标准助力<br> 关键信息基础设施安全保障体系建设<br> 中国电子技术标准化研究院 杨建军<br> 关键信息基础设施安全直接关系到国家安全、国计民生和公共利益，关键信息基础设施的安全保护成为维护国家网络安全的重中之重。党的十八大以来，以习近平同志为核心的党中央高度重视网络安全工作，习近平总书记在“4·19”讲话中强调要加快构建关键信息基础设施安全保障体系。关键信息基础设施安全也是网络安全法的重要内容，网络安全法专门有一章节描述“关键信息基础设施的运行安全”总体要求，其中明确了关键信息基础设施的范围以及保障关键信息基础设施安全的技术和管理要求，是关键信息基础设施安全保障体系的法律基础。为进一步推动关键信息基础设施安全保障体系建设，2021年7月30日，《关键信息基础设施安全保护条例》（以下简称《条例》)正式出台。<br> 网络安全标准化工作是国家网络安全保障体系建设的重要内容，也是支撑网络安全法、《条例》等法律法规落地实施的重要抓手。网络安全法对关键信息基础设施的建设、运行或者服务以及关键信息基础设施运营者采购网络产品和服务等活动的标准化提出了明确要求。《条例》也明确要求，国家制定和完善关键信息基础设施安全标准，指导、规范关键信息基础设施安全保护工作。<br> 网络安全标准是保障国家关键信息基础设施的重要技术要素。从关键信息基础设施的识别认定、安全防护、检查评估、监测预警、应急处置等各个方面，都离不开标准的规范和引领。关键信息基础设施相关标准为各行业各领域关键信息基础设施识别提供指导，为提高运营者自身安全防护能力和水平提供技术支撑，为规范开展安全检查与评估提供标准依据，为统筹协调相关领域信息共享、监测预警、应急处置、考核评价等提供方法指引，为保障关键信息基础设施全生命周期安全提供标准化支撑。网络安全标准化工作为筑牢关键信息基础设施安全屏障，维护国家网络安全发挥越来越重要的作用。<br> 一、美欧等率先启动关键信息基础设施安全标准研制<br> 随着网络和信息化的快速发展，关键信息基础设施已成为各国的重要战略资源，对关键信息基础设施发动网络攻击成为敌对势力蓄意破坏国家安全和社会稳定的重要途径。为保障国家安全和社会稳定，美国、欧盟等积极制定出台关键信息基础设施安全法律法规，早在2014年就启动了包含关键信息基础设施的识别、安全保护框架、要求和评估规范等内容的标准化文件。<br> 2014年美国发布了《改善关键基础设施网络安全的框架》。该框架定义了一套应用于关键基础设施安全的风险管控流程。为支撑该框架的落地执行，美国能源部和国土安全部针对关键信息基础设施开发了网络安全能力成熟度模型（简称“C2M2模型”），用于指导运营者对其信息系统、工控系统等信息资产进行安全评估，并通过划分安全域的方式，分别从内部网络安全实践的实现情况（方法层面）和安全实践的制度化程度（管理层面）对组织安全能力进行评估。<br> 欧洲网络与信息安全局（ENISA）于2014年发布《识别关键信息基础设施服务和资产的方法论》，给出了识别关键信息基础设施中服务和资产的方法。随后，又先后发布了《保护关键信息基础设施的考量、分析和建议》《数字服务提供商实施最低安全控制措施技术指南》等技术指导文件，就关键信息基础设施领域开展公私合作、安全事件演练、风险评估、信息共享和建立控制措施等提出标准化建议。此外，ENISA还在互联网基础设施、工控系统、智能电网、金融、健康医疗、船舶等领域发布了相关安全规定。<br> 二、我国加快布局关键信息基础设施安全标准体系<br> 全国信息安全标准化技术委员会（以下简称“全国信安标委”）作为网络安全国家标准的统一技术归口组织，积极落实网络安全法、《条例》等法律法规要求，紧密围绕关键信息基础设施安全保障体系建设，推动了9项相关标准的研制工作，实现了标准“从无到有”的突破。