上篇 关键信息基础设施安全保护之势
第一章 概述:关键信息基础设施的定义与特点
一、关键信息基础设施的定义
(一)关键基础设施的相关概念及其关系
1.国家信息基础设施
信息基础设施主要指光缆、微波、卫星、移动通信等网络设备设施,既是国家和军队信息化建设的基础支撑,也是保障社会生产和人民生活基本设施的重要组成部分。
“国家信息基础设施”一词是由美国最先提出的。1993年9月15日,美国政府发布《国家信息基础设施行动议程》(The National Information Infrastructure Action Agenda),其中首次提出“国家信息基础设施”(National Information Infrastructure,NII)的概念,并同时提出“信息高速公路”(Information Highway)作为“信息基础设施”的同义词。美国指出,NII是一个高水准的目标,要求在全美建成通达全国各地的信息高速公路,即由通信网、计算机、信息资源、用户信息设备与人构成互联互通、无所不在的信息网络,为每个人及其所用的信息设备提供接入NII的能力,将人、家庭、学校、图书馆、医院、政府与企业关联。NII的具体内容包括以下五个方面:一是一系列不断扩展的仪器设备,如摄像机、扫描仪、键盘、电话、传真机、计算机、交换机、高密度磁盘和光盘、声像带、电缆、电线、通信卫星、光纤传输线路、微波通信网、电视、监视器、打印机等,NII将这些物理设备集成并互连起来,为信息时代的各种技术进步奠定基础;二是信息本身,这些信息可以通过电视节目、科学或商业数据库、影像、录音、图书馆档案及其他媒体等形式体现;三是各类应用程序和软件,用户能借助于这些应用程序和软件来访问、处理、组织和提炼那些由国家信息基础设施所提供的、随时可用的大量信息;四是各种网络标准和传输编码,依靠它们能够实现网络间的互联和互操作,确保个人信息和网络的安全与可靠;五是人,其工作是挖掘信息、开发应用程序和服务、组建设备、开展培训等。
2.关键国家基础设施
国家基础设施(National Infrastructure,NI)是指为一国社会生产和居民生活提供公共服务的物质、工程、设施,是用于保障国家社会经济活动正常进行的公共服务系统,是社会赖以生存发展的一般物质条件。国家基础设施不仅包括公路、铁路、机场、通信、水电煤气等公共设施,即“物理基础设施”(Physical Infrastructure),也包括教育、科技、医疗卫生、体育、文化等社会事业,即“社会基础设施”(Social Infrastructure)。
关键国家基础设施(Critical National Infrastructure,CNI)是国家基础设施的最重要的组成部分。英国将关键国家基础设施界定为“从不间断地向国家提供基本服务来说,不可或缺的关键元素组成的国家基础设施”,没有这些元素,就不能提供基本服务,国家将遭受严重的经济损害、巨大的社会破坏,乃至严重的安全威胁。从定义可以看出,关键国家基础设施横跨诸多经济部门和重要政府服务,一旦遭到破坏或丧失功能,就会危害国家安全、经济发展及公共利益。
一些国家和地区使用“关键基础设施”(Critical Infrastructure,CI)这一概念,其内涵与“关键国家基础设施”是一致的。美国于2001年出台的《美国爱国者法案》(USA Patriot Act)认为,CI是指关系到美国生死存亡的,无论是物理的还是虚拟的系统和资产,这些系统和资产的功能一旦遭到破坏或丧失,就会对国家安全、经济稳定及国家公众健康与安全或这些要素的结合产生严重影响。
欧洲委员会于2004年10月20日发布《打击恐怖主义活动,加强关键基础设施保护》公告,其中针对CI做出了定义:关键基础设施是指如遭破坏或摧毁,就会对公民的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。
德国对关键基础设施的保护理念是确保政府和社会严重依赖的基础设施的安全运转,认为关键基础设施是指其故障会导致供应短缺或给大部分人口造成灾难性后果的所有基础设施的总和。荷兰对关键基础设施做出明确规定:对于社会不可或缺的,其损坏速度造成全国性紧急状态,或者会在更长时间内对社会产生不良影响的基础设施,均为关键基础设施。
