1、智库之声VOICE OF THINK TANKS编者按:智库之声围绕网络空间安全、网信技术变革、网信产业发展等问题,以系统性、战略性思维思考谋划,为网信事业发展贡献智慧力量。11 国别视角下关键信息基础设施安全防护指数研究17 大数据背景下新能源车辆远程监控与服务平台的设计与应用21 航天单位往来款项清理管理方法研究与实践一、切实做好关键信息基础设施安全防护近年来,网络安全法数据安全法个人信息隐私保护法等法律的相继出台,为我国网络安全和信息化工作开展提供根本遵循。在关键信息基础设施安全防护方面,概念得以明确,相关原则要求得以落实1。2021年8月17日,关键信息基础设施安全保护条例正式发布,此
2、条例成为化解关键信息基础设施安全风险的法律法规重器和重要里程碑。2022年11月7日,我国第一项关键信息基础设施安全保护国别视角下关键信息基础设施安全防护指数研究针对关键信息基础设施系统安全防护“事前事中事后”三阶段全链条特征,本文设计了一种包含建设情况、运行能力、安全态势等三个维度的关键信息基础设施安全防护评价指标体系,计算美国、欧盟、英国、俄罗斯、德国、法国、澳大利亚、日本等8个国家和地区的关键信息基础设施安全防护指数,并对计算结果进行深入剖析。研究成果有助于系统了解国别视角下关键信息基础设施安全防护水平,和全球主要国家/地区在保护关键信息基础设施方面所采取的有效措施,能够为建立健全我国关
3、键信息基础设施安全防护体系提供有价值的决策参考。国家信息中心吕欣岳未祯国家标准信息安全技术 关键信息基础设施安全保护要求(GB/T39204-2022)正式发布,并将于2023年5月1日起实施。1.关键信息基础设施是经济社会运行的神经中枢作为支撑数字经济发展和网络强国建构的底层设施,公共通信和信息服务、能源、交通、水利、金融、公共服务等重要行业和领域的基础设施信息系统越来越多的采用联网的方式运行或提供服务。这些系统承载着大量的国家基础数据、重要政务数据及公民个人隐私数据,分布于数字经济发展、数字中国建设的各个重要领域和环节,是国家网络空间安全的命脉所在。可以说,承载大量重要数据的关键信息基础设
4、施的安全防护是我国发展国数字经济和建设网络强国的重要保障2。2.关键信息基础设施面临的网络安全风险日益突出近年来,网络空间主体呈现开放、高速、智能互联的发展趋势。无论是发达国家还是发展中国家,网络安全防御边界进一步扩展,关键信息基础设施发生安全风险的可能性和危险性持续项目基金:国家社会科学基金重大项目(19ZDA127)CIVIL-MILITARY INTEGRATION ON CYBERSPACE网信军民融合112022年11-12月 上升。从全球网络安全事件报道来看,各国关键信息基础设施均遭受到不同程度的网络攻击3,给国家安全、经济稳定和公众安全带来了巨大损失,也严重影响着各国的国际形象。
5、3.各国高度重视加强关键信息基础设施的安全防护加强关键信息基础设施安全防护成为国际社会关注的焦点和各国维护网络安全和经济建设的首要任务,美国、欧盟、俄罗斯、澳大利亚、日本等国家和地区陆续从战略政策、法律规划、实施方案、组织管理、监测预警等方面加大对关键信息基础设施的保护力度,提升本国的网络空间竞争能力4,学术界也陆续对关键信息基础设施安全防护展开研究。二、关键信息基础设施安全防护评价方案设计1.国内外关键信息基础设施安全防护评价探索实践近年来,国内外针对关键信息基础设施安全防护评价开展了许多研究和探索。一些国家和国际组织相继出台了关键信息基础设施协同防护评价相关的研究成果。例如,国际标准化组织