<br> 《条例》从深入推进关键信息基础设施安全保护统筹协调机制、识别认定范围、加强安全防护指导与监督、保障安全防护重要环节、提升运营者安全能力等方面描述了关键信息基础设施安全保障体系的蓝图。全国信安标委在充分考虑我国关键信息基础设施安全特性的基础上，围绕安全保障体系建设各维度，从边界识别、保护要求、控制措施、保障指标、应急体系、检查评估以及供应链安全、数据安全、信息共享、监测预警等方面系统开展标准研制与标准试点工作，用标准筑牢关键信息基础设施安全保障体系建设的基础。<br> 其中，《信息安全技术 关键信息基础设施安全保护要求》站在运营者的角度，对开展安全保护工作提出了安全基本要求，为运营者落实安全主体责任提供依据；《信息安全技术 关键信息基础设施安全检查评估指南》提出了对关键信息基础设施安全检查评估的流程和指标；《信息安全技术 关键信息基础设施安全控制措施》《信息安全技术 关键信息基础设施安全防护能力评价方法》《信息安全技术 关键信息基础设施信息技术产品供应链安全要求》等标准提出了运营者加强安全保护的措施手段，为有效开展自身安全能力建设、提高安全防护水平提供了全方位、系统化、层次化的标准化指导。此外，《信息安全技术 网络安全事件应急演练指南》《信息安全技术 网络安全信息共享指南》《信息安全技术 网络安全态势感知通用技术要求》等关键信息基础设施支撑标准为建立各行业间信息共享和应急演练协同机制提供了重要技术基础。<br> 同时，全国信安标委积极发挥标准化价值，积极探索关键信息基础设施安全保护工作实践新模式，选取金融、能源、交通、电信、卫生健康等行业20余家关键信息基础设施运营者联合开展标准试点，对标准技术条款的可行性、合理性、完备性和科学性进行综合验证，有效提高了标准质量，初步摸清了相关行业的安全防护底数。<br> 三、开创新形势下关键信息基础设施安全标准化新成果<br> 当今世界正经历百年未有之大变局，不稳定不确定因素日益增多、国际格局复杂多变，网络安全标准化工作应坚持以总体国家安全观为指引，立足新发展阶段，不断适应新兴技术发展趋势，以支撑国家关键信息基础设施安全保护等网络安全工作为重点，持续创新一批标准化工作新成果，为全面构建关键信息基础设施安全保障体系提供标准化支撑。<br> 一是持续增强标准化顶层设计。关键信息基础设施安全标准化工作应充分结合行业和领域需求，重点围绕网络安全法、数据安全法、关键信息基础设施安全保护条例等法律法规要求的落地实施，以整体提高关键信息基础设施运营者安全保护能力为主要目标，充分借鉴国际先进标准研制成果，加快推动监测预警、态势感知、信息共享等重点领域标准研制。<br> 二是筑牢新型基础设施标准根基。“新基建”是数字产业化、产业数字化深度融合的产物，相关重要行业的“新基建”作为关键信息基础设施重要组成，应严格落实网络安全“三同步”原则。网络安全标准化工作既要充分考虑“新基建”新型安全风险，又要与已有网络安全标准做好配套衔接。以事件管理、信息共享、应急响应、供应链安全标准等为支撑，以安全管理、安全技术、安全测评标准等为补充，重点针对“新基建”中新技术新应用提出标准化要求，奠定新型基础设施建设标准基石，共同支撑各行业各领域关键信息基础设施安全保障工作。<br> 三是营造标准化工作良性生态。关键信息基础设施安全保障体系的构建需要压实运营者的主体责任，还需要与产、学、研单位的通力协作。新形势下网络安全标准化工作要鼓励更多的网络安全企业、高校、科研院所等参与到关键信息基础设施安全标准化工作中，打通技术、产业、学术等环节形成标准化合力，深入推动金融、能源、电信、交通、水利、卫生健康、国防科技工业等重要行业和领域关键信息基础设施的标准试点工作，促进标准研制与行业实施紧密互动，全链条提升标准应用价值与实施效果，营造共筑网络安全防线的良性生态。