山石岩读丨美德英日俄,国外的关键信息基础设施保护都怎么搞? – 作者:Hillstone

0420-1.png

网络空间的蓬勃兴起和信息技术的广泛应用,极大地促进了经济与社会的发展,但同时也给我们带来了复杂多变的持续性安全风险和挑战。由于关键信息基础设施的可用性、可靠性和安全性关系到人民生命、财产、社会秩序和国家安全,因此被视为国家重要战略资源。

一.概述

近年来,世界主要经济发达国家均陆续开始了对关键信息基础设施安全保护的研究工作,其中以立法形式保护关键基础设施和关键信息基础设施的安全,已成为世界各国网络空间安全制度建设的核心内容。以下我们对美国、德国、英国、日本俄罗斯这5个网络安全行业较发达国家对关键信息基础设施的保护、研究及有关法规、条例的颁布等进展情况作一个简要对比:

1.美国美国是世界上最早对开始关键信息基础设施保护进行研究的国家,早在1996年就已经对关键基础设施定义了八个范围。之后的2002年,美国的国土安全部才成立,同时,国土安全部的工作职责就包括保护关键基础设施的安全。2006年,美国能源部对工业控制系统进行了细致的规划和保护,在2011年又新增了更多的安全保护条款。2010年,美国《国家网络基础设施保护法案2010》规定,国会应在网络基础设施保护领域设置“安全线”,以保障美国的网络基础设施安全,并在政府和私营部门之间建立起网络防御联盟的伙伴关系,促进私营部门和政府之间对于网络威胁和最新技术信息的信息共享。《网络空间作为国有资产保护法案2010》授权国土安全部对国家机构的IT系统进行维护监管,规定总统可宣布进入紧急网络状态,并强制私营业主对关键IT系统采取补救措施,以保护国家的利益。2013年,奥巴马政府制定《提高关键基础设施的网络安全》,同时要求关键基础设施要具有恢复力的文件也随之出台。2014年第一个全面指导性文件“关键基础设施网络安全框架规范”出台。

2.德国2015年7月10日,德国议会通过《德国网络安全法》,其重点是加强对关键信息基础设施的保护力度,明确了“关键基础设施”运营者的责任、扩大网络监管权、确定网络安全报告制度和增设电信运营商的义务。该法明确凡是涉及水资源、能源、通信、医疗、交通、金融、保险等与德国民众日常生活紧密相关的行业或企业均属于关键基础设施的保护范围。德国此前出台过相关的《战略》文件,就对“关键基础设施”的范围进行了界定,但其仅仅是德国内政部发布的发展纲要,不具有法律效力。之后出台的《德国网络安全法》吸收了《战略》中关于“关键基础设施”的定义,在此基础上还明确“关键基础设施”运营者的法律责任。《德国网络安全法》为关键基础设施的运营商设置了两项具体的报告义务:一项是最低网络安全标准报告义务,另一项是网络安全事件动态报告义务。最低网络安全标准报告义务:指《德国网络安全法》中规定的所有关键基础设施的运营商应当根据本部门实际情况,在规定的时间内向联邦信息安全办公室(BSI)上交一份网络安全方面报告,该报告主要内容是本单位为应对网络攻击而安装相关系统的情况;网络安全事件动态报告义务是指:电信运营商应当主动收集、储存用户的通信业务信息,且储存周期不应少于6个月。警方为了侦查犯罪的需要可以从电信运营商处依法获取这些数据。此外,为了保证用户的数据信息不被非法使用,《德国网络安全法》规定,当电信运营商的链接或数据信息被泄漏或滥用时,电信运营商负有及时通知本单位客户的义务。

3.英国英国早期的互联网立法,侧重保护关键性信息基础设施,随着网络的不断发展,后期英国在加强信息基础设施保护的同时,也开始强调网络信息的安全。2007年2月1日,英国国家基础设施保护中心(简称CPNI)正式成立,它是一家为英国企业和组织的基础设施提供安全咨询保护的英国政府部门,由前英国国家基础设施安全协调中心和英国国家安全咨询中心合并而来,其职责是减少英国基础设施被恐怖主义破坏的风险和应对其他威胁,保护英国基本服务安全(通信,应急服务,能源,金融,食品,政府,医疗,交通和水务)。2016年英国公布的国家网络安全战略(2016-2021)中对CNI (关键国家基础设施)做了界定,主要包括以下5 个方面:1、重要企业:已取得极大成功且在研发或知识产权具备很强优势的企业;2、个人信息数据拥有者:不仅包括大规模数据的拥有者,还包括一些弱势群体信息数据的所有者;3、高威胁目标:如媒体;4、顶级数字经济提供商;5、保险、投资、监管、专业咨询组织等:对改善网络经济领域网络安全状况有影响的组织机构。英国对关键国家基础设施(CNI)的界定方法,打破了美国一直以来按照行业特征和部门属性划分关键信息基础设施的常规,从数字经济影响力、数据资源特性等维度,将英国关键基础设施划分为五类。特别值得注意的是,英国甚至把某些专业咨询组织或机构也纳入CNI 的范围,前提为其对整个经济领域改善网络安全状况有一定影响。

