声明
本文是学习360 全球关键信息基础设施网络安全分析报告. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
导 语
关键基础设施的网络安全威胁已成为全球各个国家网络空 间最为关注的课题之一。各个国家纷纷出台保护关键信息基础设 施的政策和战略,通过研究美国、德国、英国、俄罗斯以及中国 的相关政策,可以发现不同国家对关键信息基础设施的理解和界 定,各不相同,但重点保护、全力保障关键信息基础设施安全的 目标是一致的。通过大量公开资料及报道,我们发现全球关键信 息基础设施已经或正在遭遇大量来外部、内部的网络攻击,或者 因存在管理漏洞等问题而埋下诸多潜在隐患。本报告以金融、能 源、通信、工业系统、教育、交通、医疗卫生等关键领域为例, 给出这些关键信息基础设施遭遇安全攻击的实际案例,并简要分 析,以期对我国关键信息基础设施防御与保护工作提供借鉴参考。
第一章 各国对关键信息基础设施的界定
关键信息基础设施关系国计民生,也是各国网络安全保障的首要目标。不过,世界各国的经济发展水平不同,网络状况、网络经济发展程度存在差异,因此各国对关键信息基础设施的定义和界定也存在很大的不同,侧重保护的重点领域也不尽相同。例如美国政府规定了 16 类关键基础设施,从民用领域到军事领域,
涵盖非常广泛。而德国在联邦政府层面划定了 9 类关键基础设施, 和美国相比,德国更加聚焦民生领域,而且增加了传媒与文化领 域。本章将主要就中国、美国、俄罗斯、德国、英国这 5 个国家的政府部门对关键信息基础设施界定异同进行比较。以此来了解 世界各国在关键信息基础设施保护方面的政策特点。
特别说明,世界各国对于某些关键信息基础设施的命名方法和职能限定有一定区别,比如,同样是应急响应部门,有的国家称之为应急服务,而有的国家则称之为灾害响应。出于横向对比方便的考虑,在本报告中,我们尽可能的对各国职能类似的基础设施采用相同的翻译名称。其中某些细微之处可能存在偏差。
一、 中国
《中华人民共和国网络安全法》中给出了关键信息基础设施的大致范围,可分为七类:公共通信和信息服务、能源、交通、水利、金融、公共服务(水、电、食品、卫生)、电子政务。
而《网络空间安全战略》中的规定的关键信息基础设施包括: 1 张基础网络、11 个重要信息系统和 1 类重要互联网应用系统,
共 13 项,具体包括:
1、提供公共通信,广播电视传输等服务的基础信息网络;2、能源;3、金融;4、交通;5、教育;6、科研;7、水利;8、工业制造;9、医疗卫生;10、社会保障;11、公用事业;12、国
家机关;13、重要互联网应用系统。
二、 美国
奥巴马政府将以下 16 个领域纳入为关键基础设施保护对象。
并出台一系列政府文件和总统行政指令加以优先保护。这 16 个领域具体包括:
1、化学工业;2、商业设施、3、通信;4、关键制造;5、水利;6、国防;7、应急响应部门;8、能源;9、金融;10、食品和农业;11、政府部门;12、医疗卫生;13、信息技术;14、核设施;15、交通运输;16、供水及污水处理系统。
三、 俄罗斯
2009 年俄罗斯的信息安全政策文件中描述的关键部门,主要指科技、国防、通信、司法、应急响应部门等。
2013 年的出台的《俄联邦关键网络基础设施安全》规定: 对入侵交通、市政等国家关键部门信息系统的黑客最高可处以
10 年监禁。这事实上是将交通、政府等纳入国家关键网络基础设施。
另外,俄罗斯政治研究中心网络安全问题专家奥列格•杰米多夫(Oleg Demidov)指出,俄罗斯的信息安全战略更多强调在
内容层面的管控,非常重视互联网信息传播对传统文化、公民德道和价值观带来的影响,而在基础设施层面,则几乎没有特别具体的描述,只是概括性地表示保护关键信息基础设施。
总结起来,俄罗斯政府部门明确或隐含界定的关键信息基础设施有 7 类:
1、科技;2、国防;3、通信;4、司法;5、应急响应部门;
6、交通运输;7、政府部门。
四、 德国