6、(ISO)于2009年发布了信息安全管理测量标准,从方针策略、风险管理、信息安全、控制措施等多维度评价信息安全。美国陆续发布了联邦信息系统和组织的安全和隐私控制措施联邦信息系统中安全控制评估指南改善关键基础设施网络安全的框架等标准文件,旨在指导联邦政府及关键信息基础设施行业选择合适的安全控制措施进而建立必要的安全能力。欧盟出台了识别关键信息基础设施服务和资产的方法论保护关键信息基础设施的考量、分析和建议数字服务提供商实施最低安全控制措施技术指南等技术指导文件,就关键信息基础设施领域风险评估等工作提出标准化建议。我国也围绕关键信息基础设施安全防护评价进行了一些积极实践。标准发布方面,全国信安标委
7、发布信息安全技术关键信息基础设施安全保护要求信息安全技术 关键信息基础设施安全保障指标体系(报批稿)等文件,支撑相关部门针对关键基础信息设施开展安全防护工作。学术研究方面,包莉娜等5构建关键信息基础设施保护水平评价指标体系,并在重要行业领域开展试点工作;王惠莅等6在分析欧美经验基础上,研究提出我国关键信息基础设施安全防护体系。现有评价工作多从行业、运营者的视角构建关键信息基础设施安全防护评价指标体系,较少有研究从国别视角、整体视角、对比视角探讨关键信息基础设施安全防护国际指数的构建与测度问题。基于此,结合关键信息基础设施安全防护体系构建的基本特征,本文设计了国家关键信息基础设施安全防护指数测度
8、研究方案,分别计算美国、欧盟、俄罗斯、英国、德国、法国、澳大利亚和日本等8个发达国家和地区的关键信息基础设施安全防护总体指数和各维度指数,并针对测度结果进行分国别的对比分析。2.设计思路针对关键信息基础设施系统安全防护“事前事中事后”三阶段全链条特征,设计关键信息基础设施安全防护指数测度研究方案,从建设、运行、态势三个维度开展评价工作,对关键信息基础设施安全进行全方位的安全防护。图1关键信息基础设施安全防护评价设计思路3.指标体系本文围绕建设情况、运行能力、安全态势三个一级指标构建关键信息基础设施安全防护国际指数评价指标体系。关键信息基础设施安全防护建设情况是指在建设过程中针对国家关键信息基础
9、设施安全防护的顶层设计和统筹考虑,包括战略保障、管理保障、产品和服务保障等三大类情况。关键信息基础设施安全防护运行能力是指在运行过程中针对国家关键信息基础设施安全防护所采取的防范措施OICE OF THINK TANKS智库之声V12NOVEMBER-DECEMBER 2022和应对策略,包括安全监测、应急处置、防御能力等内容。关键信息基础设施安全态势是指国家关键信息基础设施相关的安全威胁、隐患的感知能力以及发生的安全事件分析能力,包括态势感知和事件分析等内容。该指标体系共包含三个层次,一级指标3项、二级指标8项、三级指标13项,具体如表1所示。表1关键信息基础设施安全防护国际指数指标体系一级
10、指标二级指标三级指标指标说明建设情况战略保障战略规划该国关于关键信息基础设施网络安全的战略颁布情况法律法规该国关于关键信息基础设施网络安全的立法情况标准建设该国关于关键信息基础设施网络安全的标准建设情况管理保障网络安全机构建设该国网络安全相关的机构设置情况网络安全人才培育该国网络安全相关的人才培养情况国际交流合作该国网络安全相关的国际交流与合作情况产品和服务保障5G供应链安全该国5G供应链安全的相关情况运行能力安全监测监测预警机制该国关键信息基础设施监测预警制度情况应急处置应急响应机制该国关键信息基础设施应急响应机制的建立情况防御能力防御规划或措施该国关键信息基础设施防御规划或措施的制定情况安
11、全态势态势感知安全威胁情况该国关键信息基础设施遭受的安全威胁感知能力安全隐患情况该国关键信息基础设施存在的安全隐患感知能力事件分析安全事件情况该国关键信息基础设施安全事件分析能力4.研究方法根据指标体系的构建情况,本文采用加权TOPSIS法进行关键信息基础设施安全防护国际指数的测度,进而得出总体指数和各级指标的分数值。在权重确定方面,请多位专家对各项指标的重要性进行评价,经过多轮讨论和调整,最终确定各项指标的权重。5.数据来源邀请具有网络安全相关专业背景的多位专家,结合搜集整理的全球各个国家和地区的关键信息基础设施安全防护相关资料文献,依据上述建立的指标体系,分别进行背靠背打分,分数采取百分制