3.关键信息基础设施
关于关键信息基础设施(Critical Information Infrastructure,CII)的定义,多个国际组织和国家都有明确界定。
1)经济合作与发展组织对CII的定义
经济合作与发展组织(Organization for Economic Co-operation and Development,OECD)在2008年发布的《关于保护关键信息基础设施委员会的建议》中指出:应将关键信息基础设施(CII)理解为那些相互关联的信息系统和网络,其损坏或破坏将对公民的健康、安全、保障或经济福祉及政府、经济的有效运作造成严重影响。
2)全球网络专业论坛对CII的定义
全球网络专业论坛(Global Forum on Cyber Expertise,GFCE)在2016年11月发布的《政府决策者关键信息基础设施保护良好实践指南》中指出:关键信息基础设施(CII)是那些相互关联的信息和通信基础设施,对于维持重要的社会功能(健康、安全、经济或社会福祉)至关重要,其损坏或破坏将造成严重的后果。
3)美国对CII的定义
美国国土安全部(DHS)在2011年11月发布的《安全网络未来蓝图》(Blueprint for a Secure Cyber Future)中对关键信息基础设施做出了明确定义:关键信息基础设施(CII)是控制、处理、传输、接收或存储包括数据、语音或视频在内的任何形式的电子信息的任何物理或虚拟信息系统:对关键基础设施的运行至关重要;对美国如此重要,以至于此类系统的失效或遭到破坏将对国家安全、国家经济安全或国家公共健康或安全产生削弱性影响;由州、地方、部落或领地政府实体拥有或经营,或代表州、地方、部落或领地政府实体经营。
4)奥地利对CII的定义
奥地利在2013年出台的《奥地利网络安全战略》中对关键信息基础设施做出了界定:关键信息基础设施是指对保障重要社会功能具有重要意义的基础设施或其组成部分,其遭到破坏或失效将对奥地利民众的健康、安全、经济和社会福祉或政府机构的运作产生严重影响。
5)芬兰对CII的定义
芬兰在《芬兰网络安全战略》(Finland's Cyber Security Strategy)中对关键信息基础设施的定义是:关键信息基础设施是指以电子方式传输、接收、存储或以其他方式处理信息(数据)的社会重要功能的信息系统背后的结构和功能。
6)爱沙尼亚对CII的定义
爱沙尼亚在《关键信息基础设施保护》(Critical Information Infrastructure Protection Estonia)中对关键信息基础设施的定义是:关键信息基础设施(CII)是指信息和通信系统,其维护、可靠性和安全性对于国家的正常运作至关重要。关键信息基础设施是关键基础设施的一部分。
7)俄罗斯联邦对CII的定义
俄罗斯在2012年2月发布的国家安全文件(第803号)中对关键信息基础设施的定义是:关键信息基础设施是一套自动化控制系统及其与信息和电信网络的相互作用,旨在应对国防、安全、法律和秩序方面的挑战,其违规(或终止)运营可能导致严重后果。
8)智利对CII的定义
智利在2017年发布的《智利国家网络安全政策》中对关键信息基础设施做出如下定义:关键信息基础设施(CII)包括网络、服务及物理和信息技术设备,这些设备的损坏、退化、中断或遭到破坏可能对民众的安全、健康和福祉及国家系统的有效运行产生重要影响。
9)新加坡对CII的定义
新加坡在2018年2月5日发布的《网络安全法》中明确指出:关键信息基础设施是指持续提供新加坡所依赖的基本服务所必需的计算机或计算机系统,其丢失或受损将影响国家安全、国防、外交关系、经济,影响新加坡的公共卫生、公共安全或公共秩序。
10)日本对CII的定义
日本在2015年发布《关键信息基础设施保护基本方针》(第3版),其中对关键信息基础设施的界定为:关键信息基础设施(CII)是由企业提供且极其难以替代的服务而形成的国民生活和经济活动的支柱。如果服务功能中止、恶化或无法使用,可能对国民生活和经济活动产生重大影响。
11)菲律宾对CII的定义
