縱覽各國關鍵資訊基礎設施配套網絡安全法規建設

《網絡安全法》建立了關鍵資訊基礎設施安全保護制度，其中第三章近三分之一的内容用來規範網絡運作安全，法令從國家、行業、營運者三個層面，分别規定了國家職能部門、行業主管部門及營運企業等各相關方在關鍵資訊基礎設施安全保護方面的責任與義務。明确關鍵資訊基礎設施的營運者負有更多的安全保護義務，并配以國家安全審查、重要資料強制本地存儲等法律措施，確定關鍵資訊基礎設施的運作安全。

同時，《網絡安全法》第三十一條明确表示， 鼓勵關鍵資訊基礎設施以外的網絡營運者自願參與關鍵資訊基礎設施保護體系。

此外，《網絡安全法》還規定：境外的個人或者組織從事攻擊、侵入、幹擾、破壞等危害中華人民共和國關鍵資訊基礎設施的活動，造成嚴重後果的，依法追求法律責任。

萬事俱備，什麼樣的資訊基礎設施屬于“關鍵”範疇，哪些企業屬于關鍵資訊基礎設施營運者?目前尚未出台配套規定。

國家網信辦網絡安全協調局負責人趙澤良表示，縱觀各國情況，具體明确關鍵資訊基礎設施相當複雜，是一個在實踐中不斷完善、不斷調整的過程。目前國家網信辦正會同有關部門抓緊研究制定相關指導性檔案和标準，指導相關行業領域明确關鍵資訊基礎設施的具體範圍。

據了解，關鍵資訊基礎設施保護辦法有望近期公開征求意見。

為什麼關鍵資訊基礎設施保護工作如此重要?

關鍵資訊基礎設施：指的是那些一旦遭到破壞、喪失功能或者資料洩露，可能嚴重危害國家安全、國計民生、公共利益的系統和設施。網絡運作安全是網絡安全的重心，關鍵資訊基礎設施安全則是重中之重，與國家安全和社會公共利益息息相關。

e安全為大家舉個例子：

面向公衆提供網絡資訊服務或支撐能源、通信、金融、交通、公用事業等重要行業運作的資訊系統或工業控制系統，他們都是關鍵資訊基礎設施。這些系統一旦發生網絡安全事故，可能影響重要行業正常運作，嚴重危害國計民生、公共利益和國家安全。

随着網絡技術與各個行業的互動越來越多，目前網絡技術幾乎可以覆寫人類生活的各個直接的或者間接層面，關鍵資訊基礎設施一方面順應時代的發展不斷與自動化、網絡技術相結合，另一方面也不得不面臨網絡安全威脅的挑戰。

工控系統也是關鍵資訊基礎設施的重要涵蓋領域，随着工業控制系統從過去的密閉的系統走向開放，國家實行網際網路+的戰略以及兩化融合，都使過去的工業控制系統走向了開放和互聯。那麼系統的安全的邊界和過去相比就明顯的擴大了，我國安全方面的受攻擊的程度和可能性越來越大。

舉個例子來說，俄20年前的網絡工具仍能對基礎設施發起網絡攻擊。

e安全再給大家舉幾個例子，請看近年針對關鍵資訊基礎設施發起的進階持續性威脅典型案例

2010年，伊朗核設施遭到stuxnet的攻擊，導緻伊朗納坦茲的濃縮鈾工廠的20%離心機報廢。

2011年的duqu病毒，雖然從表面攻擊行為上看，該病毒主要是收集系統密碼、盜取系統檔案以及抓取桌面截圖，但是實際上duqu能夠竊取目标基礎設施系統中的所有資訊。

