縱覽各國關鍵資訊基礎設施配套網路安全法規建設

《網路安全法》建立了關鍵資訊基礎設施安全保護制度，其中第三章近三分之一的內容用來規範網路執行安全，法令從國家、行業、運營者三個層面，分別規定了國家職能部門、行業主管部門及運營企業等各相關方在關鍵資訊基礎設施安全保護方面的責任與義務。明確關鍵資訊基礎設施的運營者負有更多的安全保護義務，並配以國家安全審查、重要資料強制本地儲存等法律措施，確保關鍵資訊基礎設施的執行安全。

同時，《網路安全法》第三十一條明確表示， 鼓勵關鍵資訊基礎設施以外的網路運營者自願參與關鍵資訊基礎設施保護體系。

此外，《網路安全法》還規定：境外的個人或者組織從事攻擊、侵入、干擾、破壞等危害中華人民共和國關鍵資訊基礎設施的活動，造成嚴重後果的，依法追求法律責任。

萬事俱備，什麼樣的資訊基礎設施屬於“關鍵”範疇，哪些企業屬於關鍵資訊基礎設施運營者?目前尚未出臺配套規定。

國家網信辦網路安全協調局負責人趙澤良表示，縱觀各國情況，具體明確關鍵資訊基礎設施相當複雜，是一個在實踐中不斷完善、不斷調整的過程。目前國家網信辦正會同有關部門抓緊研究制定相關指導性檔案和標準，指導相關行業領域明確關鍵資訊基礎設施的具體範圍。

據瞭解，關鍵資訊基礎設施保護辦法有望近期公開徵求意見。

為什麼關鍵資訊基礎設施保護工作如此重要?

關鍵資訊基礎設施：指的是那些一旦遭到破壞、喪失功能或者資料洩露，可能嚴重危害國家安全、國計民生、公共利益的系統和設施。網路執行安全是網路安全的重心，關鍵資訊基礎設施安全則是重中之重，與國家安全和社會公共利益息息相關。

E安全為大家舉個例子：

面向公眾提供網路資訊服務或支撐能源、通訊、金融、交通、公用事業等重要行業執行的資訊系統或工業控制系統，他們都是關鍵資訊基礎設施。這些系統一旦發生網路安全事故，可能影響重要行業正常執行，嚴重危害國計民生、公共利益和國家安全。

隨著網路技術與各個行業的互動越來越多，目前網路技術幾乎可以覆蓋人類生活的各個直接的或者間接層面，關鍵資訊基礎設施一方面順應時代的發展不斷與自動化、網路技術相結合，另一方面也不得不面臨網路安全威脅的挑戰。

工控系統也是關鍵資訊基礎設施的重要涵蓋領域，隨著工業控制系統從過去的密閉的系統走向開放，國家實行網際網路+的戰略以及兩化融合，都使過去的工業控制系統走向了開放和互聯。那麼系統的安全的邊界和過去相比就明顯的擴大了，我國安全方面的受攻擊的程度和可能性越來越大。

舉個例子來說，俄20年前的網路工具仍能對基礎設施發起網路攻擊。

E安全再給大家舉幾個例子，請看近年針對關鍵資訊基礎設施發起的高階持續性威脅典型案例

2010年，伊朗核設施遭到Stuxnet的攻擊，導致伊朗納坦茲的濃縮鈾工廠的20%離心機報廢。

2011年的Duqu病毒，雖然從表面攻擊行為上看，該病毒主要是收集系統密碼、盜取系統檔案以及抓取桌面截圖，但是實際上Duqu能夠竊取目標基礎設施系統中的所有資訊。