4.日本自20世纪90年代以来,日本持续关注对关键信息基础设施的保护,并已经逐步建立了以政策法律为基础以组织机构体系建设为重点以监测预警和信息共享机制为支撑以技术、人员、资金支持为保障的关键信息基础设施保护制度。2011年日本《刑法》修正后,在消灭垃圾邮件、计算机病毒以及保护网民隐私信息方面进行明确规定,要求网络运营商原则上保存用户30天上网和通信记录,根据必要还可以再延长30天。2014年11月6日,日本国会众议院表决通过《网络安全基本法》,规定电力、金融等重要社会基础设施运营商、网络相关企业、地方自治体等有义务配合网络安全相关举措或提供相关情报,以加强日本政府与民间力量在网络安全领域联动协调能力,更好应对网络攻击。

5.俄罗斯2009年俄罗斯的信息安全政策文件中描述的关键部门,主要指科技、国防、通信、司法、应急响应部门等部门。2013年出台的《俄联邦关键网络基础设施安全》规定:对入侵交通、市政等国家关键部门信息系统的黑客最高可处以10年监禁。这事实上是将交通、政府等纳入国家关键网络基础设施。另外,俄罗斯政治研究中心网络安全问题专家奥列格•杰米多夫(OlegDemidov)指出,俄罗斯的信息安全战略更多强调在内容层面的管控,非常重视互联网信息传播对传统文化、公民德道和价值观带来的影响,而在基础设施层面,则几乎没有特别具体的描述,只是概括性地表示保护关键信息基础设施。归纳总结起来,俄罗斯政府部门明确或隐含界定的关键信息基础设施有7类,即科技、国防、通信、司法、应急响应部门、交通运输和政府部门。


二.对比分析

美国、德国、英国、俄罗斯和日本这5个国家基本上可以代表欧美亚三大经济体中,除我国之外互联网发展最为活跃的国家。下面我们就从界定行业和领域的角度来对这5个国家所规定的关键信息基础设施涵盖范围的异同点作一个横向对比和分析。

首先,如果不考虑某些行业领域的可能内涵十分丰富的问题,单就各国界定的关键信息基础设施数量来看(如下图所示),美国是最多的,达16类;德国次之,9类;接下来是日本8类,俄罗斯7类,英国5类。

0420-2.png
图注:五国划分关键信息基础设施类别数量对比

值得指出的是,英国对关键信息基础设施的定义方式与众不同,既不是某一类具体的企业或机构,也不是某一种具体的基础设施,而几乎是完全抽象的、概念化的界定基础设施。

除了英国以外,美、俄、德、日四国对于关键信息基础设施的界定方式比较接近。而从关键信息基础设施的界定范围看,美国、日本和德国也较为接近。政府部门、通信和交通运输最受关注,同时被美、俄、德、日四国圈定。而中、美、德三个国家共同圈定的领域有7个,分别是政府(政务)部门、通信、交通运输、能源、金融、水利、医疗卫生。此外,美国和俄罗斯均将应急响应与国防系统也圈定为关键信息基础设施,值得我国借鉴。而日本甚至把物流行业也纳入了关键信息基础设施的范畴,可谓独树一帜。

下图给出了美、俄、德、日四国界定的关键信息基础设施在行业分布方面的对比情况。由于英国的界定方式比较特殊和抽象,因此未在下图中列出。

0420-3.png

图注:四国界定的关键信息基础设施行业分布对比

三.总结

有研究表明,目前全球范围内已有数十个国家正在制定或已开始实施关键信息基础设施相关安全政策、法规和标准,深刻影响着国家安全、经济发展和社会生活的各个层面。美国已经形成系统的关键信息基础设施保护体制,且对实施方案不断进行完善,欧盟近年来也连续出台了多项政策加强对关键信息基础设施的保护。我国关键信息基础设施保护工作虽然起步相对较晚但起点却较高,作为《网络安全法》的重要内容,关键信息基础设施保护条例和相关国家标准的制定已在进行中。

注:本文部分内容引用和改编自360威胁情报中心《全球关键信息基础设施网络安全状况分析报告》

来源:freebuf.com 2020-04-20 09:43:54 by: Hillstone

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论