我國關鍵信息基礎設施保護建設白皮書

1、目錄 HYPERLINK l _bookmark0 一、關鍵信息基礎設施概述 4 HYPERLINK l _bookmark1 （一）關鍵信息基礎設施定義 4 HYPERLINK l _bookmark2 （二）范圍界定 4 HYPERLINK l _bookmark3 （三）關鍵信息基礎設施安全保護的重要性 5 HYPERLINK l _bookmark4 二、重點國家和地區(qū)關鍵信息基礎設施安全保護的做法與啟示 8 HYPERLINK l _bookmark5 （一）重點國家、地區(qū)關鍵信息基礎設施保護措施 8 HYPERLINK l _bookmark6 1.美國 8 HYPERLINK l

2、 _bookmark7 2.歐盟 9 HYPERLINK l _bookmark8 3.俄羅斯 10 HYPERLINK l _bookmark9 4.日本 11 HYPERLINK l _bookmark10 （二）國際關鍵信息基礎設施安全保護主要啟示 13 HYPERLINK l _bookmark11 科學界定關鍵信息基礎設施的范圍 14 HYPERLINK l _bookmark12 明晰關鍵信息基礎設施安全保護的目標 14 HYPERLINK l _bookmark13 明確關鍵信息基礎設施安全保護的措施方法 15 HYPERLINK l _bookmark14 建立關鍵信息基礎設施

3、保護的組織管理體系 15 HYPERLINK l _bookmark15 三、我國關鍵信息基礎設施安全保護現(xiàn)狀 16 HYPERLINK l _bookmark16 （一）法律法規(guī)建設加速推進 16 HYPERLINK l _bookmark17 （二）標準體系逐步完善 17 HYPERLINK l _bookmark18 （三）相關研究不斷深入 21 HYPERLINK l _bookmark19 四、我國關鍵信息基礎設施安全保護面臨的問題 22 HYPERLINK l _bookmark20 （一）法律保護范圍模糊 22 HYPERLINK l _bookmark21 （二）自主可控能力不

4、足 23 HYPERLINK l _bookmark22 （三）缺乏完善有效的脆弱性評估機制和安全恢復計劃 24 HYPERLINK l _bookmark23 （四）安全風險監(jiān)測和預警機制較弱 25 HYPERLINK l _bookmark24 五、提升我國關鍵信息基礎設施安全保護水平的對策建議 26 HYPERLINK l _bookmark25 （一）做好基礎性研究，制定科學保護框架 26 HYPERLINK l _bookmark26 （二）增強自主創(chuàng)新能力，推動國產(chǎn)技術研發(fā) 26 HYPERLINK l _bookmark27 （三）完善檢測預警機制，制定應急響應制度與事后恢復計劃

5、 27 HYPERLINK l _bookmark28 （四）完善安全風險評估認證機制，設立關鍵信息基礎設施專項 HYPERLINK l _bookmark28 安全防治體系 28 HYPERLINK l _bookmark29 （五）相關企業(yè)應構建關鍵信息基礎設施的安全管理體系 28 一、關鍵信息基礎設施概述（一）關鍵信息基礎設施定義 關于“關鍵信息基礎設施”（critical infor- mation infrastructure，簡稱 CII），網(wǎng)絡安全法給出的定義，即：“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者

6、數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的設施?！盋II 最初是由通信信息網(wǎng)絡發(fā)展而來，信息和電信部門構成了其主要部分。隨著網(wǎng)絡的應用和普及，CII 不僅僅局限于此，還涵括了電信、計算機、互聯(lián)網(wǎng)、衛(wèi)星、光纖等支撐基礎設施運行的部分。（二）范圍界定在我國，關鍵信息基礎設施安全保護條例（征求意見 稿）對關鍵信息基礎設施（“CII”）的范圍進行了界定。關鍵信息基礎設施保護范圍界定如下：政府機關和能源、金融、交通、水利、衛(wèi)生醫(yī)療、教育、社保、環(huán)境保護、公用事業(yè)等行業(yè)領域的單位；電信網(wǎng)、廣播電視網(wǎng)、互聯(lián)網(wǎng)等信息網(wǎng)絡，以及提供、和其他大型公共信息網(wǎng)絡服務的單位；國防科工、大型裝備、化工、食品藥品

