標準助力

 

　　關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)

 

　　中國電子技術(shù)標準化研究院 楊建軍

 

　　關(guān)鍵信息基礎(chǔ)設(shè)施安全直接關(guān)系到國家安全、國計民生和公共利益，關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護成為維護國家網(wǎng)絡(luò)安全的重中之重。黨的十八大以來，以習近平同志為核心的黨中央高度重視網(wǎng)絡(luò)安全工作，習近平總書記在“4·19”講話中強調(diào)要加快構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系。關(guān)鍵信息基礎(chǔ)設(shè)施安全也是網(wǎng)絡(luò)安全法的重要內(nèi)容，網(wǎng)絡(luò)安全法專門有一章節(jié)描述“關(guān)鍵信息基礎(chǔ)設(shè)施的運行安全”總體要求，其中明確了關(guān)鍵信息基礎(chǔ)設(shè)施的范圍以及保障關(guān)鍵信息基礎(chǔ)設(shè)施安全的技術(shù)和管理要求，是關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的法律基礎(chǔ)。為進一步推動關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)，2021年7月30日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》（以下簡稱《條例》)正式出臺。

 

　　網(wǎng)絡(luò)安全標準化工作是國家網(wǎng)絡(luò)安全保障體系建設(shè)的重要內(nèi)容，也是支撐網(wǎng)絡(luò)安全法、《條例》等法律法規(guī)落地實施的重要抓手。網(wǎng)絡(luò)安全法對關(guān)鍵信息基礎(chǔ)設(shè)施的建設(shè)、運行或者服務(wù)以及關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)等活動的標準化提出了明確要求?！稐l例》也明確要求，國家制定和完善關(guān)鍵信息基礎(chǔ)設(shè)施安全標準，指導(dǎo)、規(guī)范關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作。

 

　　網(wǎng)絡(luò)安全標準是保障國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要技術(shù)要素。從關(guān)鍵信息基礎(chǔ)設(shè)施的識別認定、安全防護、檢查評估、監(jiān)測預(yù)警、應(yīng)急處置等各個方面，都離不開標準的規(guī)范和引領(lǐng)。關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)標準為各行業(yè)各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施識別提供指導(dǎo)，為提高運營者自身安全防護能力和水平提供技術(shù)支撐，為規(guī)范開展安全檢查與評估提供標準依據(jù)，為統(tǒng)籌協(xié)調(diào)相關(guān)領(lǐng)域信息共享、監(jiān)測預(yù)警、應(yīng)急處置、考核評價等提供方法指引，為保障關(guān)鍵信息基礎(chǔ)設(shè)施全生命周期安全提供標準化支撐。網(wǎng)絡(luò)安全標準化工作為筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全屏障，維護國家網(wǎng)絡(luò)安全發(fā)揮越來越重要的作用。

 

　　一、美歐等率先啟動關(guān)鍵信息基礎(chǔ)設(shè)施安全標準研制

 

　　隨著網(wǎng)絡(luò)和信息化的快速發(fā)展，關(guān)鍵信息基礎(chǔ)設(shè)施已成為各國的重要戰(zhàn)略資源，對關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)動網(wǎng)絡(luò)攻擊成為敵對勢力蓄意破壞國家安全和社會穩(wěn)定的重要途徑。為保障國家安全和社會穩(wěn)定，美國、歐盟等積極制定出臺關(guān)鍵信息基礎(chǔ)設(shè)施安全法律法規(guī)，早在2014年就啟動了包含關(guān)鍵信息基礎(chǔ)設(shè)施的識別、安全保護框架、要求和評估規(guī)范等內(nèi)容的標準化文件。

 