菲律宾在 2012年发布第10175号共和国法案,其中对关键信息基础设施做了如下定义:关键信息基础设施是指计算机系统和网络,无论是物理的,还是虚拟的,计算机程序、计算机数据和交通数据等基础设施对国家非常重要,其系统和资产的失效、遭受破坏或干扰会对国家或经济安全、国家公共卫生,以及这些问题的任何组合产生破坏性影响。菲律宾在 2017年5月发布的《2022年国家网络安全计划》中,对关键信息基础设施的定义进一步进行了完善:关键信息基础设施是指能够执行逻辑、算术、路由或存储功能的电子、磁、光、电化学或数据处理或通信设备或此类设备的组合,其中包括任何存储设施或与此类设备直接相关或与此类设备一起运行的设备或通信设施。它涵盖任何类型的计算机设备,包括具有数据处理能力的设备,如智能手机、计算机网络和其他连接到互联网的设备。
12)印度对CII的定义
印度在2008年发布的《信息技术法案修正案》第70(1)条指出:关键信息基础设施(CII)是指其失效或遭到破坏将对一个国家的国家安全、治理、经济和社会福祉造成不利影响的那些设施、系统或功能。
13)孟加拉国对CII的定义
孟加拉国在2018年发布的《数字安全法》中指出:关键信息基础设施是指政府宣布的能够控制、处理、流通或保存任何信息、数据或电子信息的任何物理的或虚拟的信息基础设施,并且如果这些信息基础设施遭到破坏或受到损害可能会影响公共安全、财务安全或公共卫生,以及国家安全或国家领土完整或主权。
虽然上述国家对关键信息基础设施的定义有不同的表述,但均将关键信息基础设施视为对国家至关重要的网络、系统和设备,均强调其失灵或遭到破坏会对国家安全、经济发展、公共健康产生重要影响。可以预见,随着关键基础设施的普遍信息化、网络化、数字化和智能化,关键基础设施(CI)与关键信息基础设施(CII)的概念将逐步统一起来。世界各国的国家关键基础设施普遍覆盖国家关键信息基础设施,从这一点上看,关键基础设施与关键信息基础设施的边界正日渐消退。
(二)国外关键信息基础设施的范围界定
各国对于关键基础设施的范围界定不尽相同,如美国提出16类关键基础设施领域,日本提出13类关键信息基础设施领域,而澳大利亚则将关键基础设施划分为10大类及相关的小类。但从总体上看,各国无不将事关国计民生的重要行业领域的系统、资产等纳入关键信息基础设施范畴。事实上,明确关键信息基础设施的具体范围是一个复杂且在实践中不断完善、不断调整的过程。
1.美国
美国作为信息网络技术的发起国,也是关键基础设施/关键信息基础设施保护起步最早的国家。美国关键基础设施安全保障的战略思路和法律政策,从一开始就与国家安全挂钩,相比其他国家,站位更高,布局更广。
美国在《提升关键基础设施的安全性和恢复力》总统令中,确定了16类关键基础设施行业部门及相应的联邦政府责任部门/机构,与关键信息基础设施直接相关的包括关键基础设施通信部门(通信CI)和关键基础设施IT部门(IT CI),涉及的具体范围如下。
关键基础设施通信部门(通信CI)的保护范围包括有线基础设施、无线基础设施、卫星基础设施、电缆基础设施、广播基础设施五大类物理层面资产,以及为关键基础设施稳定运行提供各类服务的逻辑层面资产。
关键基础设施IT部门(IT CI)的保护范围包括提供以下六类服务或能力的设施和资产:提供IT产品和服务;提供事故管理能力;提供域名解决方案;提供身份验证管理和其他信用支持相关服务;提供基于互联网的内容、信息通信服务;提供互联网路由、接入和连接服务。
2.德国
2015年7月10日,德国议会通过《德国网络安全法》,将加强关键信息基础设施保护力度作为重要内容,明确了关键基础设施运营者的责任,确定了关键信息基础设施网络安全报告制度。该法明确凡是涉及水资源、能源、通信、医疗、交通、金融、保险等与德国民众日常生活紧密相关的行业或企业均属于关键基础设施的保护范围。
3.日本
2005年,日本发布《关键信息基础设施信息安全措施行动计划》,指导政府、关键信息基础设施运营单位及其他利益相关方,开展关键信息基础设施保护工作。2009年,在该计划的修订版(第二版)中,日本确定了关键信息基础设施保护基本措施和建立公私信息共享的框架。2015年5月25日,日本网络安全战略总部将该计划更名为《关键信息基础设施保护基本政策》(第三版),确定的关键信息基础设施领域共13个,即信息和通信服务、金融服务、航空服务、铁路服务、电力供应服务、供气服务、政府和行政服务、医疗服务、供水服务、物流服务、化学工业、信用卡服务、石油工业。日本在2018年修订的《关键基础设施保护网络安全政策》(第四版)延续了第三版中对关键信息基础设施保护范围的界定。