7、等行業(yè)領域科研生產(chǎn)單位；廣播電臺、電視臺、通訊社等新聞單位；其他重點單位。公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施。（三）關鍵信息基礎設施安全保護的重要性一是關鍵信息基礎設施關乎國家安全和社會穩(wěn)定。隨著信息化的快速普及和發(fā)展，關鍵信息基礎設施作為事關國家安全和社會穩(wěn)定的重要戰(zhàn)略資源的地位日益凸顯。首先，互聯(lián)網(wǎng)的飛速發(fā)展，使得網(wǎng)絡入侵和網(wǎng)絡攻擊事件頻發(fā)，嚴重威脅著關鍵信息基礎設施的正常運轉，給國家安全帶來極大隱患。其次，關鍵信息基礎設施是恐怖主義和網(wǎng)絡攻擊

8、的重點對象,各國均將視為網(wǎng)絡安全的重點并上升到國家安全的高度。通常認為,關鍵基礎設施或關鍵信息基礎設施是支撐國家安全和公共利益的重要基礎設施。同時，國家之間的網(wǎng)絡戰(zhàn)爭威脅日益加劇。信息技術的快速發(fā)展極大地開拓了互聯(lián)網(wǎng)絡平臺，網(wǎng)絡攻擊不再僅僅依附于傳統(tǒng)的常規(guī)戰(zhàn)爭而存在，已經(jīng)拓展和波及所有與網(wǎng)絡相關的事件和人員，通過技術手段破壞關鍵信息基礎設施從而導致政府機構、通信癱瘓已然成為網(wǎng)絡戰(zhàn)爭的重要手段?；诖耍瑸榱烁玫貞獙Ω鞣N形式的網(wǎng)絡攻擊，維護國家安全和社會穩(wěn)定，應加強對關鍵信息基礎設施的保護。二是加強關鍵信息基礎設施安全保護是社會持續(xù)運轉的重要保障。關鍵信息基礎設施為國家機構、各行業(yè)正常運轉提供必

9、需的產(chǎn)品和服務。關鍵信息基礎設施承載或支撐著 各行業(yè)關鍵核心業(yè)務，即支撐部門行使職能，對于部門或行 業(yè)穩(wěn)定運行具有戰(zhàn)略性作用。其次，關鍵信息基礎設施是行 業(yè)運作體系中被強依賴的關鍵節(jié)點，它所承載的業(yè)務對其他 部門或行業(yè)核心業(yè)務有較大關聯(lián)性影響。對這類關鍵信息基 礎設施的攻擊所產(chǎn)生的破壞，通過關聯(lián)的行業(yè)、領域逐漸傳 遞，會造成連鎖連片的嚴重后果。且隨著國家信息化戰(zhàn)略的 實施和通信技術的不斷升級，關鍵信息基礎設施建設不斷提 速，信息技術的研發(fā)和應用正在催生新的經(jīng)濟增長點，這對 于調(diào)整經(jīng)濟結構、轉變發(fā)展方式具有十分重要的作用。因此，社會的持續(xù)運轉需要大力加強對關鍵信息基礎設施的保護。三是對關鍵信息基

10、礎設施進行法律保護是順應國際形勢的必要舉措。目前各個國家均已建立關鍵信息基礎設施安全保護的相關制度，美、德、英、日等國家通過出臺和發(fā)布政策、法律、標準等多種措施，構建了國家關鍵信息基礎設施保護體系。各國通過發(fā)布或升級監(jiān)管框架、出臺指南、完善機構設置等方式進一步推動關鍵信息基礎設施的安全防護工作落地和具體化，提升工業(yè)信息安全防護水平。而針對新一代信息技術的應用可能面臨的信息安全風險，也已有一 些國家做出了相關的嘗試，如英國政府致力于保護關鍵基礎 設施免受針對計算機或通信系統(tǒng)的電子攻擊威脅，并建立了 由國務大臣負責的國家基礎設施保護中心為核心，各基礎設 施部門具體實施相關職責的關鍵基礎設施保護管理

11、體系。因 此，為了提升我國關鍵信息基礎設施防護水平，加強監(jiān)管，防止安全事件發(fā)生，我國須加快對關鍵信息基礎設施相關法 律法規(guī)細則進行研究制定工作。四是加強關鍵信息基礎設施安全保護對于公民福祉的保障意義重大。加強關鍵信息基礎設施安全保護的根本是對公民福祉、公民利益的保護。關鍵信息基礎設施運行過程中存儲或傳輸?shù)男畔?shù)據(jù)大量集中或極其敏感，其中供水、供電、醫(yī)療衛(wèi)生、社會保障等公共服務領域的信息系統(tǒng)、政務網(wǎng)絡及網(wǎng)絡服務提供者所有和管理的網(wǎng)絡及系統(tǒng)中有大量的公民身份信息、金融信息等，這些信息一旦被惡意收集或利用，必將損害公民的利益。其次，基于其他行業(yè)對于關鍵信息基礎設施的依賴性，加強關鍵信息基礎設施的保護

