基础设施的重要内容,对国民生产生活发挥着巨大的作用。

  (2)关键信息基础设施概念共识

  早期,信息基础设施通常被理解为电信网络和广播电视网络。是保障信息通信的金融、国家机关等国家重要领域基础设施正常运作的信息网络。也有观点认为信息基础设施就是支撑信息技术研发、应用的基础平台,如电子签名认证PKI中心、电子数据鉴定中心、网络安全测评与认证中心、网络安全应急中心、国家漏洞库等。还有的观点认为在信息基础设施中起核心支撑作用的信息系统即为国家关键信息基础设施。甚至认为关键的操作系统、数据库也应该列入国家关键信息基础设施中。

  综上所述,对于国家关键信息基础设施的定义的认识存在不同层面上的差异,有的理解为物理设施,有的理解为信息系统,还有的理解为基础网络。但比较一致的观点是,仅将国家关键信息基础设施理解为信息系统,或者信息网络,已经不能适应现今网络空间网络安全保障的需求。网络安全保障应该着眼全局,从业务保障的角度,自上而下的确认需重点保障的对象。将保护对象由信息系统的概念上升至“设施”层面,随着信息基础设施边界扩展至由通信网络连接的计算机、信息资源等随着关键基础设施的普遍信息化和网络化,关键基础设施与关键信息基础设施的概念逐渐统一。

  3. 关键信息基础设施关键性的思考

  国家关键信息基础设施互相关联,构成一个复杂、庞大的动态体系,为国防安全、经济运行提供不可替代的物质和服务。国家关键信息基础设施一般具有以下一项或几项特征:

  (1)关键信息基础设施为国家正常运转提供必需的产品和服务

  关键信息基础设施承载或支撑部门行业关键核心业务,即支撑部门行使职能,行业正常运转,对于部门或行业稳定运行具有战略性作用。国家正常运转所依赖的是产品、服务的不间断可靠供给,而非某个具体的设施。因此,我们要保护的目标不是静态的基础设施,而是关键信息基础设施在社会上担任的角色和发挥的功能,所体现出来的核心价值。当所提供的产品和服务对于国家正常运转来说是可广泛替代的、或者不重要时,该设施将不再是关键的。虽然设施相对于服务和产品较易把握和掌控,但设施的关键性考虑不能脱离其支撑业务的关键性考虑。

  (2)关键信息基础设施是结构体系中被强依赖的关键节点

  关键信息基础设施所承载业务对其他部门或行业核心业务有较大关联性影响。某个基础设施或其某个组件之所以关键是由其在整个基础设施系统中的结构性地位决定的,尤其是当其在其他基础设施或部门之间起着连接渠道的作用时,在结构体系中表现为被强依赖的关键节点。通常关键信息基础设施作为个体,可以应对分散的故障,对于随机故障或局部故障有较强的恢复力,但是在针对关键节点的,系统性的,重复性的攻击面前异常脆弱。对这类关键信息基础设施的攻击会造成直接的和间接的后果。所产生的破坏通过关联的行业、领域逐渐传递,会造成连锁连片的严重后果。

  (3)关键信息基础设施可能是高危设施,被攻击可导致直接的破坏后果

  化工、核电站等设施在经济部门中扮演概述着必不可少的角色,但是由于该设施与生俱来的的高危特点,存在爆炸,泄漏、坍塌、污染等隐患,可造成环境污染、人员伤亡、等严重后果,进而影响人民群众生产生活、影响国家正常运转的设施。这些新兴信息基础设施的系统特点与传统体系,其中包括较早的信息基础设施有着本质性区别,它们在规模、连接性和依赖性方面有别于后者。

  (4)存储或传输的信息数据大量集中或极其敏感

  传统金融、地理、人口等信息的关键性毋庸置疑,而随着新业务新应用的不断涌现,大规模商业数据交易平台等的数据资源,大数据、云计算、移动互联网等聚集的海量信息越来敏感,一旦被恶意收集分析,完全可用来分析经济形势,制造生物武器等。

  (5)关键信息基础设施可以具备象征意义,被攻击和破坏可影响社会稳定

  某个基础设施或其某个组件之所以与生俱来就具有关键性意义,取决于它在社会中担任的角色或发挥的功能,相互依赖性问题居于第二位,某些基础设施所固有的象征含义足以使其成为令人感兴趣的目标。

  4. 我国国家关键信息基础设施的初步定义

  信息技术的发展为个人、组织和国家提供了快速获得和利用信息的能力。而信息、通信、控制等技术的快速融合进一步提供了利用信息控制舆论和物理世界的能力。国家面临的网络风险,已经从数据破坏、信息系统瘫痪等扩展至通过信息系统破坏物理设施,乃至摧毁国计民生,影响国家安全等。因此,网络安全保障的边界已经由独立的信息系统扩展至由信息系统相互连接的设施。国家网络安全保障的重点,不再是从信息系统自身角度判断重要的系统,而应是那些从国家层面来看,相互关联性高,依赖性强,一旦出现安全事件,影响国家安全的系统及其所控制的物理设施。

  总的来说,国家关键信息基础设施是指那些需要进行网络安全保障的,使用信息技术支撑重点行业或领域重要业务正常运行,事关国家安全的设施。目前,我国国家关键信息基础设施可初步定义为:使用信息技术,支撑国计民生正常运行,遭受网络攻击后可影响国家安全的设施。(中国信息通信研究院 宁华)