关键信息基础设施的概念与关键性分析报告

关键信息基础设施的概念及关键性研究

2015年07月23日10:15 来源：中国经济网

[打印本稿]

[字号大中小]

[手机看新闻]

目前，国家关键信息基础设施已经被视为国家的重要战略资源，以立法形式保护关键基础设施和关键信息基础设施的安全，已经成为当今世界各国网络空间安全制度建设的核心内容和基本实践。开展在针对国家关键信息基础设施开展的研究中，首当其冲的理清关键基础设施（CI）和关键信息基础设施（CII）的关系问题。在对CII的研究中发现，国际社会虽然对CI有着基本的共识，但对CII 的认知存在较大的分歧。近十年来，随着信息通信技术的进一步发展，越来越多的基础设施接入互联网，CII涵盖的范围也随之不断扩大。

1. 国际社会CI与CII的相关概念

（1）关键基础设施相关概念

国际社会上，国家关键基础设施（CI）的概念由来已久，这些设施的关键性在于关系国计民生，为社会提供不可缺少的产品和服务。

1. 美国2001年《爱国者法案》认为，CI是指关系到美国生死存亡的，无论是物理还是虚拟的系统和资产，这些系统和资产的功能丧失或遭到破坏，会对国家安全、经济稳定、国家公众健康与安全或这些要素的任何结合产生严重影响。

2. 欧洲委员会于2004年10月20日发布的通告《打击恐怖主义活动，加强CI保护》中针对CI作出了定义，明确CI是指如果被破坏或摧毁，会对公民

的健康、安全、稳定或经济福祉或成员国政府的有效运转造成严重影响的物理和信息技术设施、网络、服务和资产。CI横跨经济的诸多部门和重要政府服务。

4. 德国的CI保护的主要理念是政府和社会在总体上严重依赖基础设施的安全运转，在基础设施中，凡是其故障会导致供应短缺或给大部分人口造成灾难性后果的元素都被定义为关键的。德国在其《信息基础设施保护国家计划》中对信息基础设施的定义为：给定基础设施中IT部分的总和。

5. 荷兰明确规定，对于社会不可或缺的，其损坏速度造成全国性紧急状态，或者会在更长时间内对社会产生不良影响的基础设施，为CI。

6. 英国将关键国家基础设施（CNI）界定为由不间断向国家提供基本服务来说不可或缺的关键元素组成的国家基础设施。没有这些元素，就不能提供基本服务，英国将遭受严重的经济损害、巨大的社会破坏乃至严重的生命威胁。

虽然国际社会对CI中的关键性有着基本的共识，但由于其难以量化的特性，在具体实施认定层面中还是出现了大量的分歧。

（2）国际社会CII相关概念

全球或国家信息基础设施中维系关键基础设施服务持续运转的这一部分称做关键信息基础设施（CII），是全球或国家信息基础设施的组成部分是确保一国关键基础设施服务得以持续运转的不可或缺要素，在很大程度上由信息和电信部门构成，但又并非仅仅包含信息和电信部门，还包括电信、计算机/软件、互

联网、卫星、光纤等成分，这个术语还被用来统称相互连接的计算机、网络以及在其上传送的关键信息流。

1、美国在其2009年《国家基础设施保护计划》（2009NIPP）中也定义了国家关键信息基础设施：电子的信息和通信系统以及这些系统中的信息，其中信息和通信系统由对各类型数据进行处理、储存和通信的软硬件所组成，其包括计算机信息系统、控制系统和网络。"国家信息基础设施"一词是在1993年9月15日美国政府发表的"国家信息基础设施行动动议"(The National Information Infrastructure :Agenda for Action)这一文件中正式出现的，它的英文原词是National Information Infrastructure，缩写为NII。与此同时，还出现了NII 的同义词---信息高速公路。美国这次提出NII是一个高水准的目标，它要求在全美建成通达全国各地的信息高速公路，也即一个由通信网、计算机、信息资源、用户信息设备与人构成互联互通、无所不在的信息网络，通过它，为每个人及他（她）所用的信息设备提供接入NII的能力，将人、家庭、学校、图书馆、医院、政府与企业一一关联起来。

2. 澳大利亚，国家关键信息基础设施被称为国家信息基础设施，是国家关键信息基础设施1的一个分支，是由国家范围的电信网络、计算机、数据库和电子系统组成，包括互联网、公共交换网、公共和私有网络、有线和无线，以及卫星通信。同时，国家信息基础设施包括驻留在网络和系统中的信息、应用和软件。

3. 根据国际电信联盟的定义，国家关键信息基础设施是指支撑物理国家关键信息基础设施的信息系统。

CII保护之所以特别重要，主要有两点原因：1）它们在经济部门中扮演着价值不可估量且越来越重要的角色。2）它们在各基础设施部门与保证其他基础设施随时运转的基本要求之间扮演着连接渠道的角色，此外还有若干种特性要求明确区分CI和CII。首先，新兴信息基础设施的系统特点与传统体系（其中包括较早的信息基础设施）有着本质性区别，它们在规模、连接性和依赖性方面有别于后者。这意味着需要用新的分析技术和方法来了解它们。其次，由于网络威胁在性质和破坏力方面发展非常迅速，因此，保护性措施必须在技术上不断改进，同时还不断需要新的方法。

（3）国际社会CI和CII的关系分析

CIP所涉及的范围要广于CIIP（国家关键信息基础设施），而CIIP是CIP 的基本组成部分，这两个概念之间的明显区别在于CIP牵涉一国基础设施的所有关键部门，而CIIP是全面保护工作的一个分支，侧重于保护关键信息基础设施。

然而随着信息技术的发展，国家关键基础设施普遍网络化和信息化，犯罪分子、恐怖分子、邪教组织等敌对势力通过网络发起针对CI的攻击变得非常容易，攻击源分散且隐藏。因此国际社会的国家关键基础设施保护逐渐聚焦于国家关键基础设施的网络安全保障上，关键信息基础设施和关键基础设施的边界逐渐模糊，两者的概念经常互相交错使用。1998年美国签署的《关于保护美国关键基础设施的第63号总统令》中，设立了国家关键基础设施保护的国家目标，要求“采取所有必要的措施来迅速减弱关键基础设施——尤其是信息系统——在面临物理和信息攻击时的任何重大脆弱性”。2003年2月美国发布的《网络空