关键信息基础设施安全保护的一些思考

         李克强总理于2021年7月30日签署了中华人民共和国第745号国务院令，公布《关键信息基础设施安全保护条例》已于2021年4月27日国务院第133次常务会议通过，自2021年9月1日起施行。监管部门如何指导和监督关键信息基础的安全保护，保护工作部门如何识别、认定关键信息基础设施，运营者如何实施关键信息基础设施保护，现已成为信息部门密切关注的热点问题。本文将结合笔者混迹网络安全圈多年的经验，基于《关键信息基础设施安全保护条例》提出一些思考。

一、什么是条例？

       根据《行政法规制定程序条例》第五条，行政法规的名称一般称“条例”，也可以称“规定”、“办法”等。行政法规是国务院为领导和管理国家各项行政工作，根据宪法和法律，并且按照《行政法规制定程序条例》的规定而制定的政治、经济、教育、科技、文化、外事等各类法规的总称。《中华人民共和国立法法》第七十条规定行政法规由总理签署国务院令公布，所以，《关键信息基础设施安全保护条例》的公布是由李克强总理签署的。

二、为什么要为关键信息基础设施“立法”？

（一）这是由关键信息基础设施具有“特殊性”和“重要性”决定的。《中华人民共和国网络安全法》指出国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏。对于危害关键信息基础设施安全的网络违法犯罪活动，有关主管部门将依照《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》等有关规定依法惩治。

（二）全球网络安全态势依旧严峻，高级威胁攻击多是针对关键信息基础设施。2010年7月，伊朗核设施受到了军用级网络攻击武器“震网（Stuxnet）”的袭击，核设施中1/5的铀浓缩设备被破坏掉，直接摧毁了伊朗的核计划。2019年7月22日委内瑞拉再次发生大范围停电，委内瑞拉官方表示，停电最主要的原因是古里水电站遭到电磁攻击。2019年，我国部分政府部门和医院等公立机构遭遇到国外黑客攻击，此次攻击中，黑客组织利用勒索病毒对上述机构展开邮件攻击。2021年5月7日，美国最大的燃料油管道运营商Colonial Pipeline（科洛尼尔）遭到黑客使用的勒索软件攻击，被迫关闭了其全长5500英里（约等于8800公里）的燃料油运输管道。根据《2020全球高级持续性威胁APT研究报告》（三六零）、《全球高级持续性威胁（APT）2021年中报告》（奇安信）、《2021年上半年全球主要APT攻击活动报告》（天际友盟）显示，地缘政治有关的国家和地区依然是APT组织攻击活动的热点地区，主要攻击的行业依然集中在政府、军工等行业，利用钓鱼邮件、0day及高危漏洞依然是APT组织青睐的主要手段。

三、中美两国关键信息基础设施对照分析

（一）立法的时间

      2021年7月30日李克强总理签署了中华人民共和国第745号国务院令，《关键信息基础设施安全保护条例》自2021年9月1日起施行。这是我国首部明确关键信息基础设施安全保护要求的行政法规，其中对关键信息基础设施的定义、关键信息基础设施的识别、关键信息基础设施的管理、关键信息基础设施的安全防护要求、运营者的责任义务、相关法律责任等内容，作了具体的规定。目前，我国关键信息基础设施安全保护的相关配套文件正在紧锣密鼓的制定中，包括《关键信息基础设施网络安全框架》、《关键信息基础设施网络安全保护基本要求》、《关键信息基础设施安全保障指标体系》、《关键信息基础设施安全控制措施》、《关键信息基础设施网络安全应急体系框架》、《关键信息基础设施安全防护能力评价方法》、《关键信息基础设施安全检查评估指南》等。

       2013年2月12日奥巴马政府签署了总统政策指令PPD-21《关键基础设施安全和恢复能力》，旨在集合全国的力量，加强和维护关键基础设施安全，确保其正常运营和有效恢复。美国国家标准与技术研究所在2014年2月19日发布了《改善关键基础设施网络安全的框架》，并于2018年4月16日发布了《改善关键基础设施网络安全的框架1.1版》（该框架广泛应用在全球网络安全防护业务中，IPDRR模型即为该框架的核心）。

（二）关键信息基础设施范围认定

       我国将“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”认定为关键信息基础设施的范畴。美国是将“对美国至关重要，一旦丧失能力或受到破坏，将对国家安全、国家经济安全、国家公共卫生安全或其任何组合产生削弱作用的通讯设施、网络设施、信息设施等”认定为关键信息基础设施。《现代汉语词典》对危害和削弱两个词语的解释分别是，危害：使受破坏，损害；削弱：力量、势力变弱。从字面意思上理解，危害涉及的破坏程度更大。

      目前，我国有8个行业明确了其作为关键信息基础设施的重要性，分别是公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业，其中公共通信和信息服务、能源须采用优先保障措施。除了上述行业以外，其他重要行业和领域中也存在关键信息基础设施。保护工作部门需根据关键信息基础设施认定规则对本行业、本领域的关键信息基础设施进行认定，认定结果及时通知运营者，并通报国务院公安部门。由此可以说明，关键信息基础设施认定的方法和等级保护的定级的方法是不同的：等级保护以“自主定级”为主，定级单位为运营者自己，公安机关负责备案登记；关键信息基础设施认定工作是由保护工作部门承担。

       美国有16个行业被认定为关键信息基础设施行业，分别是：通信部门、能源部门、运输系统部门、水坝部门、供水和废水系统部门、金融服务部门、紧急服务部门、商业设施部门、医疗保健和公共卫生部门、政府设施部门、国防工业基地部门、核反应堆/材料/废料部门、化工部门、关键制造业、食品和农业部门和信息技术部门。

就两国关键信息基础设施认定的行业细粒度而言，美国部分主管部门对其所辖的关键信息基础设施已进行了行业细分，如：水坝部门，提供关键的保水和控制服务，包括水力发电、市政和工业供水、农业灌溉、沉积物和洪水控制、内陆散货航运的河流导航、工业废物管理等。我国现阶段正处于关键信息基础设施认定规则制订和部分设施初期认定阶段，因此行业细分还需要一定的时间。

（本文来自网络安全游魂）