我国关键信息基础设施安全保护白皮书 h t i g b u c . 5 中国电子信息产业发展研究院网络安全研究所 赛迪（青岛）区块链研究院 二零二一年五月 1 m o 目 录 一、关键信息基础设施概述 ..................................4 （一）关键信息基础设施定义 ..............................4 （二）范围界定 ..........................................4 （三）关键信息基础设施安全保护的重要性 ..................5 二、重点国家和地区关键信息基础设施安全保护的做法与启示 ....8 （一）重点国家、地区关键信息基础设施保护措施 ............8 m o 1.美国 .................................................8 c . 5 2.欧盟 .................................................9 3.俄罗斯 ..............................................10 b u 4.日本 ................................................11 h t i g （二）国际关键信息基础设施安全保护主要启示 .............13 1.科学界定关键信息基础设施的范围 ......................14 2.明晰关键信息基础设施安全保护的目标 ..................14 3.明确关键信息基础设施安全保护的措施方法 ..............15 4.建立关键信息基础设施保护的组织管理体系 ..............15 三、我国关键信息基础设施安全保护现状 .....................16 （一）法律法规建设加速推进 .............................16 （二）标准体系逐步完善 .................................17 （三）相关研究不断深入 .................................21 四、我国关键信息基础设施安全保护面临的问题 ...............22 （一）法律保护范围模糊 .................................22 2 （二）自主可控能力不足 .................................23 （三）缺乏完善有效的脆弱性评估机制和安全恢复计划 .......24 （四）安全风险监测和预警机制较弱 .......................25 五、提升我国关键信息基础设施安全保护水平的对策建议 .......26 （一）做好基础性研究，制定科学保护框架 .................26 （二）增强自主创新能力，推动国产技术研发 ...............26 （三）完善检测预警机制，制定应急响应制度与事后恢复计划 .27 （四）完善安全风险评估认证机制，设立关键信息基础设施专项 c . 5 m o 安全防治体系 ...........................................28 （五）相关企业应构建关键信息基础设施的安全管理体系 .....28 h t i g 3 b u 一、关键信息基础设施概述 （一）关键信息基础设施定义 关于“关键信息基础设施”（critical infor- mation infrastructure，简称 CII），《网络安全法》给出的定义， 即：“公共通信和信息服务、能源、交通、水利、金融、公 共服务、电子政务等重要行业和领域，以及其他一旦遭到破 m o 坏、丧失功能或者数据泄露，可能严重危害国家安全、国计 c . 5 民生、公共利益的设施。”CII 最初是由通信信息网络发展 而来，信息和电信部门构成了其主要部分。随着网络的应用 b u 和普及，CII 不仅仅局限于此，还涵括了电信、计算机、互 联网、卫星、光纤等支撑基础设施运行的部分。 （二）范围界定 h t i g 在我国，《关键信息基础设施安全保护条例（征求意见 稿）》对关键信息基础设施（“CII”）的范围进行了界定。 关键信息基础设施保护范围界定如下： 1.政府机关和能源、金融、交通、水利、卫生医疗、教 育、社保、环境保护、公用事业等行业领域的单位； 2.电信网、广播电视网、互联网等信息网络，以及提供、 和其他大型公共信息网络服务的单位； 3.国防科工、大型装备、化工、食品药品等行业领域科 研生产单位； 4 4.广播电台、电视台、通讯社等新闻单位； 5.其他重点单位。 公共通信和信息服务、能源、交通、水利、金融、公共 服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、 丧失功能或者数据泄露，可能严重危害国家安全、国计民生、 公共利益的关键信息基础设施。 （三）关键信息基础设施安全保护的重要性 m o 一是关键信息基础设施关乎国家安全和社会稳定。随着 c . 