關鍵信息基礎設施的概念及關鍵性研究2015年07月23日10:15

來源：中國經濟網

[打印本稿][字號

大

中

小][手機看新聞]目前，國家關鍵信息基礎設施已經被視為國家的重要戰略資源，以立法形式保護關鍵基礎設施和關鍵信息基礎設施的安全，已經成為當今世界各國網絡空間安全制度建設的核心內容和基本實踐。開展在針對國家關鍵信息基礎設施開展的研究中，首當其沖的理清關鍵基礎設施（CI）和關鍵信息基礎設施（CII）的關系問題。在對CII的研究中發現，國際社會雖然對CI有著基本的共識，但對CII的認知存在較大的分歧。近十年來，隨著信息通信技術的進一步發展，越來越多的基礎設施接入互聯網，CII涵蓋的范圍也隨之不斷擴大。1.國際社會CI與CII的相關概念（1）關鍵基礎設施相關概念國際社會上，國家關鍵基礎設施（CI）的概念由來已久，這些設施的關鍵性在于關系國計民生，為社會提供不可缺少的產品和服務。1.美國2001年《愛國者法案》認為，CI是指關系到美國生死存亡的，無論是物理還是虛擬的系統和資產，這些系統和資產的功能喪失或遭到破壞，會對國家安全、經濟穩定、國家公眾健康與安全或這些要素的任何結合產生嚴重影響。2.歐洲委員會于2004年10月20日發布的通告《打擊恐怖主義活動，加強CI保護》中針對CI作出了定義，明確CI是指如果被破壞或摧毀，會對公民的健康、安全、穩定或經濟福祉或成員國政府的有效運轉造成嚴重影響的物理和信息技術設施、網絡、服務和資產。CI橫跨經濟的諸多部門和重要政府服務。4.德國的CI保護的主要理念是政府和社會在總體上嚴重依賴基礎設施的安全運轉，在基礎設施中，凡是其故障會導致供應短缺或給大部分人口造成災難性后果的元素都被定義為關鍵的。德國在其《信息基礎設施保護國家計劃》中對信息基礎設施的定義為：給定基礎設施中IT部分的總和。5.荷蘭明確規定，對于社會不可或缺的，其損壞速度造成全國性緊急狀態，或者會在更長時間內對社會產生不良影響的基礎設施，為CI。6.英國將關鍵國家基礎設施（CNI）界定為由不間斷向國家提供基本服務來說不可或缺的關鍵元素組成的國家基礎設施。沒有這些元素，就不能提供基本服務，英國將遭受嚴重的經濟損害、巨大的社會破壞乃至嚴重的生命威脅。雖然國際社會對CI中的關鍵性有著基本的共識，但由于其難以量化的特性，在具體實施認定層面中還是出現了大量的分歧。（2）國際社會CII相關概念全球或國家信息基礎設施中維系關鍵基礎設施服務持續運轉的這一部分稱做關鍵信息基礎設施（CII），是全球或國家信息基礎設施的組成部分是確保一國關鍵基礎設施服務得以持續運轉的不可或缺要素，在很大程度上由信息和電信部門構成，但又并非僅僅包含信息和電信部門，還包括電信、計算機/軟件、互聯網、衛星、光纖等成分，這個術語還被用來統稱相互連接的計算機、網絡以及在其上傳送的關鍵信息流。1、美國在其2009年《國家基礎設施保護計劃》（2009NIPP）中也定義了國家關鍵信息基礎設施：電子的信息和通信系統以及這些系統中的信息，其中信息和通信系統由對各類型數據進行處理、儲存和通信的軟硬件所組成，其包括計算機信息系統、控制系統和網絡。"國家信息基礎設施"一詞是在1993年9月15日美國政府發表的"國家信息基礎設施行動動議"(TheNationalInformationInfrastructure:AgendaforAction)這一文件中正式出現的，它的英文原詞是NationalInformationInfrastructure，縮寫為NII。與此同時，還出現了NII的同義詞---信息高速公路。美國這次提出NII是一個高水準的目標，它要求在全美建成通達全國各地的信息高速公路，也即一個由通信網、計算機、信息資源、用戶信息設備與人構成互聯互通、無所不在的信息網絡，通過它，為每個人及他（她）所用的信息設備提供接入NII的能力，將人、家庭、學校、圖書館、醫院、政府與企業一一關聯起來。2.澳大利亞，國家關鍵信息基礎設施被稱為國家信息基礎設施，是國家關鍵信息基礎設施1的一個分支，是由國家范圍的電信網絡、計算機、數據庫和電對本行業、本部門重要業務起到關鍵支撐性作用或面向公眾提供大范圍服務（不包括政府網站）的信息系統，以及涉及國家安全、經濟命脈、社會穩定和公共利益的極端重要系統，進行調查，并在2013年6月前上報。該調查范圍主要為三級、四級的等保定級對象。關鍵信息基礎設施：2014年2月27日召開的中央網絡安全和信息化領導小組第一次會議中提到，建設網絡強國，要有良好的信息基礎設施，形成勢力雄厚的信息經濟，要完善關鍵信息基礎設施保護等法律法規等。重點領域：指政府、以及銀行、證券、保險、電力、石油天然氣、石化、煤炭、鐵路、民航、公路、廣播電視、國防軍工、醫療衛生、教育、水利、環境保護等行業，城市軌道交通、供水供氣供熱等市政領域。基礎設施是通指為社會生產和居民生活提供公共服務的物質工程設施，是用于保證國家或地區社會經濟活動正常進行的公共服務系統。