关键基础设施信息安全政策研究综述

62 · 自动化博览·工业控制系统信息安全专刊
Research & Analysis
2013〕2号）、《北京市网络与信息安全协调小组办公 室关于开展2013年全市网络与信息系统安全检查工作的 通知》（京信安协〔2013〕2号）等相关政策，为建设 “智慧北京”保驾护航，从安全管理、安全检查等方面 做出政策要求，保障城市关键基础设施安全平稳运行。 2015年底俄罗斯工控研究团队通过互联网公布了一份名 为“SCADApass”的工控设备密码清单，引起业内一 阵哗然。2016年3月，市经济信息化委、市国资委发布 《关于开展全市工业控制系统安全隐患排查及整改工作 的通知》（京经信委函〔2016〕104 号），希望各企事 业单位对工控安全漏洞问题引起高度重视，对所管辖区 域定期开展隐患排查和安全整改，确保北京市工业控制 系统安全稳定运行。
键信息基础设施的相关体系，从2015年《国家安全法》 到2016年《网络安全法》（二审稿）对关键信息基础设 施都有明确的指导意见。
3.1 法律法规 2015年《中华人民共和国国家安全法》[12]正式实 施，将网络与信息安全纳入国家安全的保护高度，其中 第二十五条强调将关键基础设施和重要领域信息系统及 数据的安全可控作为维护国家安全的重要战略任务。因 此对关键信息基础设施的保护更为重要。但就目前国内 情况而言，国家暂时没有掌握国家关键信息基础设施的 安全情况，为了完成保护目标，第一步的摸底清查工作 就需要尽快完成，对关键信息基础设施安全保障的立法 工作也是十分必要的。 2016年《网络安全法》（二审稿）发布，其中第 三章第二节是对关键信息基础设施运行安全的要求。 在法案中落实国家部委安全职责、鼓励运营单位主动 加入到关键信息基础设施的安全保护中并明确了运营 者的安全保护义务。在新版二审稿中强调了网信部门 对关键信息基础设施的安全保护所采用的四点措施， 包括：对关键信息基础设施进行安全检测评估、定期 组织运营单位开展应急演练、促进相关机构的信息共 享、对网络安全事件采取应急处置与恢复等。新版 《网络安全法》为我国关键信息基础设施的安全保护 工作提供了可操作性的指导意见，为下一步相关安全 保护政策的落实奠定了基础。 3.2 政策文件 3.2.1 启动基础设施相关领域检查工作 我国在关键信息基础保护的初期阶段，其首要任务 要明确掌握关键信息基础设施的安全运行情况，2012年 国务院办公厅颁布《关于开展重点领域网络与信息安全 检查行动的通知》（国办函〔2012〕102号）[13]，首次 将工业控制系统纳入安全检查范围，重点检查“网络与 信息系统基本情况、安全管理情况、技术防范情况、应 急处理及容灾备份情况等，并对重要领域工业控制系统 展开安全检查和风险评估。”力求推动信息化和工业化 深度融合，加快试点示范的建设工作。 北京贯彻执行国家的检查任务，先后发布《北京 市网络与信息安全协调小组办公室关于开展2013年全 市网络与信息系统安全检查工作的通知》（京信安协〔
在管理体制方面，2002年出台《国家安全法》， 宣布成立国土安全部负责统一管理关键信息基础设施； 2003年美国第7号国家安全总统令《关键基础设施标 识、优先级和保护》确立了“联邦各部局用来标识美国
的关键基础设施和重要资源，并对其进行优先级排序和 保护，防治恐怖分子袭击的国家政策”[5]。在此项总统 令中明确了各个部委的管理范围，如国防部负责国防工 业基地的相关工作、财政部负责金融服务等。
2 国际出台的政策支撑
2.1 美国政策解读 随着信息化技术的不断发展，越来越多的关键基础
60 · 自动化博览·工业控制系统信息安全专刊
Research & Analysis
设施实现了智能化、自动化，恐怖分子利用互联网作为 媒介对关键基础设施的网络系统进行攻击，大大降低了 破坏关键基础设施的成本，更容易对重要业务系统进行 破坏、干扰。因此美国对关键基础设施的信息安全保护 极为重视，并将其上升至国家安全的防护级别，目前美 国已经有较为先进完备的体系结构。基于目前掌握的资 料可将美国对关键信息基础设施的保护政策大致分成顶 层政策指导、管理体制规范及标准体系框架。
国因本国国情差异，对关键部门的界定不一，从欧洲典 型国家公布的重点部门统计（如表1）可以分析出，各 国对关键信息基础设施的范围界定，其差异性由国家传 统、政治因素、地理环境等综合原因影响。