5 信息化的快速普及和发展，关键信息基础设施作为事关国家 安全和社会稳定的重要战略资源的地位日益凸显。首先，互 b u 联网的飞速发展，使得网络入侵和网络攻击事件频发，严重 h t i g 威胁着关键信息基础设施的正常运转，给国家安全带来极大 隐患。其次，关键信息基础设施是恐怖主义和网络攻击的重 点对象,各国均将视为网络安全的重点并上升到国家安全的 高度。通常认为,关键基础设施或关键信息基础设施是支撑 国家安全和公共利益的重要基础设施。同时，国家之间的网 络战争威胁日益加剧。信息技术的快速发展极大地开拓了互 联网络平台，网络攻击不再仅仅依附于传统的常规战争而存 在，已经拓展和波及所有与网络相关的事件和人员，通过技 术手段破坏关键信息基础设施从而导致政府机构、通信瘫痪 已然成为网络战争的重要手段。基于此，为了更好地应对各 5 种形式的网络攻击，维护国家安全和社会稳定，应加强对关 键信息基础设施的保护。 二是加强关键信息基础设施安全保护是社会持续运转 的重要保障。关键信息基础设施为国家机构、各行业正常运 转提供必需的产品和服务。关键信息基础设施承载或支撑着 各行业关键核心业务，即支撑部门行使职能，对于部门或行 业稳定运行具有战略性作用。其次，关键信息基础设施是行 m o 业运作体系中被强依赖的关键节点，它所承载的业务对其他 c . 5 部门或行业核心业务有较大关联性影响。对这类关键信息基 础设施的攻击所产生的破坏，通过关联的行业、领域逐渐传 b u 递，会造成连锁连片的严重后果。且随着国家信息化战略的 h t i g 实施和通信技术的不断升级，关键信息基础设施建设不断提 速，信息技术的研发和应用正在催生新的经济增长点，这对 于调整经济结构、转变发展方式具有十分重要的作用。因此， 社会的持续运转需要大力加强对关键信息基础设施的保护。 三是对关键信息基础设施进行法律保护是顺应国际形 势的必要举措。目前各个国家均已建立关键信息基础设施安 全保护的相关制度，美、德、英、日等国家通过出台和发布 政策、法律、标准等多种措施，构建了国家关键信息基础设 施保护体系。各国通过发布或升级监管框架、出台指南、完 善机构设置等方式进一步推动关键信息基础设施的安全防 护工作落地和具体化，提升工业信息安全防护水平。而针对 6 新一代信息技术的应用可能面临的信息安全风险，也已有一 些国家做出了相关的尝试，如英国政府致力于保护关键基础 设施免受针对计算机或通信系统的电子攻击威胁，并建立了 由国务大臣负责的国家基础设施保护中心为核心，各基础设 施部门具体实施相关职责的关键基础设施保护管理体系。因 此，为了提升我国关键信息基础设施防护水平，加强监管， 防止安全事件发生，我国须加快对关键信息基础设施相关法 律法规细则进行研究制定工作。 c . 5 m o 四是加强关键信息基础设施安全保护对于公民福祉的保 障意义重大。加强关键信息基础设施安全保护的根本是对公 b u 民福祉、公民利益的保护。关键信息基础设施运行过程中存 h t i g 储或传输的信息数据大量集中或极其敏感，其中供水、供电、 医疗卫生、社会保障等公共服务领域的信息系统、政务网络 及网络服务提供者所有和管理的网络及系统中有大量的公 民身份信息、金融信息等，这些信息一旦被恶意收集或利用， 必将损害公民的利益。其次，基于其他行业对于关键信息基 础设施的依赖性，加强关键信息基础设施的保护，可以使得 公民的工作、生活等更加便利。国家安全、社会稳定及社会 的持续运转等是公民福祉得以保障的前提，故加强关键信息 基础设施建设也关乎公民福祉。 7 二、重点国家和地区关键信息基础设施安全保护的做法与 启示 （一）重点国家、地区关键信息基础设施保护措施 1.美国 美国最早对关键基础设施领域的相关系统安全进行关 注，现已形成较为完善的关键信息基础设施安全政策和战 略，且这些政策和战略随着形势变化而逐步调整强化。 h t i g c . 5 m o b u 图 2-1 美国关键信息基础设施保护法律汇总 美国关键信息基础设施安全保护计划将风险管理作为 保护工作的基础和指针，将保护范畴、责任者与协作方、目 标与措施有机连接在一起，构建了与行业实际相适应的保护 体系，美国关键信息基础设施保护计划具有以下四个特点： 8 一是根据行业发展和风险点确定保护重点。针对信息和 通信技术发展变化可能对关键基础设施安全保护策略影响， 例如云计算的普遍应用、移动计算和移动应用程序的大幅增 长、物联网设备以及智能传感器/智能设备快速增长等予以 重点关注和应对；二是依据风险特性建立了多层次的保护工 作组织体系。在充分利用国家级国家关键信息基础设施协调 中心（NCC）、信息共享和分析中心（ISAC）基础上，结合 m o 行业保障需求分别设立了 IT SCC、IT GCC 等组织，促进安全 c . 5 战略、政策、活动、情报等多维度交流；三是依托全风险评 估方法。建立与 IT 部门虚拟化、分布式关键基础设施结构 b u 相适应的评估体系。在风险管理的维度上，区分政府与企业 h t i g 不同层次，企业通常基于业务目标实施，政府则更关注保障 业务的有效性；四是注重有效性衡量。建立了风险管理措施 效果指标体系。为了有效衡量保护措施实施效果，制定了统 一的衡量方案。列举出实现风险管理目标的各项举措及要求， 要求各部门