关键信息基础设施

1、关键信息基础设施一、简单介绍目前，国家关键信息基础设施已经被视为国家的 重要战略资源，以立法形式保护关键基础设施和关键 信息基础设施的安全，已经成为当今世界各国网络空 间安全制度建设的核心容和基本实践。开展在针对国 家关键信息基础设施开展的研究中，首当其冲的理清 关键基础设施（CI）和关键信息基础设施（CII）的关 系问题。在对CII的研究中发现，国际社会虽然对CI 有着基本的共识，但对CII的认知存在较大的分歧。 近十年来，随着信息通信技术的进一步发展，越来越 多的基础设施接入互联网，CII涵盖的围也随之不断 扩大。二、关键基础设施相关概念国际社会上，国家关键基础设施（CI）的概念由 来已久

2、，这些设施的关键性在于关系国计民生，为社 会提供不可缺少的产品和服务。1.国际社会CI相关概念美国2001年爱国者法案认为，CI是指关系 到美国生死存亡的，无论是物理还是虚拟的系统和资 产，这些系统和资产的功能丧失或遭到破坏，会对国 家安全、经济稳定、国家公众健康与安全或这些要素 的任何结合产生严重影响。欧洲委员会于2004年10月20日发布的通告 打击恐怖主义活动，加强CI保护中针对CI作出 了定义，明确CI是指如果被破坏或摧毁，会对公民的 健康、安全、稳定或经济福祉或成员国政府的有效运 转造成严重影响的物理和信息技术设施、网络、服务 和资产。CI横跨经济的诸多部门和重要政府服务。德国的CI

3、保护的主要理念是政府和社会在总 体上严重依赖基础设施的安全运转，在基础设施中， 凡是其故障会导致供应短缺或给大部分人口造成灾难 性后果的元素都被定义为关键的。德国在其信息基 础设施保护国家计划中对信息基础设施的定义为： 给定基础设施中IT部分的总和。荷兰明确规定，对于社会不可或缺的，其损坏 速度造成全国性紧急状态，或者会在更长时间对社会 产生不良影响的基础设施，为CI。英国将关键国家基础设施（CNI）界定为由不 间断向国家提供基本服务来说不可或缺的关键元素组 成的国家基础设施。没有这些元素，就不能提供基本 服务，英国将遭受严重的经济损害、巨大的社会破坏 乃至严重的生命威胁。2.国际社会CII相

4、关概念美国在其2009年国家基础设施保护计划(2009NIPP)中也定义了国家关键信息基础设施：电 子的信息和通信系统以及这些系统中的信息，其息和 通信系统由对各类型数据进行处理、储存和通信的软 硬件所组成，其包括计算机信息系统、控制系统和网 络。国家信息基础设施一词是在1993年9月15日 美国政府发表的国家信息基础设施行动动议(The National Information Infrastructure :Agenda for Action )这一文件中正式出现的，它的英文原词是 National Information Infrastructure，缩写为 NII。 与此同时，还出现了

5、 NII的同义词-信息高速公路。 美国这次提出NII是一个高水准的目标，它要求在全 美建成通达全国各地的信息高速公路，也即一个由通 信网、计算机、信息资源、用户信息设备与人构成互 联互通、无所不在的信息网络，通过它，为每个人及 他(她)所用的信息设备提供接入NII的能力，将人、 家庭、学校、图书馆、医院、政府与企业一一关联起 来。澳大利亚，国家关键信息基础设施被称为国家信息 基础设施，是国家关键信息基础设施1的一个分支， 是由国家围的电信网络、计算机、数据库和电子系统 组成，包括互联网、公共交换网、公私有网络、有线 和无线，以及卫星通信。同时，国家信息基础设施包 括驻留在网络和系统中的信息、应

6、用和软件。根据国际电信联盟的定义国家关键信息基础设施 是指支撑物理国家关键信息基础设施的信息系统。3.国相关概念分析a、我国相关概念基础重大基础设施：“国务院办公厅关于开展重大基 础设施安全隐患排查工作的通知国办发200758 号”中使用了 “重大基础设施”的概念，并列举了公 路、铁路、水运交通设施、大型水利设施、大型煤矿、 重要电力设施、石油天然气设施、城市基础设施等九 种类别，但该定义过于偏重物理设施，涵盖围较窄， 可以作为关键业务梳理时的参考依据。重点领域网络与信息系统：2012年重点领域网 络与信息安全检查总结报告中指出，各重点领域共 有XXXXX余个“重要网络与信息系统”，其中的调查