2012年的flame病毒是一種專門針對政府、工業或企業等關鍵基礎設施的病毒。與duqu病毒相比，flame病毒更加複雜，且具有更強的隐蔽性。

2014年的havex是一種專門用來感染scada系統中的控制軟體的惡意軟體，攻擊了歐美地區的一千多家能源企業。黑客們可以通過havex成功通路到能源行業系統。

2015 年 12 月 23 日，烏克蘭能源部門電力網絡受到blackenergy攻擊，導緻伊萬諾-弗蘭科夫斯克州數十萬戶大停電。

2016年6月，卡巴斯基實驗室發現了operation choul網絡攻擊。該攻擊影響了30多個國家，其目标是竊取重要商業資料。

2016年10月惡意軟體攻擊造成美國東海岸網絡癱瘓，導緻twitter、亞馬遜、華爾街日報等數百個重要網站無法通路，美國主要公共服務、社交平台、群眾網絡服務癱瘓。據了解，黑客入侵、控制了全世界十多萬台智能硬體裝置，組成了僵屍網絡，對美國網際網路域名解析服務商dyn進行ddos攻擊，導緻了這場災難。

2017年wannacry勒索病毒全球爆發、不少中國高校受損嚴重，都是關鍵資訊基礎設施遭到破壞的典型案例。

關鍵資訊基礎設施的大緻分類

以上的這些典型的安全事件案例表明，關鍵資訊基礎設施與公衆的衣食住行息息相關。主要可以劃分為以下三類：

一、公衆服務：如黨政機關網站、企事業機關網站、新聞網站等;

二、民生服務：包括金融、電子政務、公共服務等;

三、基礎生産：能源、水利、交通、資料中心、電視廣播等。

企業電力一直排在關鍵資訊基礎設施的重中之重，原因在于現代社會，幾乎所有的人類生活都與電有關，手機、辦公電腦、電梯、空調、充電汽車、網際網路生存等等，如果某一個區域突然發生大面積的停電事故，那麼造成的影響與破壞力是可以想見的。

如何保護關鍵資訊基礎設施

保護國家關鍵資訊基礎設施需要結合現有情況，并借鑒成功案例定标比超。保衛國家關鍵基礎設施，要把标尺應對在防禦對手的攻擊，控制、滲透、竊秘上。

公安部網絡安全保衛局處長，資訊安全等級保護方面的專家 郭啟全對網絡安全法當中關鍵基礎設施保護的解讀是：

關鍵資訊基礎設施不僅僅是需要重要行業部門、資訊安全企業、專家，除此之外，必須依靠國家的武裝力量，軍隊、警察去保衛，然後才是保護，而這些工作都需要國家提供一定的财力、物力、人力、裝備去保障。

保衛、保護、保障三者缺一不可。

關鍵資訊基礎設施安全保護需要依賴哪些因素?

首先，關鍵資訊基礎設施需要落實國家等級保護制度。

另外，要有保衛、保護、保障，在此基礎上提高行動能力，包括情報偵查能力，打擊能力，反治能力、威懾能力、追蹤溯源、綜合防禦、态勢感覺、資料擷取。

網絡安全企業在積極保護關鍵資訊基礎設施的同時，網絡安全産業正迎來發展的新一輪良好時機，網絡安全法在關鍵資訊基礎設施的運作安全、建立網絡安全監測預警與應急處置制度等方面都做出了明确的規定。是以可以預見，相關企業，尤其是關鍵資訊基礎設施的運作企業，在今後一段時期内，會不斷加大在安全領域的投入。

各國對關鍵資訊基礎設施相關政策進度如何?

中國在網絡安全方面的法律制定滞後于别國，尤其在關鍵資訊基礎設施上，明顯進度較慢。

《網絡安全法》對關鍵資訊基礎設施定義比較寬泛，但覆寫全面。就關鍵基礎設施來說，70%、80%都是跟工業系統相關聯的，已經進入工業4.0時代的德國，在關鍵資訊基礎設施的保護上，可以讓我們借鑒的地方比較多。

德國

2015年7月10日，德國議會通過《德國網絡安全法》，其重點是加強對關鍵資訊基礎設施的保護力度，明确了“關鍵基礎設施”營運者的責任、擴大網絡監管權、确定網絡安全報告制度和增設電信營運商的義務 。該法明确凡是涉及水資源、能源、通信、醫療、交通、金融、保險等與德國群眾日常生活緊密相關的行業或企業均屬于關鍵基礎設施的保護範圍。