欧洲对于关键信息基础设施的保护主要从管理层 面及执行推广两个层面展开。管理层面：欧洲理事会于 2004年通过《保护关键基础设施的欧洲计划》，明确成 立关键基础设施预警信息网络委员会（CIWIN）[10]。随 后在《保护欧洲免受大规模网络攻击和中断：预备、安 全和恢复力的通讯》及《关键信息基础设施保护计划： “成就与进步：面向全球网络安全”通信》中从准备和 预防、监测和响应、减灾和恢复、国际合作及关键基础 设施标准几个方面展开重点关注。执行推广层面：确立 通过欧洲论坛（WISAS）的框架，讨论网络的恢复力及 稳定性原则[7]。
பைடு நூலகம்研究分析
关键基础设施 信息安全政策研究综述
The Research on Critical Infrastructure Cyber Security Policy
★刘凯俊，李智林，钱秀槟，赵章界 北京信息安全测评中心
摘要：近年来，工业化与信息化融合速度不断加快，促进关键基础设施与互联网连 接更加紧密。不法分子通过网络做媒介，破坏关键基础设施核心系统，引发安全事 故。本文综合阐述了目前典型发达国家针对关键基础设施出台的政策保护措施，分 析我国针对关键基础设施出台的相关政策，对相关文件作了重点研究解读。 关键词：关键基础设施；政策保护 Abstract: Continually accelerating industrialization and informatization have facilitated closer links betweencritical infrastructure and the Internet in recent years. Criminals attack critical infrastructure core systems through network media, which can lead to security incidents.This paper describes the policies for critical infrastructure protection in typical developed countries, and then analyses relevant policies for critical infrastructure released from China ,focusingon the relevant documents. Key words: Critical infrastructure; Policy protection
1 关键基础设施与关键信息基础设施
美国是较早关注关键基础设施建设的典型国家， 自2001年“9·11”恐怖袭击事件后，美国将城市关键 基础设施安全上升到国家安全的层面。同年颁布的《爱 国者法案》[1]对关键基础设施给出如下定义：“它是指 支撑一个国家或者社会正常运行的关键公共基础资源服 务系统，该资源系统包括两类：一类是硬资源系统，主
√
√
√
水基础设施
√
水（供应）
√
√
√
√
√
表1 欧洲典型国家关键部门和子部门统计一览表[9]
挪威
瑞典
瑞士
英国
合计
√
√
√
√
9
√
√
√
√
8
√
2
√
√
√
5
√
√
√
8
√
√
√
8
√
√
√
7
√
√
√
7
√
√
3
√
√
√
5
√
√
√
8
√
√
√
√
9
1
√
√
√
√
9
自动化博览·工业控制系统信息安全专刊 · 61
研究分析
系统的保护[8]。 从欧洲典型国家出台的保护政策中可以发现，各
3 我国政策分析
我国最早提出关键信息基础设施这个概念是始于 2014年2月27日召开的中央网络安全和信息化领导小组 第一次会议，会议中明确提到“建设网络强国，要有良 好的信息基础设施，形成势力雄厚的信息经济，要完善 关键信息基础设施保护等法律法规”等[11]。顺应国际形 势的发展变革，我国从立法的角度开始逐步完善保护关
在早期的政策文件中，各国十分重视区分关键基础 设施保护（CIP）与关键信息基础设施保护（CIIP）之 间的差异概念，但是在实际应用中很难做到。因此，早 期的政策文件经常将两个概念平行使用。