　　2014年美國發(fā)布了《改善關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》。該框架定義了一套應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施安全的風險管控流程。為支撐該框架的落地執(zhí)行，美國能源部和國土安全部針對關(guān)鍵信息基礎(chǔ)設(shè)施開發(fā)了網(wǎng)絡(luò)安全能力成熟度模型（簡稱“C2M2模型”），用于指導(dǎo)運營者對其信息系統(tǒng)、工控系統(tǒng)等信息資產(chǎn)進行安全評估，并通過劃分安全域的方式，分別從內(nèi)部網(wǎng)絡(luò)安全實踐的實現(xiàn)情況（方法層面）和安全實踐的制度化程度（管理層面）對組織安全能力進行評估。

 

　　歐洲網(wǎng)絡(luò)與信息安全局（ENISA）于2014年發(fā)布《識別關(guān)鍵信息基礎(chǔ)設(shè)施服務(wù)和資產(chǎn)的方法論》，給出了識別關(guān)鍵信息基礎(chǔ)設(shè)施中服務(wù)和資產(chǎn)的方法。隨后，又先后發(fā)布了《保護關(guān)鍵信息基礎(chǔ)設(shè)施的考量、分析和建議》《數(shù)字服務(wù)提供商實施最低安全控制措施技術(shù)指南》等技術(shù)指導(dǎo)文件，就關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域開展公私合作、安全事件演練、風險評估、信息共享和建立控制措施等提出標準化建議。此外，ENISA還在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施、工控系統(tǒng)、智能電網(wǎng)、金融、健康醫(yī)療、船舶等領(lǐng)域發(fā)布了相關(guān)安全規(guī)定。

 

　　二、我國加快布局關(guān)鍵信息基礎(chǔ)設(shè)施安全標準體系

 

　　全國信息安全標準化技術(shù)委員會（以下簡稱“全國信安標委”）作為網(wǎng)絡(luò)安全國家標準的統(tǒng)一技術(shù)歸口組織，積極落實網(wǎng)絡(luò)安全法、《條例》等法律法規(guī)要求，緊密圍繞關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)，推動了9項相關(guān)標準的研制工作，實現(xiàn)了標準“從無到有”的突破。

 

　　《條例》從深入推進關(guān)鍵信息基礎(chǔ)設(shè)施安全保護統(tǒng)籌協(xié)調(diào)機制、識別認定范圍、加強安全防護指導(dǎo)與監(jiān)督、保障安全防護重要環(huán)節(jié)、提升運營者安全能力等方面描述了關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的藍圖。全國信安標委在充分考慮我國關(guān)鍵信息基礎(chǔ)設(shè)施安全特性的基礎(chǔ)上，圍繞安全保障體系建設(shè)各維度，從邊界識別、保護要求、控制措施、保障指標、應(yīng)急體系、檢查評估以及供應(yīng)鏈安全、數(shù)據(jù)安全、信息共享、監(jiān)測預(yù)警等方面系統(tǒng)開展標準研制與標準試點工作，用標準筑牢關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系建設(shè)的基礎(chǔ)。

 

　　其中，《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》站在運營者的角度，對開展安全保護工作提出了安全基本要求，為運營者落實安全主體責任提供依據(jù)；《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》提出了對關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估的流程和指標；《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全防護能力評價方法》《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施信息技術(shù)產(chǎn)品供應(yīng)鏈安全要求》等標準提出了運營者加強安全保護的措施手段，為有效開展自身安全能力建設(shè)、提高安全防護水平提供了全方位、系統(tǒng)化、層次化的標準化指導(dǎo)。此外，《信息安全技術(shù) 網(wǎng)絡(luò)安全事件應(yīng)急演練指南》《信息安全技術(shù) 網(wǎng)絡(luò)安全信息共享指南》《信息安全技術(shù) 網(wǎng)絡(luò)安全態(tài)勢感知通用技術(shù)要求》等關(guān)鍵信息基礎(chǔ)設(shè)施支撐標準為建立各行業(yè)間信息共享和應(yīng)急演練協(xié)同機制提供了重要技術(shù)基礎(chǔ)。

 