12、，可以使得公民的工作、生活等更加便利。國家安全、社會穩(wěn)定及社會的持續(xù)運轉等是公民福祉得以保障的前提，故加強關鍵信息基礎設施建設也關乎公民福祉。二、重點國家和地區(qū)關鍵信息基礎設施安全保護的做法與啟示（一）重點國家、地區(qū)關鍵信息基礎設施保護措施美國美國最早對關鍵基礎設施領域的相關系統(tǒng)安全進行關注，現(xiàn)已形成較為完善的關鍵信息基礎設施安全政策和戰(zhàn)略，且這些政策和戰(zhàn)略隨著形勢變化而逐步調(diào)整強化。圖 2-1 美國關鍵信息基礎設施保護法律匯總美國關鍵信息基礎設施安全保護計劃將風險管理作為保護工作的基礎和指針，將保護范疇、責任者與協(xié)作方、目 標與措施有機連接在一起，構建了與行業(yè)實際相適應的保護 體系，美國關鍵

13、信息基礎設施保護計劃具有以下四個特點：一是根據(jù)行業(yè)發(fā)展和風險點確定保護重點。針對信息和通信技術發(fā)展變化可能對關鍵基礎設施安全保護策略影響，例如云計算的普遍應用、移動計算和移動應用程序的大幅增 長、物聯(lián)網(wǎng)設備以及智能傳感器/智能設備快速增長等予以重點關注和應對；二是依據(jù)風險特性建立了多層次的保護工作組織體系。在充分利用國家級國家關鍵信息基礎設施協(xié)調(diào)中心（NCC）、信息共享和分析中心（ISAC）基礎上，結合行業(yè)保障需求分別設立了 IT SCC、IT GCC 等組織，促進安全戰(zhàn)略、政策、活動、情報等多維度交流；三是依托全風險評估方法。建立與 IT 部門虛擬化、分布式關鍵基礎設施結構相適應的評估體系。

14、在風險管理的維度上，區(qū)分政府與企業(yè)不同層次，企業(yè)通常基于業(yè)務目標實施，政府則更關注保障業(yè)務的有效性；四是注重有效性衡量。建立了風險管理措施效果指標體系。為了有效衡量保護措施實施效果，制定了統(tǒng)一的衡量方案。列舉出實現(xiàn)風險管理目標的各項舉措及要求，要求各部門成員按照這一衡量方案，每季度報告保護工作進展情況。歐盟歐盟也較早認識到關鍵基礎設施的網(wǎng)絡安全問題，并陸續(xù)頒布一系列政策指令，尤其在成員國協(xié)調(diào)方面強化關鍵基礎設施網(wǎng)絡安全防護。圖 2-2 歐盟關鍵信息基礎設施保護法律匯總在關鍵信息基礎設施保護方面，歐盟提出了制定了行動計劃，并從五個方面提出了保護措施：一是準備和預防層面：鼓勵在成員國之間、公共和私

15、營部門之間通過論壇或伙伴關系等實現(xiàn)有效溝通和經(jīng)驗、信息共享。二是檢測和響應方面：支持發(fā)展歐洲信息共享和預警機制。三是緩解和恢復階段：強化歐盟關鍵信息基礎設施（CII）的防御機制，鼓勵成員國及企業(yè)制定應急預案并進 行應急響應和恢復演習。四是國際合作方面：確定保證互聯(lián) 網(wǎng)的穩(wěn)定性和應急能力為歐盟優(yōu)先發(fā)展事項，鼓勵開展國際 合作。五是關鍵基礎設施標準方面：鼓勵歐盟及各成員國在 信息和通信技術領域內(nèi)制定具有廣泛適用性的標準和方法。俄羅斯為應對關鍵信息基礎設施面臨的安全威脅，俄羅斯不僅在政策制度、組織架構、法律法規(guī)等方面采取措施，還在公私合作方面制定了使用安全關鍵信息基礎設施的規(guī)范。圖 2-3 俄羅斯關