4.新加坡
新加坡在2018年发布的《网络安全法》中建立了关键信息基础设施保护框架,明确10个关键信息基础设施部门,包括能源、水务、银行和金融、医疗保健、运输(包括陆地、海事和航空)、信息通信、媒体、安全、应急服务及政府部门。
5.澳大利亚
澳大利亚将关键信息基础设施划分为10大类及相关的若干子类。
(1)通信类,包括电信(电话、传真、互联网、有线电视、卫星)和电子传媒通信系统。
(2)能源类,包括天然气、汽油燃料、炼油厂、输油管道、发电和供电、水利枢纽、核研究反应堆等工业控制系统。
(3)生产制造类,包括航空航天、先进制造、国防工业、重工业和化学工业的信息系统及生产控制系统。
(4)国家标志类,包括重要建筑物、文化、体育、旅游涉及的数据和信息系统。
(5)金融类,包括银行、保险和证券交易系统。
(6)食品供应类,包括批量生产、储藏和配送信息系统。
(7)医疗卫生类,包括医院、公共卫生业务系统、研发实验室数据和管理信息系统。
(8)交通类,包括空中交通管制、公路、海洋、铁路和内陆运输(货运中心)信息系统。
(9)政府服务类,包括国防和情报设施、政府领导机关、应急服务(警察、消防、急救)的重要应用系统。
(10)公用事业类,如城市设施中的废水和废料管理等控制系统。
(三)我国关键信息基础设施的范围界定
我国在《中华人民共和国网络安全法》(以下简称《网络安全法》)中正式确立了关键信息基础设施保护制度;在《国家网络空间安全战略》中对关键信息基础设施的范围做出了初步细化;2021年发布的《关键信息基础设施安全保护条例》进一步明确了关键信息基础设施的保护领域和范围。
1.在《网络安全法》中的界定
《网络安全法》涉及大量关键信息基础设施保护的相关内容,包括界定了关键信息基础设施的范围,以及对攻击、破坏我国关键信息基础设施的境外组织和个人的相应惩治措施,等等。
《网络安全法》对关键信息基础设施的界定是:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的设施。其中,公共通信和信息服务主要包括广电网、电信网、互联网,以及用户数量众多的网络服务商系统,如腾讯、百度、阿里巴巴等IT巨头运营的特定网络和系统。公共服务主要是指重要行业和公共服务领域的重要信息系统,如城市供暖系统、智能交通系统、供水管网管理信息系统、社会保障信息系统等。电子政务主要针对政府和事业单位,如电子政务系统、事业单位门户网站。
2.在《国家网络空间安全战略》中的界定
我国在2016年12月发布的《国家网络空间安全战略》中将保护关键信息基础设施作为一项战略任务,明确指出:国家关键信息基础设施是指关系国家安全、国计民生,一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施,包括但不限于提供公共通信、广播电视传输等服务的基础信息网络,能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统,重要互联网应用系统,等等。
与《网络安全法》相比,《国家网络空间安全战略》对基础网络进行了细化,指出提供公共通信、广播电视传输等服务的为基础信息网络,并将《网络安全法》所界定的重要信息系统从4个扩展到11个,其中,能源、金融、交通和水利没有变化,新增了教育、科研和工业制造,并将公共服务细分为医疗卫生和社会保障,将电子政务细分为公用事业和国家机关,同时补充了互联网应用系统。
3.在《关键信息基础设施安全保护条例》中的界定
我国于2021年9月1日起正式实施的《关键信息基础设施安全保护条例》进一步明确了关键信息基础设施的范围,指出关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。这与《网络安全法》中规定的关键信息基础设施的范围基本一致,两者对关键信息基础设施覆盖范围的界定均遵循一个核心原则,即覆盖影响国家安全、经济发展和公共利益的重要行业和领域。