7、报 告则初步列举了我国XXX个关系国家安全、经济秩序 正常运行和社会稳定的“关键网络与信息系统”。初步 划定了我国信息安全保障的重点。基础信息资源：国务院关于大力推进信息化发展 和切实保障信息安全的若干意见国发201223号 文中提到，应强化信息资源和个人信息保护。加强地 理、人口、法人、统计等基础信息资源的保护和管理， 保障信息系统互联互通和部门间信息资源共享安全。 明确敏感信息保护要求，强化企业、机构在网络经济 活动中保护用户数据和国家基础数据的责任，严格规 企业、机构在我国境收集数据的行为。国家重要信息系统：2013年公安部发布了 “关于 开展国家重要信息系统调查工作的函”，对四级信息系

8、 统，以及第三级信息系统中跨省全国联网的大系统， 对本行业、本部门重要业务起到关键支撑性作用或面 向公众提供大围服务（不包括政府）的信息系统，以 及涉及国家安全、经济命脉、社会稳定和公共利益的 极端重要系统，进行调查，并在2013年6月前上报。 该调查围主要为三级、四级的等级对象。关键信息基础设施：2014年2月27日召开的中 央网络安全和信息化领导小组第一次会议中提到，建 设网络强国，要有良好的信息基础设施，形成势力雄 厚的信息经济，要完善关键信息基础设施保护等法律 法规等。重点领域：指政府、以及银行、证券、保险、电 力、石油天然气、石化、煤炭、铁路、民航、公路、 广播电视、国防军工、医疗卫

9、生、教育、水利、环境 保护等行业，城市轨道交通、供水供气供热等市政领 域。基础设施是通指为社会生产和居民生活提供公共 服务的物质工程设施，是用于保证国家或地区社会经 济活动正常进行的公共服务系统。它是社会赖以生存 发展的一般物质条件。“基础设施”不仅包括公路、铁 路、机场、通讯、水电煤气等公共设施，即俗称的基 础建设4.关键信息基础设施概念共识早期，信息基础设施通常被理解为电信网络和广 播电视网络。是保障信息通信的金融、国家机关等国 家重要领域基础设施正常运作的信息网络。也有观点 认为信息基础设施就是支撑信息技术研发、应用的基 础平台，如电子签名认证PKI中心、电子数据鉴定中 心、网络安全测评

10、与认证中心、网络安全应急中心、 国家漏洞库等。还有的观点认为在信息基础设施中起 核心支撑作用的信息系统即为国家关键信息基础设 施。甚至认为关键的操作系统、数据库也应该列入国 家关键信息基础设施中。三、关键信息基础设施关键性的思考关键信息基础设施为国家正常运转提供必需的产 品和服务：关键信息基础设施承载或支撑部门行业关键 核心业务，即支撑部门行使职能，行业正常运转， 对于部门或行业稳定运行具有战略性作用。国家正 常运转所依赖的是产品、服务的不间断可靠供给， 而非某个具体的设施。因此，我们要保护的目标不 是静态的基础设施，而是关键信息基础设施在社会 上担任的角色和发挥的功能，所体现出来的核心价 值

11、。当所提供的产品和服务对于国家正常运转来说 是可广泛替代的、或者不重要时，该设施将不再是 关键的。虽然设施相对于服务和产品较易把握和掌 控，但设施的关键性考虑不能脱离其支撑业务的关 键性考虑。关键信息基础设施是结构体系中被强依赖的关键 节点：关键信息基础设施所承载业务对其他部门或 行业核心业务有较大关联性影响。某个基础设施或 其某个组件之所以关键是由其在整个基础设施系 统中的结构性地位决定的，尤其是当其在其他基础 设施或部门之间起着连接渠道的作用时，在结构体 系中表现为被强依赖的关键节点。通常关键信息基 础设施作为个体，可以应对分散的故障，对于随机 故障或局部故障有较强的恢复力，但是在针对关键 节点的，系统性的，重复性的攻击面前异常脆弱。 对这类关键信息基础设施的攻击会造成直接的和 间接的后果。所产生的破坏通过关联的行业、领域 逐渐传递，会造成连锁连片的严重后果。存储或传输的信息数据大量集中或极其敏感：传统金融、地理、人口等信息的关键性毋庸置疑， 而随着新业务新应用的不断涌现，大规模商业数据交 易平台等的数据资源，大数据、云计算、移动互联网 等聚集