16、鍵信息基礎設施保護法律匯總2009 年俄羅斯的信息安全政策文件中描述的關鍵部門，主要指科技、國防、通信、司法、應急響應部門等部門。2013 年出臺的俄聯(lián)邦關鍵網(wǎng)絡基礎設施安全規(guī)定：對入侵交 通、市政等國家關鍵部門信息系統(tǒng)的黑客最高可處以 10 年 監(jiān)禁。這事實上是將交通、政府等納入國家關鍵網(wǎng)絡基礎設 施。俄羅斯的信息安全戰(zhàn)略更多強調(diào)在內(nèi)容層面的管控，非 常重視互聯(lián)網(wǎng)信息傳播對傳統(tǒng)文化、公民德道和價值觀帶來 的影響，而在基礎設施層面，則幾乎沒有特別具體的描述，只是概括性地表示保護關鍵信息基礎設施。日本日本參考了以美國為代表的發(fā)達國家在關鍵信息基礎設施安全防護的有關舉措，陸續(xù)頒布了一系列的相關法律

17、法規(guī)，在關鍵信息基礎設施安全防護領域開展了協(xié)同性的實踐探索。圖 2-4 日本關鍵信息基礎設施保護法律匯總自 20 世紀 90 年代以來，日本持續(xù)關注對關鍵信息基礎設施的保護，并已經(jīng)逐步建立了以政策法律為基礎，以組織機構體系建設為重點，以監(jiān)測預警和信息共享機制為支撐，以技術、人員、資金支持為保障的關鍵信息基礎設施保護制度。日本關鍵信息基礎設施保護基本政策中對關鍵信息基礎設施運營者需要采取的措施和國家層面采取的行動，給出了較為詳細的描述：一是持續(xù)提升關鍵信息基礎設施安全保護能力。日本內(nèi)閣秘書處制定安全規(guī)則的指導方針，并持續(xù)對指導方針進行審查，確認指導方針適合關鍵信息基礎設施運營者網(wǎng)絡安全管理的 P

18、DCA 循環(huán)，并能夠與其他原則配合，使關鍵信息基礎設施保護能力加強。二是建立信息共享機制。根據(jù)基本政策要求，日本內(nèi)閣秘書處制定了“從關鍵信息基礎設施運營者共享至國家信息安全中心(NISC)的信息”、“信息從 NISC 共享至關鍵信息基礎設施運營者”、“信息共享至 NISC的事件和原因種類”等政策附件，建立了正常情況下的信息共享機制和 IT 危機下的信息共享機制。三是通過跨部門演習增強事件響應能力。特別強調(diào)了通過實施跨部門的演習，并在演習中實施有效的培訓，增強關鍵信息基礎設施的 IT中斷響應能力，建立完善 IT 中斷處置機制。四是推動運營者和國家兩級風險管理。強調(diào)關鍵信息基礎設施經(jīng)營者應結合本單

19、位業(yè)務連續(xù)性的要求，制定網(wǎng)絡安全風險管理工作目標，制定具體工作計劃并在單位內(nèi)實施，并將應對 IT 故障的措施納入風險管理工作計劃。五是加強公共宣傳、國際合作、標準認證等基礎工作。日本內(nèi)閣秘書處開展公關，通過簡訊、網(wǎng)站、講座等手段，使公眾了解關鍵信息基礎設施保護基本政策，從容應對各種情況，獲得最廣泛的合作；繼續(xù)加強國際合作，通過雙邊、區(qū)域間和多邊框架，為運營者獲取典型案例、最佳實踐等；為關鍵信息基礎設施保護發(fā)布參考書，系統(tǒng)地安排有關的標準和指南，對國際標準提供應用指南，推動第三方認證和評估等。六是詳述利益相關方應采取的行動。詳細列出了各利益相關方，包括內(nèi)閣秘書處、關鍵信息基礎設施保護責任部門、信

20、息安全相關部門、危機管理部門、關鍵信息基礎設施運營者、CEPTOAR、CEPTOAR 理事會、關鍵信息基礎設施保護支撐機構和網(wǎng)絡空間相關運營者。（二）國際關鍵信息基礎設施安全保護主要啟示從美國、日本等國家地區(qū)關鍵信息基礎設施安全保護的實踐來看，關鍵信息基礎設施安全保護重在明確以下個方面內(nèi)容：科學界定關鍵信息基礎設施的范圍關鍵信息基礎設施的概念是從關鍵基礎設施發(fā)展而來。目前國際上對于關鍵基礎設施的范圍界定逐漸趨同，美國提 出了 16 類關鍵基礎設施領域，俄羅斯、日本、歐盟等也提 出了相應的關鍵信息基礎設施保護分類方法。我國中華人 民共和國網(wǎng)絡安全法等政策文件也明確了關鍵信息基礎設 施的領域范圍。