德國此前就出台的《戰略》，就對“關鍵基礎設施”的範圍進行了界定，但其僅僅是德國内政部釋出的發展綱要，不具有法律效力。之後出台的《德國網絡安全法》吸收了《戰略》中關于“關鍵基礎設施”的定義，在此基礎上還明确“關鍵基礎設施”營運者的法律責任。

縱覽各國關鍵資訊基礎設施配套網絡安全法規建設-e安全

《德國網絡安全法》為關鍵基礎設施的營運商設定了兩項具體的報告義務：

一項是最低網絡安全标準報告義務：另一項是網絡安全事件動态報告義務。

最低網絡安全标準報告義務：指《德國網絡安全法》中規定的所有關鍵基礎設施的營運商應當根據本部門實際情況，在規定的時間内向聯邦資訊安全辦公室(bsi)上交一份網絡安全方面報告，該報告主要内容是本機關為應對網絡攻擊而安裝相關系統的情況。

網絡安全事件動态報告義務：電信營運商應當主動收集、儲存使用者的通信業務資訊，且儲存周期不應少于6個月。警方為了偵查犯罪的需要可以從電信營運商處依法擷取這些資料。此外，為了保證使用者的資料資訊不被非法使用，《德國網絡安全法》規定，當電信營運商的連結或資料資訊被洩漏或濫用時，電信營運商負有及時通知本機關客戶的義務。

美國

美國早在1996年就已經對關鍵基礎設施定義了八個範圍。

之後2002年，美國的國土安全部才成立，同時， 國土安全部的工作職責就包括保護關鍵基礎設施的安全。

2006年，美國能源部對工業控制系統進行了細緻的規劃和保護，在2011年又新增了更多的安全保護條款。

2010年，美國《國家網絡基礎設施保護法案2010》規定，國會應在網絡基礎設施保護領域設定“安全線”，以保障美國的網絡基礎設施安全，并在政府和私營部門之間建立起網絡防禦聯盟的夥伴關系，促進私營部門和政府之間關于網絡威脅和最新技術資訊的資訊共享。《網絡空間作為國有資産保護法案2010》授權國土安全部對國家機構的it系統進行維護監管，規定總統可宣布進入緊急網絡狀态，并強制私營業主對關鍵it系統采取補救措施，以保護國家的利益。

2013年奧巴馬政府制定《提高關鍵基礎設施的網絡安全》，同時要求關鍵基礎設施要具有恢複力的檔案也随之出台。2014年第一個全面指導性檔案“關鍵基礎設施網絡安全架構規範”出台。

英國

英國早期的網際網路立法，側重保護關鍵性資訊基礎設施，随着網絡的不斷發展，後期在英國加強資訊基礎設施保護的同時，也開始強調網絡資訊的安全。

2007年2月1日英國國家基礎設施保護中心(簡稱cpni)正式成立，它是一家為英國企業群組織的基礎設施提供安全咨詢保護的英國政府部門，由前英國國家基礎設施安全協調中心和英國國家安全咨詢中心合并而來。其職責是減少英國基礎設施被恐怖主義破壞和其他威脅，保護英國基本服務安全(通信，應急服務，能源，金融，食品，政府，醫療，交通和水務)。

澳洲

澳洲政府通過不斷完善資訊安全有關法規标準、推動政府部門互相協作、關鍵基礎資訊保護等工作，逐漸建構起較為完整的資訊安全保障體系。

2001年，澳洲釋出政府資訊安全行動計劃“保護國家資訊基礎設施政策”，對澳洲關鍵基礎設施進行保護。之後相繼出台了資訊安全管理體系标準、澳洲聯邦政府it安全手冊、it安全管理的資訊技術指南等一系列資訊安全标準。