2012年的Flame病毒是一種專門針對政府、工業或企業等關鍵基礎設施的病毒。與Duqu病毒相比，Flame病毒更加複雜，且具有更強的隱蔽性。

2014年的Havex是一種專門用來感染SCADA系統中的控制軟體的惡意軟體，攻擊了歐美地區的一千多家能源企業。黑客們可以通過Havex成功訪問到能源行業系統。

2015 年 12 月 23 日，烏克蘭能源部門電力網路受到BlackEnergy攻擊，導致伊萬諾-弗蘭科夫斯克州數十萬戶大停電。

2016年6月，卡巴斯基實驗室發現了Operation Choul網路攻擊。該攻擊影響了30多個國家，其目標是竊取重要商業資料。

2016年10月惡意軟體攻擊造成美國東海岸網路癱瘓，導致Twitter、亞馬遜、華爾街日報等數百個重要網站無法訪問，美國主要公共服務、社交平臺、民眾網路服務癱瘓。據瞭解，黑客入侵、控制了全世界十多萬臺智慧硬體裝置，組成了殭屍網路，對美國網際網路域名解析服務商DYN進行DDoS攻擊，導致了這場災難。

2017年WannaCry勒索病毒全球爆發、不少中國高校受損嚴重，都是關鍵資訊基礎設施遭到破壞的典型案例。

關鍵資訊基礎設施的大致分類

以上的這些典型的安全事件案例表明，關鍵資訊基礎設施與公眾的衣食住行息息相關。主要可以劃分為以下三類：

一、公眾服務：如黨政機關網站、企事業單位網站、新聞網站等;

二、民生服務：包括金融、電子政務、公共服務等;

三、基礎生產：能源、水利、交通、資料中心、電視廣播等。

企業電力一直排在關鍵資訊基礎設施的重中之重，原因在於現代社會，幾乎所有的人類生活都與電有關，手機、辦公電腦、電梯、空調、充電汽車、網際網路生存等等，如果某一個區域突然發生大面積的停電事故，那麼造成的影響與破壞力是可以想見的。

如何保護關鍵資訊基礎設施

保護國家關鍵資訊基礎設施需要結合現有情況，並借鑑成功案例定標比超。保衛國家關鍵基礎設施，要把標尺應對在防禦對手的攻擊，控制、滲透、竊祕上。

公安部網路安全保衛局處長，資訊保安等級保護方面的專家 郭啟全對網路安全法當中關鍵基礎設施保護的解讀是：

關鍵資訊基礎設施不僅僅是需要重要行業部門、資訊保安企業、專家，除此之外，必須依靠國家的武裝力量，軍隊、警察去保衛，然後才是保護，而這些工作都需要國家提供一定的財力、物力、人力、裝備去保障。

保衛、保護、保障三者缺一不可。

關鍵資訊基礎設施安全保護需要依賴哪些因素?

首先，關鍵資訊基礎設施需要落實國家等級保護制度。

另外，要有保衛、保護、保障，在此基礎上提高行動能力，包括情報偵查能力，打擊能力，反治能力、威懾能力、追蹤溯源、綜合防禦、態勢感知、資料獲取。

網路安全企業在積極保護關鍵資訊基礎設施的同時，網路安全產業正迎來發展的新一輪良好時機，網路安全法在關鍵資訊基礎設施的執行安全、建立網路安全監測預警與應急處置制度等方面都做出了明確的規定。因此可以預見，相關企業，尤其是關鍵資訊基礎設施的執行企業，在今後一段時期內，會不斷加大在安全領域的投入。

各國對關鍵資訊基礎設施相關政策進度如何?

中國在網路安全方面的法律制定滯後於別國，尤其在關鍵資訊基礎設施上，明顯進度較慢。

《網路安全法》對關鍵資訊基礎設施定義比較寬泛，但覆蓋全面。就關鍵基礎設施來說，70%、80%都是跟工業系統相關聯的，已經進入工業4.0時代的德國，在關鍵資訊基礎設施的保護上，可以讓我們借鑑的地方比較多。

德國

2015年7月10日，德國議會通過《德國網路安全法》，其重點是加強對關鍵資訊基礎設施的保護力度，明確了“關鍵基礎設施”運營者的責任、擴大網路監管權、確定網路安全報告制度和增設電信運營商的義務 。該法明確凡是涉及水資源、能源、通訊、醫療、交通、金融、保險等與德國民眾日常生活緊密相關的行業或企業均屬於關鍵基礎設施的保護範圍。

德國此前就出臺的《戰略》，就對“關鍵基礎設施”的範圍進行了界定，但其僅僅是德國內政部發布的發展綱要，不具有法律效力。之後出臺的《德國網路安全法》吸收了《戰略》中關於“關鍵基礎設施”的定義，在此基礎上還明確“關鍵基礎設施”運營者的法律責任。