21、但是在實際操作層面，各行業(yè)主管部門還應 制定本行業(yè)、本領域關鍵信息基礎設施具體認定規(guī)則。同時 各國關鍵信息基礎設施的范圍有共性，又有差異，具有原則 性和靈活性相結合的特點，要結合本國具體的實際情況，探 索科學合理的關鍵信息基礎設施范圍界定和認定細則。明晰關鍵信息基礎設施安全保護的目標國際范圍內(nèi)制定關鍵信息基礎設施安全保護體系時首先要明確本地區(qū)關鍵信息基礎設施保護的重點與目標。例如美國提出關鍵基礎設施保護的主要目標在于提高基礎設施的安全性和彈性，具體包括安全感知能力、安全控制能力以及應急恢復能力；歐盟關鍵基礎設施保護的目標在于免受大規(guī)模網(wǎng)絡攻擊和中斷，重點是預防、安全性和恢復力；日本關鍵信息基礎

22、設施保護的目的是保障關鍵信息基礎設施持續(xù)正常穩(wěn)定運行，避免由于自然災害、網(wǎng)絡攻擊或其他原因造成的 IT 中斷事件。我國網(wǎng)絡安全法提出，建設關鍵信息基礎設施應當確保其具有支持業(yè)務穩(wěn)定、持續(xù)運行的性能，因此，關鍵信息基礎設施保護應以業(yè)務連續(xù)性和安全可控性為主要目標。明確關鍵信息基礎設施安全保護的措施方法從國際方面來看，美國的關鍵基礎設施網(wǎng)絡安全保護框 架是基于 NIST 的風險管理框架提出來的，其核心包括識別、保護、檢測、響應和恢復個部分。歐盟提出準備和預防、監(jiān)測和響應、減災和恢復、國際合作個方面行動措施。我 國關鍵信息基礎設施安全保護條例提出了關鍵信息基礎 設施保護的識別認定、安全防護、檢測評估

23、、監(jiān)測預警和應 急處置個基本環(huán)節(jié)。從各國實踐來看，所采取的保護環(huán)節(jié) 和措施都是基于風險控制的動態(tài)安全保護周期過程。建立關鍵信息基礎設施保護的組織管理體系關鍵信息基礎設施保護涉及不同的行業(yè)和部門，需要充分調(diào)動利益相關方的積極性，明確管理組織機構及其責任。各國在這方面都作了相應的制度設計，例如美國、歐盟等國家地區(qū)建立了供應鏈風險工作組、威脅情報共享中心、緊密聯(lián)系領域多方會議、網(wǎng)絡安全自愿社區(qū)等豐富的組織，同時建立了頂層協(xié)調(diào)機制、信息共享和協(xié)同保護制度，明確關鍵信息基礎設施運營者的權責義務、監(jiān)管部門的責任以及國際合作機制等。我國相關行業(yè)也可借鑒類似模式，組建行業(yè)關鍵信息基礎設施保護相關組織，通過定期

24、會議、課題研究、政策研討等方式強化交流協(xié)作，助力保護工作實施。三、我國關鍵信息基礎設施安全保護現(xiàn)狀（一）法律法規(guī)建設加速推進經(jīng)過 20 多年的工作推進,我國在網(wǎng)絡安全保護法規(guī)建設方面取得很大進展,以網(wǎng)絡安全法為核心的關鍵信息基礎設施安全保護法律保障體系建設正在加速推進。時間發(fā)布主體法律名稱2006 年國務院國家突發(fā)公共事件總體應急預案2007 年國務院突發(fā)事件應對法2013 年國務院突發(fā)事件應急預案管理辦法2016 年國務院網(wǎng)絡安全法2017 年國家網(wǎng)信辦國家網(wǎng)絡安全事件應急預案2017 年國家網(wǎng)信辦關鍵信息基礎設施安全保護條例（征求意見稿）網(wǎng)絡安全等級保護條例（征求意見稿）、網(wǎng)絡2018 年

25、-2019 年國家網(wǎng)信辦安全漏洞管理規(guī)定（征求意見稿）網(wǎng)絡安全威脅信息發(fā)布管理辦法（征求意見稿）等相繼向社會公開征求意見2020 年國家網(wǎng)信辦網(wǎng)絡安全審查辦法表 3-1 關鍵信息基礎設施安全保護法律法規(guī)匯總（二）標準體系逐步完善為保證關鍵信息基礎設施安全，我國在標準建設方面做了大量的工作。一是標準化組織建設逐步完善。2002 年 4 月全國信息安全標準化技術委員會（下簡稱“信安標委”）正式成立，信安標委直屬國家標準化管理委員會，負責全國信息安全標準化工作，統(tǒng)一協(xié)調(diào)和組織申報信息安全國家標準年度計劃項目，組織信息安全領域國家標準的送審、報批、宣貫等工作。關鍵信息基礎設施安全標準化相關的工作由秘書