　　同時，全國信安標委積極發(fā)揮標準化價值，積極探索關(guān)鍵信息基礎(chǔ)設(shè)施安全保護工作實踐新模式，選取金融、能源、交通、電信、衛(wèi)生健康等行業(yè)20余家關(guān)鍵信息基礎(chǔ)設(shè)施運營者聯(lián)合開展標準試點，對標準技術(shù)條款的可行性、合理性、完備性和科學性進行綜合驗證，有效提高了標準質(zhì)量，初步摸清了相關(guān)行業(yè)的安全防護底數(shù)。

 

　　三、開創(chuàng)新形勢下關(guān)鍵信息基礎(chǔ)設(shè)施安全標準化新成果

 

　　當今世界正經(jīng)歷百年未有之大變局，不穩(wěn)定不確定因素日益增多、國際格局復(fù)雜多變，網(wǎng)絡(luò)安全標準化工作應(yīng)堅持以總體國家安全觀為指引，立足新發(fā)展階段，不斷適應(yīng)新興技術(shù)發(fā)展趨勢，以支撐國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護等網(wǎng)絡(luò)安全工作為重點，持續(xù)創(chuàng)新一批標準化工作新成果，為全面構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系提供標準化支撐。

 

　　一是持續(xù)增強標準化頂層設(shè)計。關(guān)鍵信息基礎(chǔ)設(shè)施安全標準化工作應(yīng)充分結(jié)合行業(yè)和領(lǐng)域需求，重點圍繞網(wǎng)絡(luò)安全法、數(shù)據(jù)安全法、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例等法律法規(guī)要求的落地實施，以整體提高關(guān)鍵信息基礎(chǔ)設(shè)施運營者安全保護能力為主要目標，充分借鑒國際先進標準研制成果，加快推動監(jiān)測預(yù)警、態(tài)勢感知、信息共享等重點領(lǐng)域標準研制。

 

　　二是筑牢新型基礎(chǔ)設(shè)施標準根基。“新基建”是數(shù)字產(chǎn)業(yè)化、產(chǎn)業(yè)數(shù)字化深度融合的產(chǎn)物，相關(guān)重要行業(yè)的“新基建”作為關(guān)鍵信息基礎(chǔ)設(shè)施重要組成，應(yīng)嚴格落實網(wǎng)絡(luò)安全“三同步”原則。網(wǎng)絡(luò)安全標準化工作既要充分考慮“新基建”新型安全風險，又要與已有網(wǎng)絡(luò)安全標準做好配套銜接。以事件管理、信息共享、應(yīng)急響應(yīng)、供應(yīng)鏈安全標準等為支撐，以安全管理、安全技術(shù)、安全測評標準等為補充，重點針對“新基建”中新技術(shù)新應(yīng)用提出標準化要求，奠定新型基礎(chǔ)設(shè)施建設(shè)標準基石，共同支撐各行業(yè)各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保障工作。

 

　　三是營造標準化工作良性生態(tài)。關(guān)鍵信息基礎(chǔ)設(shè)施安全保障體系的構(gòu)建需要壓實運營者的主體責任，還需要與產(chǎn)、學、研單位的通力協(xié)作。新形勢下網(wǎng)絡(luò)安全標準化工作要鼓勵更多的網(wǎng)絡(luò)安全企業(yè)、高校、科研院所等參與到關(guān)鍵信息基礎(chǔ)設(shè)施安全標準化工作中，打通技術(shù)、產(chǎn)業(yè)、學術(shù)等環(huán)節(jié)形成標準化合力，深入推動金融、能源、電信、交通、水利、衛(wèi)生健康、國防科技工業(yè)等重要行業(yè)和領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施的標準試點工作，促進標準研制與行業(yè)實施緊密互動，全鏈條提升標準應(yīng)用價值與實施效果，營造共筑網(wǎng)絡(luò)安全防線的良性生態(tài)。