2009年11月23日，澳洲政府釋出《國家資訊安全戰略》，其中較長的描述了澳洲政府将如何保護關鍵基礎設施等使之免受網絡威脅的具體内容。

印度

2000年是印度内閣議會通過了《資訊技術法》，并于2000年8月15日正式生效，以規範電子商務活動，防範與打擊針對計算機和網絡犯罪。

随後，印度在2006年和2008年兩次修訂對人民必不可少的生活設施以及關鍵資訊基礎設施造成破壞的行為，以及未經授權侵入或通路因國家安全或外交關系原因采取了通路限制手段的資訊、資料或計算機資料庫的行為。

日本

2011年日本《刑法》修正後，在消滅垃圾郵件、計算機病毒以及保護網民隐私資訊方面進行明确規定，要求網絡營運商原則上儲存使用者30天上網和通信記錄，根據必要還可以再延長30天。

2014年11月6日，日本國會衆議院表決通過《網絡安全基本法》，規定電力、金融等重要社會基礎設施營運商、網絡相關企業、地方自治體等有義務配合網絡安全相關舉措或提供相關情報，以加強日本政府與民間力量在網絡安全領域關聯協調能力，更好應對網絡攻擊。

結語

【幾枚橫炮】

除了在關鍵基礎設施方面有“大動作”，還突出哪些方面的政策優勢?

網絡安全教育

作為法律實效保障的核心邏輯之一，群眾對《網絡安全法》的認識水準和接受程度高低是決定網安法貫徹實施的廣度和程度的重要基礎條件。

2017年春，聯合國正式啟動網絡安全與網絡犯罪教育計劃(education for justice,e4j項目)，其根本宗旨便是提升各層次主體的安全與法治認知水準，為網絡安全和網絡犯罪治理提供必要的軟環境。不同的閱聽人對于立法文本有着不同的關注點。

《網絡安全法》第19條将會促進各級人民政府及其有關部門深入組織開展經常性的網絡安全宣傳教育，并指導、督促有關機關做好網絡安全宣傳教育工作，大衆傳播媒介也将會有針對性地面向社會進行網絡安全宣傳教育。

《網絡安全法》第20條的規定将會促進企業以及高等學校、職業學校等教育教育訓練機構開展網絡安全相關教育與教育訓練，采取多種方式培養網絡安全人才，促進網絡安全人才交流。

活動預告：

2016-2017賽季資訊安全鐵人三項賽華東賽區比賽和“安恒杯”“攻防之星”校企論壇将于6月6日至6月1日在浙江警察學院(浙江杭州市濱江區濱文路555号)舉行。

資訊安全鐵人三項賽是一項面向大學生的公益性科技類競賽，由中國資訊産業商會資訊安全産業分會發起主辦，通過整合資訊安全産業資源對接高校，為大學生提供一個進行資訊安全技術創新、深入産業行業應用以及擴充安全視野的平台，推動校企合作模式的資訊安全人才培養，進而實作資訊安全優秀人才的培養和選撥管道。

大賽強調貼近實戰，以資訊安全典型行業應用場景為大賽環境，重點檢驗參賽學生面對真實環境下的資訊安全工程能力和攻防技術能力。

大賽強調企業與高校的聯合，通過校企對接的企業導師加學生戰隊的模式，将企業資源納入到高校的資訊安全相關專業人才培養中，并實作人才從高校到企業的無縫對接。資訊安全鐵人三項賽必須是以學校團隊名義參賽，原則上一個學校隻能有一支隊伍參賽，每個隊由不多于4名在校全日制本專科學生組成。為了充分利用資訊安全産業資源促進高校人才培養，每個資訊安全鐵人三項賽參賽隊伍配置一名學校導師和1名企業導師。

資訊安全鐵人三項賽為區域選拔賽和全國總決賽，全國分為華北、東北、西北、西南、華南、華中、華東等七個賽區，每個賽區選拔賽可根據情況設定賽區資格賽。每個賽區選拔優秀隊伍參加年度總決賽，原則上分賽區的總成績前三名及各單項冠軍隊伍進總決賽，具體各賽區晉級總決賽的名額每年由組委會根據情況進行釋出。

本文轉自d1net（轉載）