北京大学洪延青:以风险管理思想统筹设计关键信息基础设施保护工作

来源:中国信息安全   作者:洪延青   时间:2017-08-30

    习总书记在2016年网络安全和信息化工作座谈会上指出,“关键信息基础设施是经济社会运行的神经中枢,是网络安全的重中之重,也是可能遭到重点攻击的目标”。因此,关键信息基础设施的安全保护制度与适用于一般网络运营者的保护制度相比,理应有新的思路和要求,否则如何贯彻和落实总书记关于“采取有效措施,切实做好国家关键信息基础设施安全防护”的重要指示和要求。

    在笔者看来,中央网信办日前发布的《关键信息基础设施安全保护条例(征求意见稿)》(以下简称“《条例》”)对这个“新的思路和要求”给出了清晰的回答——即以风险管理的思想对关键信息基础设施保护工作给予了全面、科学、先进的统筹设计。以下从四个方面分别论述。

一、关键信息基础设施保护的逻辑起点是资产的重要性

   有效、完整地识别关键信息基础设施,是关键信息基础设施保护制度的逻辑起点。对此,《条例》第18条延续《网络安全法》的规定,采用了“资产重要性”作为判断关键信息基础设施的标准,即“一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围”。

   这样的判断标准,符合国际通行惯例。以新近的域外立法为例,2015年7月25日正式生效的德国“网络安全法”(IT Security Act)将关键基础设施定义为,“对公众至关重要”且一旦“崩溃或受损”,将导致“对大量用户造成显著的供应短缺”的设施。为进一步识别关键基础设施的范围,德国内政部分别于2016年5月和2017年6月颁布法令,划定了能源、信息技术和通信、水和食品、健康、金融和保险、运输和交通等行业和领域的关键基础设施范围。上述两项法令仍然以“资产重要性”作为判断的标准:即首先分行业、领域确定关键业务;其次,识别对关键业务来说必需的支撑设施类型;再次:法令按照行业、领域就关键业务和支撑设施类型设定临界值(threshold values),高于临界值的关键业务和支撑设施就划入关键基础设施的范围。例如,对临床医疗领域,临界值是每年接受的住院病人数量。

   日前,新加坡公布了其《网络安全法案(草案)》。在该法案中,关键信息基础设施被定义为“支撑国家所依赖的基础服务(essential services)的持续供给所必要的计算机或计算机系统”,其中,基础服务是指“一旦丧失或受损,即会对国家安全、国防、外交关系、经济、公共健康、公共安全或者公共秩序造成严重削弱”的服务。可见,新加坡同样遵循了“资产重要性”这个识别标准。

   既然关键信息基础设施对国家、社会、民众如此重要,对其的保护等级显然应该更高。从此角度来看,等保制度非常契合,因为其显著特征即是根据“资产的重要性”来划分等级,并根据等级要求运营者建立相匹配的安全保护能力。也正因为如此,《网络安全法》和《条例》共同规定,关键信息基础设施的保护应以网络安全等级保护制度为基础。

   但与此同时,《网络安全法》和《条例》还规定了应当“在网络安全等级保护制度的基础上,实行重点保护”。如何理解所谓的“重点保护”,构成了本文余下部分的主要内容。

二、对关键信息基础设施的重点保护需要通过风险管理来统筹

   事实上,在“4·19”讲话中,习总书记针对风险管理对关键信息基础设施保护的重要意义做出了非常系统的论述。通过风险管理来统筹对关键信息基础设施的各方面保护工作,正是对其实行“重点保护”的最主要内容之一。

   一套完整的风险管理流程,大致由四个步骤组成:第一是识别风险;第二是评估风险;第三是应对风险;第四步是持续不断地监控环境和风险的变化。这四个步骤构成反馈循环(feedback loop)以不断提升组织管理风险的水平。

   首先,识别风险、评估风险,对网络安全工作,乃至于关键信息基础设施的保护,具有先导性的意义。习总书记指出,“知己知彼,才能百战不殆”;“维护网络安全,首先要知道风险在哪里,是什么样的风险,什么时候发生风险”;“没有意识到风险是最大的风险”,无法识别风险的后果只能是“谁进来了不知道、是敌是友不知道、干了什么不知道”。

   其次,风险有内部风险、外部风险的区分。按照习总书记的话来说,识别、评估内部风险,能够“摸清家底”、“找出漏洞”、“通报结果”、“督促整改”。识别、认识外部风险,能让我们知道什么时候“人家用的是飞机大炮,我们这里还用大刀长矛”。

   再次,风险管理对网络安全工作的统筹安排、资源分配具有全局性、基础性的指导意义。习总书记指出,“网络安全是相对的而不是绝对的。没有绝对安全,要立足基本国情保安全,避免不计成本追求绝对安全,那样不仅会背上沉重负担,甚至可能顾此失彼”。因此,在资源约束下,如何判断轻重缓急,如何做到科学高效地分配网络安全力量,风险管理是最好的指南。习总书记说,通过识别和评估风险,我们才能“有本清清楚楚的账”——即“哪些方面要重兵把守、严防死守,哪些方面由地方政府保障、适度防范,哪些方面由市场力量防护”。

   实际上,风险管理不仅是网络安全,更是整个国家安全工作的基本指导之一。《国家安全法》在第四章“国家安全制度”中专门用两节的篇幅(“情报信息”和“风险预防、评估和预警”)来对国家安全的风险管理做出详细规定。

   如果用一句话来总结,坚持风险管理的思想,能够在关键信息基础设施保护工作中超越“所保护的资产重要性”单一的判定维度,超越根据等级建设“底线式、静态式”安全能力的合规思路,实现有效掌握“攻防两端能力”对比变化,科学高效分配有限的安全资源和力量,进而在动态对抗博弈中赢得主动,达到实质性的安全效果。

