由于攻易防难,资源有限,人们在信息安全保障工作中,需要突出重点,抓住关键,保护要害。因此,什么是保护的重点对象,就成为信息安全保障工作中必须首要明确的重大问题。早在 1996年7月,美国总统就组织成立了关键基础设施保护总统委员会(PCCIP),并责成其 于 1997年10月13日,向总统提交了“保护美国基础设施”的报告。 自此,“关键基础设施保护(CIP)”、“关键信息基础设施保护(CIIP)” 成为世界上发达国家和重要地区信息安全保障战略决策和技术、管理、研究和践行的热点。
自20世纪90年代以来,美国发布了近50个、六大类网络空间安全国家战略和计划,涵盖关键基础设施保护政策、网络空间安全国际战略、网络空间安全研发战略、网络空间安全教育计划、网络空间安全情报战略以及网络空间安全综合战略等,形成了领域全、内容深、措施准的网络空间安全战略体系。
现在推荐给大家是一本由欧洲专家亚历山德罗·拉扎里撰写的关于关键基础设施保护(CIP)的专著。亚历山德罗·拉扎里综合了欧美的相关研究,特别从欧洲的视野论述了对关键基础设施保护的意识、认识、共识,展现了这个大陆对关键基础设施保护的战略决策、技术措施和管理治理的思想脉络。
他们意识到:中断或毁坏将至少给两个成员国造成重大影响的基础设施应该是欧洲的关键基础设施“ECI“”;欧盟成员国对于欧盟发布的《关键基础设施保护指令114/08》的模糊理解和缺乏共识影响着对ECI的安全保障。他们认识到:风险管理和决策是应对关键基础设施保护全新挑战的核心指导思想;制定“标准和方法”以开展防风险活动、管控危险过程或者避免工伤事故,已经成为各个国际及国内组织的核心任务之一;提升态势感知能力、关注危机管理、合理分配反恐、抗风险、维护物理/逻辑安全措施是保障安全的必要环节。
他们提出了《新的欧洲关键基础设施保护计划(2013—2020)》,新计划的原则涵盖了预防、准备和反应等重要话题;认为随着资产更加复杂、更加互相依赖。我们要深刻理解由此产生的未来风险的对策,进一步开发信息共享的程序,组织合作演习,以此作为关键基础设施领域内安全专家的额外训练。作者指出,在大多数情况下,人为因素都已被定义为安全链中最薄弱的环节,因此特别呼吁“解决之道在于人本身,而非技术”。
作者认为,在人类发展过程中的下一个“可预知”阶段,信息技术安全性仍将是关键基础设施“病灶”的深层原因。作者还预感“信息和通信技术被少数‘全球公司’垄断,结果是协议、操作系统和硬件的标准化,这就使我们可以感知到全球性‘网络崩溃’的危险。如果‘更新机制’的‘程序错误’导致不自觉,或受引诱发布了‘合法的恶意代码’, 进而持续引发某种全球性的关键服务(如通信、能源分配、水坝控制、 机场设备等)突然‘瘫痪’,全球‘网络崩溃’便有可能发生了”。从中可依稀看到作者对垄断和霸权的忧虑。
我们国家信息化发展高潮迭起,速度惊人。技术融合、业务融合、数据融合,实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务的局面开始显现。
信息安全保障受到党和国家领导的高度重视。习近平总书记多次就网络信息安全作出深刻论述。他指出:“没有网络安全就没有国家安全,没有信息化就没有现代化。”“网络安全为人民,网络安全靠人民。”他要求“大力发展核心技术,加强关键信息基础设施安全保障,完善网络治理体系。要紧紧牵住核心技术自主创新这个‘牛鼻子’,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系”。 他提出“网络主权原则正是建立全球网络安全体系的重要原则,也是解决国际网络安全问题的突破口”,“加快提升我国对网络空间的国际话语权和规则制定权,朝着建设网络强国目标不懈努力”。我国还成立了国家网络安全和信息化领导小组,下设了网信办。网络安全法已经发布。各级组织、各行各业都在努力贯彻落实网络信息安全的各项战略决策、 政策法规和技术标准。
我国的信息安全保障工作,是以重要信息系统和基础信息网络作为保护重点开展起来的。信息系统安全等级保护是我国确定的网络信息安全保护的基本制度。“等保”制度的内涵和外延正在完善深化,“等保”将进入2.0时代。重点关注关键信息基础设施的安全保障,将风险评估、安全监测、通报预警、事件调查、数据保护、灾难备份、应急处置、供应链安全、效果评价、综治考核全面纳入等保制度并加以实施的任务摆在我们面前。这需要我们认真总结过去的实践经验,更深入地思考未来,更虚心地学习和借鉴他人的智慧和经验,更务实地自力更生突破技术难关。
(作者赵战生系网信安全领域的著名专家)