德国网络空间战略(2011 年)中指出,关键基础设施是指各类非常重要的公共物资或资源相关的组织或机构,他们一旦遭到攻击或破坏,将导致供应紧缺或中断,严重危害公共安全利益, 或者其他严重影响。
德国在联邦层面把关键基础设施定义为以下 9 种:
1、能源;2、信息技术与通信;3、交通;4、医疗卫生;5、水利;6、食品;7、金融;8、政府部门;9、传媒与文化。
五、 英国
2016 年英国公布的国家网络安全战略(2016-2021)中对 CNI
(关键国家基础设施)做了界定,主要包括以下 5 个方面:
1、重要企业:已取得极大成功且在研发或知识产权具备很强优势的企业;
2、个人信息数据拥有者:不仅包括大规模数据的拥有者, 还包括一些弱势群体信息数据的所有者;
3、高威胁目标:如媒体;
4、顶级数字经济提供商:数字经济的试金石;
5、保险、投资、监管、专业咨询组织等:对改善网络经济领域网络安全状况有影响的组织机构。
英国对关键国家基础设施(CNI)的界定方法,打破了美国一直以来按照行业特征和部门属性划分关键信息基础设施的常规,从数字经济影响力、数据资源特性等维度,将英国关键基础设施划分为五类。特别值得注意的是,英国甚至把某些专业咨询组织或机构也纳入 CNI 的范围,前提为其对整个经济领域改善网
络安全状况有一定影响。
六、 五国对比
中国、美国、俄罗斯、德国、英国这 5 个国家基本上可以代表欧美亚三大经济体中,互联网发展最为活跃的国家。下面我们就从界定领域的角度来横向对比一下这五个国家对于关键信息基础设施政策的异同。
首先,如果不考虑某些领域的界定可能内涵十分丰富的问题, 单就各国界定的关键信息基础设施数量来看:美国最多,16 类; 中国次之,13 类;接下来是德国 9 类,俄罗斯 7 类,英国 5 类。
| 国家 | 中国 | 美国 | 俄罗斯 | 德国 | 英国 |
|---|---|---|---|---|---|
| CII 类别数量 | 13 | 16 | 7 | 9 | 5 |
五国划分的关键基础设施(CII)类别数量
值得指出的是,英国对关键信息基础设施的定义方式与众不同,既不是某一类具体的企业或机构,也不是某一种具体的基础设施,而几乎是完全抽象的、概念化的界定基础设施。
除了英国以外,中、美、俄、德四国对于关键信息基础设施的界定方式比较接近。而从关键信息基础设施的界定范围看,中国、美国和德国也极为接近。政府部门、通信和交通运输最受关注,同时被中、美、俄、德四国圈定。而中、美、德三个国家共同圈定的领域有 7 个,分别是政府部门、通信、交通运输、能源、金融、水利、医疗卫生。此外,美国和俄罗斯均将应急响应(如抗洪办)与国防系统也圈定为关键信息基础设施,值得我国借鉴。
下表给出了中、美、俄、德四国界定的关键信息基础设施对比情况。由于英国的界定方式比较特殊,未在下表中列出。
| 基础设施 | 中国 | 美国 | 俄罗斯 | 德国 |
|---|---|---|---|---|
| 政府部门 | | | | |
| 通信 | | | | |
| 交通运输 | | | | |
| 能源 | | | | |
| 金融 | | | | |
| 水利 | | | | |
| 医疗卫生 | | | | |
| 公用事业/服务 | | | ||
| 工业制造 | | | ||
| 科技/科研 | | | ||
| 食品和农业 | | | ||
| 应急响应 | | | ||
| 国防 | | | ||
| 教育 | | |||
| 社会保障 | | |||
| 重要互联网应用 | | |||
| 化学工业 | | |||
| 商业设施 | | |||
| 信息技术 | | |||
| 核设施 | | |||
| 司法 | | |||
| 传媒与文化 | |
中美俄德四国界定的关键信息基础设施对比
延伸阅读
更多内容 可以 360 全球关键信息基础设施网络安全分析报告. 进一步学习
扫一扫
1958
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
