中国电子信息产业我国关键信息基础设施安全保护白皮书 2021 在线下载,免费下载

我国关键信息基础设施安全保护白皮书中国电子信息产业发展研究院网络安全研究所赛迪（青岛）区块链研究院二零二一年五月 1 目录一、关键信息基础设施概述．．．．．．． . .. . ... .. ...... . .. . ........ 4 （一）关键信息基础设施定义．．．．．．．．．．．．．．．．． .. .. .. . ... .. . 4 （二）范围界定．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 4 （三）关键信息基础设施安全保护的重要性．．．．．．．．．．．．．．．．．． 5 二、重点国家和地区关键信息基础设施安全保护的做法与启示．．．． 8 （一）重点国家、地区关键信息基础设施保护措施．．．．．．．．．．．． 8 1. 美国．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 8 2 . 欧盟．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 9 3 . 俄罗斯．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 10 4 . 日本．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 11 （二）国际关键信息基础设施安全保护主要启示．．．．．．．．．．．．． 13 1. 科学界定关键信息基础设施的范围．．．．．．．．．．．．．．．．．．．．．． 14 2 . 明晰关键信息基础设施安全保护的目标．．．．．............. 14 3 . 明确关键信息基础设施安全保护的措施方法．．．．．．．．．．．．．． 1 5 4 ．建立关键信息基础设施保护的组织管理体系．．．．．．．．．．．．．． 15 三、我国关键信息基础设施安全保护现状．．．．．．．．．．．．．．．．．．．．． 1 6 （一）法律法规建设加速推进．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 16 （二）标准体系逐步完善．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 17 （三）相关研究不断深入．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 21 四、我国关键信息基础设施安全保护面临的间题．．．．．．．．．．．．．．． 22 （一）法律保护范围模糊．． .... . 2 . . .. ... . .. . ... . .. . . .. . . .. 22 （二）自主可控能力不足．． . . .. . . .. . .. . .. ..... . ... . .. . . . .. 23 （三）缺乏完善有效的脆弱性评估机制和安全恢复计划．． . .... 24 （四）安全风险监测和预警机制较弱．．．．．．． .. .. .. . ... .. 25 五、提升我国关键信息基础设施安全保护水平的对策建议．．．．．．． 26 （一）做好基础性研究，制定科学保护框架．．．．．． . .. . .. . .... 26 （二）增强自主创新能力，推动国产技术研发．．．．．．．．．．．．．．． 26 （三）完善检测预警机制，制定应急响应制度与事后恢复计划． 27 （四）完善安全风险评估认证机制，设立关键信息基础设施专项安全防治体系．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．．． 28 （五）相关企业应构建关键信息基础设施的安全管理体系．．．．． 28 3 一、关键信息基础设施概述（一）关键信息基础设施定义关于 “ 关键信息基础设施“ infrastruct u re , 简称 err ) , 即： (cr itical infor- mation 《网络安全法》给出的定义， “ 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的设施。 ”ERR 最初是由通信信息网络发展而来，信息和电信部门构成了其主要部分。随着网络的应用和普及， CI I 不仅仅局限于此，还涵括了电信、计算机、互联网、卫星、光纤等支撑基础设施运行的部分。（二）范围界定在我国，《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施 ("C II") 的范围进行了界定。关键信息基础设施保护范围界定如下： 1. 政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位； 2 . 