三、《条例》中以风险管理为统筹的具体设计体现

   《条例》中贯彻风险管理的思想主要体现在以下几个方面。

   一是《条例》落实了习总书记要求建立的“全天候全方位网络安全态势感知体系”。第六章“监测预警、应急处置和检测评估”的第36、37条分别要求国家网信部门、国家行业主管或监管部门分别建立国家层面、行业和领域层面的监测预警体系和信息通报制度,及时开展网络安全信息的汇总、分析研判和通报工作。此外,第38条还要求国家网信部门统筹协调建立政府、企业、研究机构之间的网络安全信息共享机制。《条例》通过建立横跨公私部门、层次丰富、纵横交错的网络安全信息共享网络,最终达到综合运用各方面掌握的数据资源,更好感知网络安全风险态势的效果。

   二是《条例》第40条要求国家行业主管部门或监管部门定期组织对本行业、本领域关键信息基础设施的安全风险以及运营者履行安全保护义务的情况,进行抽查检测。与以往“合规打勾式”的安全抽查、检测有本质不同的是,行业主管部门或监管部门在日常工作中不仅掌握了本行业、本领域的网络安全风险态势,还通过国家网信部门建立的监测预警体系掌握了全国范围内的网络安全风险,因此在安全抽查和检测中,必定能有效地指导、督促运营者及时发现问题,并提出与当前风险态势相称的安全防护措施。因此,通过主管或监管部门定期的抽查检测,对风险的感知能够具体化为实际的、与外界情况变化相匹配的安全防护要求,进而落到实处。

   三是《条例》第39条规定了国家网信部门指导协调有关部门组织跨行业、跨地域的网络安全应急演练,同时行业主管或监管部门定期组织演练,以提升本行业、本领域的网络安全事件应对和灾难恢复能力。同上,在全面掌握时刻变化的风险态势基础上开展的应急演练,无疑能够最大程度上避免“拍脑袋”的情况,使得演练具有直接的针对性、时效性。

   综合这三方面来看,《条例》将在全国范围内针对关键信息基础设施建立立体、交叉的网络安全态势感知体系,并通过政府部门的抽查、检测、演练等动作,将对风险的实时感知和分析转变为动态、有针对性的安全防护要求。从这个方面来看,《条例》第23、24条规定的关键信息基础设施运营者的安全保护义务,应从风险管理的角度加以理解,而且根据风险态势的变化适时调整安全防护策略,应是关键信息基础设施运营者安全保护义务的题中之义。

   而且通过《条例》的上述制度安排,政府部门对风险的感知能够在识别风险和评估风险环节,就及时注入关键信息基础设施运营者自行开展的风险管理中,不仅能够避免运营者“只见树木不见森林”,还能有效避免运营者为发展业务,故意选择性地忽视面临的风险。

四、风险管理的理念与国际实践接轨

   通过风险管理来统筹对关键信息基础设施的安全保护工作,实际上也是美国、欧盟等国家和区域最新的网络安全立法、政策、标准的核心理念。

   美国前总统奥巴马于2013年颁布的行政令13636号《提升关键基础设施的网络安全》(“Improving Critical Infrastructure Cybersecurity”)明确要求美国国家标准与技术研究院(NIST)制定以风险管理为基础的“网络安全框架”(Cybersecurity Framework)作为保护美国关键基础设施的核心措施之一。目前,NIST制定的“网络安全框架”得到了美国多个监管部门的青睐,例如美国证监会、美国联邦贸易委员会、国土安全部、能源部等均向其监管对象推荐以风险管理为核心的“网络安全框架”。

   在欧盟,于2016年通过的专门针对“基础性”的网络和信息系统的《网络和信息安全指令》(NIS Directive)就提倡建立一种“风险管理文化”:“基础性”网络和信息系统的运营者应开展风险评估,并采取与所面临风险“相称”(appropriate to)或“成比例”(proportionate to)的安全措施。同样于2016年通过的《通用数据保护条例》(GDPR)第32条规定了个人信息控制者的安全保护义务:在考虑所持有的“数据的本质属性”、最先进的安全保护措施以及实施成本的前提下,个人信息控制者应采取与其面临的安全风险相称的技术和管理措施。

   事实上,已有不少专家学者指出,虽然美国和欧盟在法律体系上存在显著差异,但是应对网络安全问题的路径(approaches)正在逐渐趋同,即均以风险管理为核心,敦促运营者时刻根据不断变化的网络风险来调整所采取的安全防护措施。

   正如2016年12月美国前总统奥巴马成立的美国网络安全促进委员会的报告所指出:全球的各个网络物理系统(cyber and physical systems)正日益变得趋同、相互连接、相互依赖、超越国界,这就意味着网络安全需要在包括国际、国家、组织、个人等各个层次中协调实现。近来爆发的Wannacry、NotPetya病毒即是最好的例证。而随着《条例》将风险管理确立为统筹关键信息基础设施保护的指针,中、美、欧在关键信息基础设施保护方面开展国际合作具备了共同的语言和共同的基础。

   总之,关键信息基础设施保护是在网络安全等级保护制度的基础上,实行重点保护。其不仅对关键信息基础设施运营者提出了新的安全保护义务,更重要的是要求国家网信部门、主管或监管部门主动掌握安全风险态势,并以此引领具体保护工作。关键信息基础设施保护旨在形成以风险管理为核心、多方联动、可持续提升的安全保障体系,以更好地应对网络空间日益严峻的安全形势,切实保障国家安全、国计民生和公共利益。



主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919