26、處牽頭組織，根據(jù)技術內(nèi)容的不同，由不同的工作組來具體承擔。各工作組負責本領域內(nèi)的標準需求調(diào)研、標準制定、標準宣貫、標準實施評價等工作。圖 3-1 信安標委組織結構二是從網(wǎng)絡安全等級保護標準 1.0 到等保 2.0，我國信息安全保護的基本制度、基本策略和基本方法不斷完善。2007 年，信息安全等級保護管理辦法（公通字200743 號）文件的正式發(fā)布，標志著等級保護 1.0 的正式啟動，在 2008 年至 2012 年期間陸續(xù)發(fā)布了等級保護的一些主要標準，構成等級保護 1.0 的標準體系。通過十余年的時間的發(fā)展與實踐，成為了我國非涉密信息系統(tǒng)網(wǎng)絡安全建設的重要標準。 近年來為適應新技術的發(fā)展，解決

27、云計算、物聯(lián)網(wǎng)、移動互聯(lián)和工控領域信息系統(tǒng)的等級保護工作的需要，由公安部牽頭組織開展了信息技術新領域等級保護重點標準申報國家標準的工作，等級保護正式進入 2.0 時代。等保 2.0 相關國家標準于 2019 年 5 月 10 日正式發(fā)布。2019 年 12 月 1日開始實施。這是我國實行網(wǎng)絡安全等級保護制度過程中的一件大事，具有里程碑意義。相較于等保 1.0，等保 2.0 發(fā)生了以下主要變化： 等保 1.0等保 2.0名稱信息安全技術信息系統(tǒng)安全等級保護基本要求信息安全技術網(wǎng)絡安全等級保護基本要求定級對象信息安全等級保護工作直接作用的具體的信息網(wǎng)絡安全等級保護工作的作用對象，主要包括信息系統(tǒng)、

28、基礎信息網(wǎng)絡、云計算平臺、大數(shù)據(jù)平臺物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的網(wǎng)絡等。和信息系統(tǒng)?？刂拼胧┓诸惤Y構技術和管理兩個維度。技術上，劃分為物理安全、網(wǎng)絡安全、主機安全、應用安全、數(shù)據(jù)安全；在管理上，劃分為安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理系統(tǒng)運維管理。依舊保留技術和管理兩個維度。在技術上，變更為安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心；在管理上，調(diào)整為、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。內(nèi)容劃分為定級、備案、建設整改、等級測評和監(jiān)督檢查五個規(guī)定動作。變更為五個規(guī)定動作+新的安全要求(增加了風險評估、

29、安全監(jiān)測、通報預 表 3-2 等保 1.0 與 2.0 變化對比表 、警、案事件調(diào)查、數(shù)據(jù)防護、災難備份、應急處置等)。法律效力/網(wǎng)絡安全法第 21 條規(guī)定“國家實行網(wǎng)絡安全等級保護制度，要求網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度要求，履行安全保護義務”。落實網(wǎng)絡安全等級保護制度上升為法律義務。從等保 1.0 到 2.0，不斷完善的等級保護體系在實踐中為等保全生命周期提供服務，從定級備案咨詢、安全建設整改、等級保護測評、到監(jiān)督檢查改進等均能夠提供專業(yè)的服務，在輔助企業(yè)完成等級保護建設工作的同時，實際提升了系統(tǒng)運營使用單位的信息安全防護能力。三是標準實施試點有序開展。為驗證關鍵信息基礎設施安全保

30、護相關標準內(nèi)容的合理性和可操作性，信安標委采取了標準實施試點措施。2018 年 11 月 8 日，信安標委啟動了信息安全技術 關鍵信息基礎設施安全檢查評估指南試點工作。本次試點工作旨在驗證評估指南標準制定的科學合理性，為關鍵信息基礎設施安全檢查評估工作摸索經(jīng)驗。試點工作選取了包含通信、互聯(lián)網(wǎng)、交通、能源、金融、電子政務、公共服務等行業(yè)在內(nèi)的 12 家關鍵信息基礎設施運營者作為標準試點單位，選取中國信息安全測評中心、國家計算機網(wǎng)絡與信息安全管理中心等 6 家第三方測評機構作為檢查評估方參與了標準實施試點。試點效果表明，試點機制可有效驗證標準內(nèi)容是否先進合理和可操作性，有效提高標準的制定質(zhì)量。（三