縱覽各國關鍵資訊基礎設施配套網路安全法規建設-E安全

《德國網路安全法》為關鍵基礎設施的運營商設定了兩項具體的報告義務：

一項是最低網路安全標準報告義務：另一項是網路安全事件動態報告義務。

最低網路安全標準報告義務：指《德國網路安全法》中規定的所有關鍵基礎設施的運營商應當根據本部門實際情況，在規定的時間內向聯邦資訊保安辦公室(BSI)上交一份網路安全方面報告，該報告主要內容是本單位為應對網路攻擊而安裝相關係統的情況。

網路安全事件動態報告義務：電信運營商應當主動收集、儲存使用者的通訊業務資訊，且儲存週期不應少於6個月。警方為了偵查犯罪的需要可以從電信運營商處依法獲取這些資料。此外，為了保證使用者的資料資訊不被非法使用，《德國網路安全法》規定，當電信運營商的連結或資料資訊被洩漏或濫用時，電信運營商負有及時通知本單位客戶的義務。

美國

美國早在1996年就已經對關鍵基礎設施定義了八個範圍。

之後2002年，美國的國土安全部才成立，同時， 國土安全部的工作職責就包括保護關鍵基礎設施的安全。

2006年，美國能源部對工業控制系統進行了細緻的規劃和保護，在2011年又新增了更多的安全保護條款。

縱覽各國關鍵資訊基礎設施配套網路安全法規建設-E安全

2010年，美國《國家網路基礎設施保護法案2010》規定，國會應在網路基礎設施保護領域設定“安全線”，以保障美國的網路基礎設施安全，並在政府和私營部門之間建立起網路防禦聯盟的夥伴關係，促進私營部門和政府之間關於網路威脅和最新技術資訊的資訊共享。《網路空間作為國有資產保護法案2010》授權國土安全部對國家機構的IT系統進行維護監管，規定總統可宣佈進入緊急網路狀態，並強制私營業主對關鍵IT系統採取補救措施，以保護國家的利益。

2013年奧巴馬政府制定《提高關鍵基礎設施的網路安全》，同時要求關鍵基礎設施要具有恢復力的檔案也隨之出臺。2014年第一個全面指導性檔案“關鍵基礎設施網路安全框架規範”出臺。

英國

英國早期的網際網路立法，側重保護關鍵性資訊基礎設施，隨著網路的不斷髮展，後期在英國加強資訊基礎設施保護的同時，也開始強調網路資訊的安全。

2007年2月1日英國國家基礎設施保護中心(簡稱CPNI)正式成立，它是一家為英國企業和組織的基礎設施提供安全諮詢保護的英國政府部門，由前英國國家基礎設施安全協調中心和英國國家安全諮詢中心合併而來。其職責是減少英國基礎設施被恐怖主義破壞和其他威脅，保護英國基本服務安全(通訊，應急服務，能源，金融，食品，政府，醫療，交通和水務)。

澳大利亞

澳大利亞政府通過不斷完善資訊保安有關法規標準、推動政府部門相互協作、關鍵基礎資訊保護等工作，逐步構建起較為完整的資訊保安保障體系。

2001年，澳大利亞釋出政府資訊保安行動計劃“保護國家資訊基礎設施政策”，對澳大利亞關鍵基礎設施進行保護。之後相繼出臺了資訊保安管理體系標準、澳大利亞聯邦政府IT安全手冊、IT安全管理的資訊科技指南等一系列資訊保安標準。

2009年11月23日，澳大利亞政府釋出《國家資訊保安戰略》，其中詳細描述了澳大利亞政府將如何保護關鍵基礎設施等使之免受網路威脅的具體內容。

印度

2000年是印度內閣議會通過了《資訊科技法》，並於2000年8月15日正式生效，以規範電子商務活動，防範與打擊針對計算機和網路犯罪。

隨後，印度在2006年和2008年兩次修訂對人民必不可少的生活設施以及關鍵資訊基礎設施造成破壞的行為，以及未經授權侵入或訪問因國家安全或外交關係原因採取了訪問限制手段的資訊、資料或計算機資料庫的行為。