它是社會賴以生存發展的一般物質條件。“基礎設施”不僅包括公路、鐵路、機場、通訊、水電煤氣等公共設施，即俗稱的基礎建設（physicalinfrastructure），而且包括教育、科技、醫療衛生、體育、文化等社會事業即“社會性基礎設施”（socialinfrastructure）。早期的信息基礎設施的范圍包含了諸如通信管網（由光纖PSTN、同軸電纜、以太網線及其管道資源等組成）、無線基站、中繼設備、各級機房以及相關配套的電源、建筑等設施。信息基礎設施是國家基礎設施的重要內容，對國民生產生活發揮著巨大的作用。（2）關鍵信息基礎設施概念共識早期，信息基礎設施通常被理解為電信網絡和廣播電視網絡。是保障信息通信的金融、國家機關等國家重要領域基礎設施正常運作的信息網絡。也有觀點認為信息基礎設施就是支撐信息技術研發、應用的基礎平臺，如電子簽名認證PKI中心、電子數據鑒定中心、網絡安全測評與認證中心、網絡安全應急中心、國家漏洞庫等。還有的觀點認為在信息基礎設施中起核心支撐作用的信息系統即為國家關鍵信息基礎設施。甚至認為關鍵的操作系統、數據庫也應該列入國家關鍵信息基礎設施中。綜上所述，對于國家關鍵信息基礎設施的定義的認識存在不同層面上的差異，有的理解為物理設施，有的理解為信息系統，還有的理解為基礎網絡。但比較一致的觀點是，僅將國家關鍵信息基礎設施理解為信息系統，或者信息網絡，已經不能適應現今網絡空間網絡安全保障的需求。網絡安全保障應該著眼全局，從業務保障的角度，自上而下的確認需重點保障的對象。將保護對象由信息系統的概念上升至“設施”層面，隨著信息基礎設施邊界擴展至由通信網絡連接的計算機、信息資源等隨著關鍵基礎設施的普遍信息化和網絡化，關鍵基礎設施與關鍵信息基礎設施的概念逐漸統一。3.關鍵信息基礎設施關鍵性的思考國家關鍵信息基礎設施互相關聯，構成一個復雜、龐大的動態體系，為國防安全、經濟運行提供不可替代的物質和服務。國家關鍵信息基礎設施一般具有以下一項或幾項特征：（1）關鍵信息基礎設施為國家正常運轉提供必需的產品和服務關鍵信息基礎設施承載或支撐部門行業關鍵核心業務，即支撐部門行使職能，行業正常運轉，對于部門或行業穩定運行具有戰略性作用。國家正常運轉所依賴的是產品、服務的不間斷可靠供給，而非某個具體的設施。因此，我們要保護的目標不是靜態的基礎設施，而是關鍵信息基礎設施在社會上擔任的角色和發揮的功能，所體現出來的核心價值。當所提供的產品和服務對于國家正常運轉來說是可廣泛替代的、或者不重要時，該設施將不再是關鍵的。雖然設施相對于服務和產品較易把握和掌控，但設施的關鍵性考慮不能脫離其支撐業務的關鍵性考慮。（2）關鍵信息基礎設施是結構體系中被強依賴的關鍵節點關鍵信息基礎設施所承載業務對其他部門或行業核心業務有較大關聯性影響。某個基礎設施或其某個組件之所以關鍵是由其在整個基礎設施系統中的結構性地位決定的，尤其是當其在其他基礎設施或部門之間起著連接渠道的作用時，在結構體系中表現為被強依賴的關鍵節點。通常關鍵信息基礎設施作為個體，可以應對分散的故障，對于隨機故障或局部故障有較強的恢復力，但是在針對關鍵節點的，系統性的，重復性的攻擊面前異常脆弱。對這類關鍵信息基礎設施的攻擊會造成直接的和間接的后果。所產生的破壞通過關聯的行業、領域逐漸傳遞，會造成連鎖連片的嚴重后果。（3）關鍵信息基礎設施可能是高危設施，被攻擊可導致直接的破壞后果化工、核電站等設施在經濟部門中扮演概述著必不可少的角色，但是由于該設施與生俱來的的高危特點，存在爆炸，泄漏、坍塌、污染等隱患，可造成環境污染、人員傷亡、等嚴重后果，進而影響人民群眾生產生活、影響國家正常運轉的設施。這些新興信息基礎設施的系統特點與傳統體系,其中包括較早的信息基礎設施有著本質性區別,它們在規模、連接性和依賴性方面有別于后者。（4）存儲或傳輸的信息數據大量集中或極其敏感傳統金融、地理、人口等信息的關鍵性毋庸置疑，而隨著新業務新應用的不斷涌現，大規模商業數據交易平臺等的數據資源，大數據、云計算、移動互聯網等聚集的海量信息越來敏感，一旦被惡意收集分析，完全可用來分析經濟形勢，制造生物武器等。（5）關鍵信息基礎設施可以具備象征意義，被攻擊和破壞可影響社會穩定某個基礎設施或其某個組件之所以與生俱來就具有關鍵性意義，取決于它在社會中擔任的角色或發揮的功能，相互依賴性問題居于第二位，某些基礎設施所固有的象征含義足以使其成為令人感興趣的目標。4.我國國家關鍵信息基礎設施的初步定義信息技術的發展為個人、組織和國家提供了快速獲得和利用信息的能力。而信息、通信、控制等技術的快速融合進一步提供了利用信息控制輿論和物理世界的能力。國家面臨的網絡風險，已經從數據破壞、信息系統癱瘓等擴展至通過信息系統破壞物理設施，乃至摧毀國計民生，影響國家安全等。因此，網絡安全保障的邊界已經由獨立的信息系統擴展至由信息系統相