31、）相關研究不斷深入隨著我國關鍵信息基礎設施被黑客和相關組織的攻擊威脅日益嚴重,我國在關鍵信息基礎設施安全領域也進行了多方位的研究與探索,包括關鍵信息基礎設施的框架體系、邊界識別、風險管控等方面。一是在框架體系方面，我國相關研究工作人員深入的研究了大數(shù)據(jù)安全框架體系及其管理模式,建立了基于大數(shù)據(jù)安全和隱私保護架構的模型,該模型可應用于智慧城市等多種重要場景,通過此模型可以深入摸索城市關鍵信息基礎設施安全框架體系,并對其安全趨勢進行評估,為我國關鍵信息基礎設施的安全防御能力奠定良好的基礎。二是在邊界識別方面，相關研究工作人員提出了關鍵信 息基礎設施安全防護需要識別被納入保護范圍的設施,關鍵 信息基

32、礎設施的界定是該領域的重中之重,邊界的不明確將 會給其安全防護工作帶來嚴重影響,當前有學術研究者通過 深入分析關鍵信息基礎設施邊界識別所面臨的問題及挑戰(zhàn)，提出了一種確定關鍵信息基礎設施的邊界識別方案。同時, 通過研究其他國家關鍵信息基礎設施邊界識別的經(jīng)驗,借鑒 了邊界識別方法。三是在測量與評估方面，我國相關研究學者基于信息安全等級保護來研究關鍵信息基礎設施安全防護測量和評估工作,并根據(jù)不同行業(yè)領域的主要特點,基于信息系統(tǒng)安全評估相關的要求和指南,提出了識別關鍵信息基礎設施屬性的風險評估方法,進而實行我國關鍵信息基礎設施的測量和評估工作。四、我國關鍵信息基礎設施安全保護面臨的問題（一）法律保護范

33、圍模糊雖然網(wǎng)絡安全法限定了關鍵信息基礎設施的保護范圍，但并沒有明確指出重要行業(yè)和公共服務領域的具體范圍和判定標準。同時，網(wǎng)絡安全法雖然設專節(jié)對關鍵信息基礎設施保護進行了規(guī)定，但沒有進行制定具體的實施要求，大多是方向上的指導和禁止，還需要進一步規(guī)定落實的細則和完善的措施。關于定級對象，根據(jù)信息安全等級保護管理辦法中給的 5 個等級描述都是針對信息系統(tǒng)，也就是說等級保護的對象是信息系統(tǒng)，在信息系統(tǒng)安全等級保護定級指南(GBT 220402008)又對信息系統(tǒng)進行了進一步的詮釋，對照關鍵信息基礎設施保護，在最新發(fā)布的等保 2.0 中，網(wǎng)絡安全等級保護工作的作用對象有所增加，包含了信息系統(tǒng)、基礎信息網(wǎng)

34、絡、云計算平臺、大數(shù)據(jù)平臺、物聯(lián)網(wǎng)系統(tǒng)、工業(yè)控制系統(tǒng)、采用移動互聯(lián)技術的網(wǎng)絡等，定級對象的增加為定級方法、保護要求、測評等方面提出了更高的要求，涉及關鍵信息基礎設施運營的各細分領域及行業(yè)的法律法規(guī)、保護指南還需加快研究完善。（二）自主可控能力不足自主可控能力一向被認為是保障網(wǎng)絡安全、信息安全的 基本前提。然而，自主可控設備目前還不能完全覆蓋我國關 鍵信息基礎設施建設和運行管理的要求，我國在引進外國先 進技術、加快產(chǎn)業(yè)更新?lián)Q代的同時，也給關鍵信息基礎設施 各領域帶來許多安全隱患問題。事實上，大量外國信息技術 產(chǎn)品已深度滲透至我國的電信、金融、石油、交管等關鍵網(wǎng) 絡基礎設施，導致我國的經(jīng)濟命脈部分

35、信息實況被外方掌握，系統(tǒng)運行受到控制，甚至存在被境內(nèi)外敵對勢力依令破壞的 潛在威脅。當前我國關鍵信息基礎設施的部分設備和部件短 期難以擺脫依賴進口的局面，一些信息系統(tǒng)也是由國外企業(yè) 提供技術服務，且采用的是國外的技術標準，我國對核心元 件的控制力較低，缺乏自主可控的技術產(chǎn)品，從長遠來看，這對我國的關鍵信息基礎設施的保護而言無疑是致命的安 全隱患，只有加大我國自主創(chuàng)新產(chǎn)品的運用才能在日后可能 面臨的攻擊中掌握主動權。（三）缺乏完善有效的脆弱性評估機制和安全恢復計劃一方面，當前我國大多數(shù)關鍵信息基礎設施運營者還沒有形成統(tǒng)一的行業(yè)安全評估標準，設施脆弱性和風險評估制度也不夠完善。仍有部分運營者將工作