截至目前为止，我国并没有关于关键信息基础设施 的定义及范围，2016年《国家网络安全法》（二审稿）[3]， 明确了关键信息基础设施的影响范围，指出：“国家 对一旦遭到破坏、丧失功能或者数据泄露，可能严重 危害国家安全、国计民生、公共利益的关键信息基础 设施，在网络安全等级保护制度的基础上，实行重点保 护。关键信息基础设施的具体范围和安全保护办法由国 务院制定。”
3.2.2 管理工作相关通知 为了保障工业控制系统的信息安全，2011年9月工 业和信息化部发布《关于加强工业控制系统信息安全管 理的通知》(工信部协〔2011〕451号)[14]，强调加强工 业信息安全的重要性、紧迫性，并明确了重点领域工 业控制系统信息安全的管理要求，其中特别提到了与国 计民生紧密相关领域的控制系统，如核设施、钢铁、石 油石化、电力、天然气、先进制造、水利枢纽、环境保 护、城市轨道交通、城市供水供气供热等。随后国务院 于2012年6月 28日，颁布了《关于大力推进信息化发 展和切实保障信息安全的若干意见》（国发〔2012〕 23 号）[15]明确要求：“保障工业控制系统安全。加强 核设施、航空航天、先进制造、石油石化、油气管网、 电力系统、交通运输、水利枢纽、城市设施等重要领域 工业控制系统，定期开展安全检查和风险评估。对可能 危及生命和公共财产安全的工业控制系统，重点加强监 管力度。” 针对首都关键基础设施安全管理意识薄弱的问题， 为继续强化关键基础设施信息安全意识，优化管理结 构，北京市经济和信息化委员会联合市国资委针对市属 国有企业的工控信息安全管理工作做出明确要求，发布 《关于加强北京市属国有企业工业控制系统信息安全管 理工作的通知》（京经信委发〔2015〕41号）[16]，其中 强调工业控制系统信息安全管理的重要性和紧迫性。从 组织制度要求、分域防护要求、应急管理要求等十方面 提出具体要求，为工业控制系统信息安全管理工作提供
国家 部门
法国
芬兰
德国 意大利
荷兰
银行和金融
√
√
√
√
√
中央政府/政府服务
√
√
√
√
化学和核工业
√
应急/营救服务
√
√
能源/电力
√
√
√
√
√
食品/农业
√
√
√
√
√
医疗保健服务
√
√
√
√
信息服务/媒体
√
√
√
√
军事防卫/军队/国防设施
√
国家标志和 纪念碑
污水和废物管理
√
√
电信
√
√
√
√
√
交通（海陆空）/供应/物流
√
√
要是指物理上客观存在的，如交通、电力、通信、能源 （石油和天然气管道）、供水、信息网络系统（计算机 网络）等；另一类是软资源系统，如食品供应网、银行 金融系统、公共卫生服务系统、国家应急处理系统、国 家危险品流通系统等。”
欧盟委员会于2004年在《打击恐怖主义活动，加 强关键基础设施保护》[2]中，明确“关键基础设施是指 如果被破坏或摧毁，会对公民的健康、安全、稳定或经 济或成员国政府的有效运转造成严重影响的物理和信息 技术设施、网络、服务和资产。”
在顶层政策方面，1996年的《国家信息基础设施保 护法案》和1998年的克林顿政府第63号令（PDD63）标 志美国关键信息基础设施保护制度的形成。从20世纪90 年代开始，美国开始成立关键基础设施保护委员会，主 要职责是“针对关键基础设施信息系统的保护工作提出 政策建议并协调各项计划”[4]。在关键信息基础设施保 护的初期阶段，首先是明确新概念的定义及管理范畴， 其次便是由专属部门进行统一研究、统一管理。
在标准体系框架方面，2013年棱镜门事件之后，美 国政府发布了《提升美国关键基础设施网络安全的框架 规范》[6]。这是美国启动保护关键信息基础设施以来第 一个基础性框架文件，整个框架从识别、保护、监测、 响应、恢复五层面出发，是基于系统完整生命周期的防 控体系。其中很多要求与我国等级保护基本要求类似， 有外媒指出该规范有扩大行政监管范围之嫌。
2.2 欧洲政策分析 欧洲对关键信息基础设施的保护意识源自于20世纪 60年代信息技术的兴起，《德洛尔白皮书》、《本杰曼 报告》的相继出台，标志着欧盟将信息安全与国家安全 放在同一高度，并广泛实施[7]。2004年欧盟自启动“欧 盟关键基础设施保护规划”开始，接连出台一系列政 策、计划。核心意图是从两方面对关键信息基础设施进 行保护。一是给予顶层的政策支撑，二是从传统的被动 的应急处置转变为主动的消减系统脆弱性，进而起到对