电信网、广播电视网、互联网等信息网络，以及提供、和其他大型公共信息网络服务的单位； 3 . 国防科工、大型装备、化工、食品药品等行业领域科研生产单位； 4 种形式的网络攻击，维护国家安全和社会稳定，应加强对关键信息基础设施的保护。二是加强关键信息基础设施安全保护是社会持续运转的重要保障。关键信息基础设施为国家机构、各行业正常运转提供必需的产品和服务。关键信息基础设施承载或支撑着各行业关键核心业务，即支撑部门行使职能，对于部门或行业稳定运行具有战略性作用。其次，关键信息基础设施是行业运作体系中被强依赖的关键节点，它所承载的业务对其他部门或行业核心业务有较大关联性影响。对这类关键信息基础设施的攻击所产生的破坏，通过关联的行业、领域逐渐传递，会造成连锁连片的严重后果。且随瑙国家信息化战略的实施和通信技术的不断升级，关键信息基础设施建设不断提速，信息技术的研发和应用正在催生新的经济增长点，这对于调整经济结构、转变发展方式具有十分重要的作用。因此，社会的持续运转需要大力加强对关键信息基础设施的保护。三是对关键信息基础设施进行法律保护是顺应国际形势的必要举措。目前各个国家均已建立关键信息基础设施安全保护的相关制度，美、德、英、日等国家通过出台和发布政策、法律、标准等多种措施，构建了国家关键信息基础设施保护体系。各国通过发布或升级监管框架、出台指南、完善机构设置等方式进一步推动关键信息基础设施的安全防护工作落地和具体化，提升工业信息安全防护水平。而针对 6 新一代信息技术的应用可能面临的信息安全风险，也巳有一些国家做出了相关的尝试，如英国政府致力于保护关键基础设施免受针对计算机或通信系统的电子攻击威胁，并建立了由国务大臣负贵的国家基础设施保护中心为核心，各基础设施部门具体实施相关职责的关键基础设施保护管理体系。因此，为了提升我国关键信息基础设施防护水平，加强监管，防止安全事件发生，我国须加快对关键信息基础设施相关法律法规细则进行研究制定工作。四是加强关键信息基础设施安全保护对于公民福扯的保障意义重大。加强关键信息基础设施安全保护的根本是对公民福社、公民利益的保护。关键信息基础设施运行过程中存储或传输的信息数据大量集中或极其敏感，其中供水、供电、医疗卫生、社会保障等公共服务领域的信息系统、政务网络及网络服务提供者所有和管理的网络及系统中有大量的公民身份信息、金融信恩等，这些信息一旦被恶意收集或利用，必将损害公民的利益。其次，基于其他行业对于关键信息基础设施的依赖性，加强关键信息基础设施的保护，可以使得公民的工作、生活等更加便利。国家安全、社会稳定及社会的持续运转等是公民福社得以保障的前提，故加强关键信息基础设施建设也关乎公民福社。 7 ＿一、重点国家和地区关键信息基础设施安全保护的做法与示、启（一）重点国家、地区关键信息基础设施保护措施 1. 美国美国最早对关键基础设施领域的相关系统安全进行关注，现已形成较为完善的关键信息基础设施安全政策和战略，且这些政策和战略随着形势变化而逐步调整强化。美国发布第 13010 号行改令，成为第 1 个专门针对关键僖息基础设施的行政令．签暑（关于保护芙虑关兖环磷改府发布了百个关于关镶馔息慕磕键基础设施没算安全保护的第 63 号总统令）．计总（信息摹貌保护 Iii 覃 It 划｀ 0 ). 痕布 <II 息时代的关键晶廷设舅保护）井在霄年颤布的《鬟露者法案》中盲次对艾蠕赢础设篇子以芙懿发布（曼保护的关.. 妞设篇信皇计划》．井对（关霍晶础设篡标识．优先级扣岔护）提出蔓求定义． Q Q Q Q 1996 年 1998 年 2000 年 2001 年友布撼， Iii （圉寥关键慕础设篇保护计） ( NI P P 井持续更新． 2003 年 2018.4 2018 . 3 2017 年 2014 年。 6 。 6 。烦布《网络安全与基础设拖安全局法案）．烘布《提升因会发布关键基础设 201 BDHS 拖网络安全网络事件晌签．《加强联邦网络和关键基础设的框架》应小组法）．施的网络安全）．美国白宫识布了（提升基础设施保障计划 2007). 2006 年 2018 . 10 1 . 1 版本， I, 美国修订井发布《围家 2007 年 2013 年 ro 颁布 13836 号关键基础设行改命令施网络安全《堤高关键桓架） 1 .0 版本．基础设施网，络安全）．图 2-1 美国关键信息基础设施保护法律汇总美国关键信息基础设施安全保护计划将风险管理作为保护工作的基础和指针，将保护范畴、责任者与协作方、目标与措施有机连接在一起，构建了与行业实际相适应的保护体系，美国关键信息基础设施保护计划具有以下四个特点： 8 一是根据行业发展和风险点确定保护重点。针对信息和通信技术发展变化可能对关键基础设施安全保护策略影响，例如云计算的普遍应用、

中国电子信息产业 我国关键信息基础设施安全保护白皮书 2021

中国电子信息产业我国关键信息基础设施安全保护白皮书 2021