36、重點放在事故事件管理上，甚至只是事故管理，發(fā)生事故后再進行整頓、檢查，此類防護機制往往會造成重大損失。當前全球范圍內(nèi)的針對 CII 的蓄意攻擊事件頻發(fā)，例如 2015 年烏克蘭的部分變電站 控制系統(tǒng)遭到破壞，造成大面積停電、2017 年美國核電站遭 受黑客網(wǎng)絡攻擊等，眾多 CII 安全事件的經(jīng)驗啟示我們應當 盡快完善風險評估，從而從根源控制，將關口前移。另一方面，缺乏完善的事后安全恢復計劃，當前我國多數(shù)關鍵信息基礎設施運營者都未制定完善詳盡的事后安全恢復計劃，未厘清涉及關鍵信息基礎設施保護過程中的防護流程、未明確指出需要加強保護的重點環(huán)節(jié)，也無法保障相應評估制度的制定和落實，這為關鍵信息基礎設

37、施保護及快速安全恢復帶來了極大的隱患。同時，我國還面臨著專業(yè)檢查評估人員缺少、檢查工作耗時多、效率低、檢查方法、檢查內(nèi)容不統(tǒng)一的問題。這也為 CII 脆弱性評估帶來了一定程度上的困難。（四）安全風險監(jiān)測和預警機制較弱我國監(jiān)測和預警機制仍待完善，全國性的風險監(jiān)測體系還沒有建立起來，缺乏完備有效的應急響應措施。目前等級保護 2.0 提出了在風險監(jiān)測方面增強了以下措施：“為檢驗安全防護措施的有效性，發(fā)現(xiàn)網(wǎng)絡安全風險隱患，運營者制定相應的檢測評估制度，確定檢測評估的流程及內(nèi)容等要素，并分析潛在安全風險可能引起的安全事件”。同時在安全預警方面強調(diào)：“運營者制定并實施網(wǎng)絡安全監(jiān)測預警和信息 通報制度，針對

38、即將發(fā)生或正在發(fā)生的網(wǎng)絡安全事件或威脅，提前或?qū)崟r發(fā)出安全警示”。目前我國相關行業(yè)管理部門以 事前控制和預防為核心并根據(jù)對關鍵信息基礎設施不同的 威脅進行了匹配性工作，但各細分行業(yè)內(nèi)具體的監(jiān)測與預警 標準還未制定，且當前安全預警體制機制還存在各主管機構 之間的協(xié)調(diào)力和聯(lián)動性欠缺、信息傳遞機制缺陷，安全風險 檢測與預警信息共享程度低等問題，安全預警機制改革勢在 必行。五、提升我國關鍵信息基礎設施安全保護水平的對策建議（一）做好基礎性研究，制定科學保護框架目前，雖然網(wǎng)絡安全法列舉了 CII 的保護范圍，但是隨著互聯(lián)網(wǎng)信息技術的快速發(fā)展，其局限性勢必會越來越突顯，而且也缺乏相關的認證機制。借鑒國際關

39、鍵信息基礎設施保護經(jīng)驗，我國應做好基礎性研究工作，重點開展以下工作：研究我國關鍵信息基礎設施的定義、分類和結構，以及我國 CIIP 的等級保護框架，研究并不斷完善適用于 CIIP的定級對象定義及定級對象的確定方法；研究基礎信息網(wǎng)絡等不同形態(tài)定級對象特征研究，研究各細分領域相應的定級方法、基本要求和測評要求；參照基礎設施關鍵性分析方法，結合信息系統(tǒng)所服務的領域，結合基礎設施的依賴關系，充分認識定級對象的重要性；研究威脅場景分析方法，分析危害方式；參照風險分析方法，分析和評價危害后果，最終確定各類信息系統(tǒng)、信息網(wǎng)絡、平臺等對象的安全保護等級。（二）增強自主創(chuàng)新能力，推動國產(chǎn)技術研發(fā)國家應盡快制定和落實自主創(chuàng)新的政策以建立激勵機 制，促進關鍵信息基礎設施核心產(chǎn)品的研發(fā)，加快人才培養(yǎng)，同時也要加強對關鍵信息基礎設施保護研究的人才和資金