日本

2011年日本《刑法》修正後，在消滅垃圾郵件、計算機病毒以及保護網民隱私資訊方面進行明確規定，要求網路運營商原則上儲存使用者30天上網和通訊記錄，根據必要還可以再延長30天。

2014年11月6日，日本國會眾議院表決通過《網路安全基本法》，規定電力、金融等重要社會基礎設施運營商、網路相關企業、地方自治體等有義務配合網路安全相關舉措或提供相關情報，以加強日本政府與民間力量在網路安全領域聯動協調能力，更好應對網路攻擊。

結語

網路安全企業在積極保護關鍵資訊基礎設施的同時，網路安全產業正迎來發展的新一輪良好時機，網路安全法在關鍵資訊基礎設施的執行安全、建立網路安全監測預警與應急處置制度等方面都做出了明確的規定。因此可以預見，相關企業，尤其是關鍵資訊基礎設施的執行企業，在今後一段時期內，會不斷加大在安全領域的投入。

【幾枚橫炮】

除了在關鍵基礎設施方面有“大動作”，還突出哪些方面的政策優勢?

網路安全教育

作為法律實效保障的核心邏輯之一，民眾對《網路安全法》的認識水平和接受程度高低是決定網安法貫徹實施的廣度和程度的重要基礎條件。

縱覽各國關鍵資訊基礎設施配套網路安全法規建設-E安全

2017年春，聯合國正式啟動網路安全與網路犯罪教育計劃(Education for Justice,E4J專案)，其根本宗旨便是提升各層次主體的安全與法治認知水平，為網路安全和網路犯罪治理提供必要的軟環境。不同的受眾對於立法文字有著不同的關注點。

《網路安全法》第19條將會促進各級人民政府及其有關部門深入組織開展經常性的網路安全宣傳教育，並指導、督促有關單位做好網路安全宣傳教育工作，大眾傳播媒介也將會有針對性地面向社會進行網路安全宣傳教育。

《網路安全法》第20條的規定將會促進企業以及高等學校、職業學校等教育培訓機構開展網路安全相關教育與培訓，採取多種方式培養網路安全人才，促進網路安全人才交流。

活動預告：

2016-2017賽季資訊保安鐵人三項賽華東賽區比賽和“安恆杯”“攻防之星”校企論壇將於6月6日至6月1日在浙江警察學院(浙江杭州市濱江區濱文路555號)舉行。

資訊保安鐵人三項賽是一項面向大學生的公益性科技類競賽，由中國資訊產業商會資訊保安產業分會發起主辦，通過整合資訊保安產業資源對接高校，為大學生提供一個進行資訊保安技術創新、深入產業行業應用以及擴充套件安全視野的平臺，推動校企合作模式的資訊保安人才培養，從而實現資訊保安優秀人才的培養和選撥渠道。

大賽強調貼近實戰，以資訊保安典型行業應用場景為大賽環境，重點檢驗參賽學生面對真實環境下的資訊保安工程能力和攻防技術能力。

大賽強調企業與高校的聯合，通過校企對接的企業導師加學生戰隊的模式，將企業資源納入到高校的資訊保安相關專業人才培養中，並實現人才從高校到企業的無縫對接。資訊保安鐵人三項賽必須是以學校團隊名義參賽，原則上一個學校只能有一支隊伍參賽，每個隊由不多於4名在校全日制本專科學生組成。為了充分利用資訊保安產業資源促進高校人才培養，每個資訊保安鐵人三項賽參賽隊伍配置一名學校導師和1名企業導師。

資訊保安鐵人三項賽為區域選拔賽和全國總決賽，全國分為華北、東北、西北、西南、華南、華中、華東等七個賽區，每個賽區選拔賽可根據情況設定賽區資格賽。每個賽區選拔優秀隊伍參加年度總決賽，原則上分賽區的總成績前三名及各單項冠軍隊伍進總決賽，具體各賽區晉級總決賽的名額每年由組委會根據情況進行釋出。

本文轉自d1net（轉載）