12、。为保证所给分数尽可能科学公正,可根据打分情况,再进行资料的查缺补漏,进而进行新一轮打分。本文共进行三轮打分,最终确定了各项指标的初始分数。三、关键信息基础设施安全防护指数结果分析本文选取美国、欧盟、英国、德国、俄罗斯、法国、澳大利亚、日本等8个国家和地区为研究对象,采用本文设计的研究方案,对上述8个国家和地区的关键信息基础设施安全防护指数进行测度,并对计算结果进行深入剖析。1.总体情况分析从总体指数情况来看,美国、欧盟、英国、德国、俄罗斯、法国、澳大利亚、日本等8个国家和地区的关键信息基础设施安全防护指数排序结果如图2所示,美国、欧盟和俄罗斯处于第一梯队,代表关键信息基础设施安全防护全球领先
13、水平;英国和德国紧随其后,两国的关键信息基础设施安全防护水平差距不大;法国、澳大利亚和日本三国的关键信息基础设施安全防护工作与其他国家相比还有一定的距离。从一级指标情况来看,美国的关键信息基础设施安全防护能力在建设情况、运行能力和安全态势三个方面(如图3)均处于全球领先水平,特别是建设情况,位列第一。欧盟依托其较强的关键信息基础设施运行能力紧跟其后,位列第二。俄罗斯则在关键信息基础设施安全态势方面优势明显,位列第三。英国、德国等两个国家的关键CIVIL-MILITARY INTEGRATION ON CYBERSPACE网信军民融合132022年11-12月 图2各国关键信息基础设施安全防护指
14、数总体排序情况图3各国关键信息基础设施安全防护一级指标得分情况图4各国关键信息基础设施安全防护分项指标得分情况信息基础设施安全防护总体指数差距较小,分别排在四、五位,其中,英国在关键信息基础设施运行方面能力突出;德国显示出较强的关键信息基础设施建设能力;法国、澳大利亚、日本等三个国家的关键信息基础设施安全防护总体情况还有较大的提升空间,其中,法国在关键信息基础设施安全态势方面与领先国家存在较大差距;澳大利亚在关键信息基础设施建设和运行方面仍有较大发展空间;日本在建设情况、运行能力和安全态势三个方面均相对较弱。2.分项指标分析美国、欧盟、英国、德国、俄罗斯、法国、澳大利亚和日本等8个国家和地区在
15、关键信息基础设施安全防护方面开展了大量的工作和积累,下文将分别从8项二级指标和13项三级指标(如图4所示)加以剖析,对上述8个国家和地区在关键信息基础设施安全防护方面所开展的主要工作进行对比分析。OICE OF THINK TANKS智库之声V14NOVEMBER-DECEMBER 2022(1)战略保障(1)战略规划8个国家和地区均将关键信息基础设施建设纳入各国的战略重点,出台了相关的国家战略,并不断完善配套政策和相关报告,其中,做得较好的是欧盟、美国和德国。以美国为例,美国是最早开始关注关键基础设施系统安全的国家,现已形成较为完善的安全战略,拜登政府于2021年5月颁布关于加强国家网络安全
16、的行政命令,强调要提升关键基础设施应对威胁的整体抵御能力,为未来一段时期美国的关键基础设施安全防护指明了发展方向。(2)法律法规本文涉及的8个国家和地区都积极开展关键信息基础设施保护相关立法工作,美国和欧盟在关键信息基础设施立法方面起步最早。美国从 1996 年开始,陆续出台了国家信息基础设施保护法案2001年关键基础设施保护法案2014年提升关键基础设施网络安全框架等多部法律对基础设施安全防护进一步细化完善。欧盟出台了2008年欧盟关键基础设施认定和安全评估指令2016年网络与信息安全指令等法律以加强国家关键信息基础设施的保护。(3)标准建设美国和欧盟引领全球关键信息基础设施安全标准制定,特
17、别是5G相关的网络安全标准化制定。2022年3月16日,欧盟网络安全局(ENISA)发布5G网络安全标准:支持网络安全政策的标准化要求分析,制定5G网络安全领域的标准化建议。5月26日,美国发布5G安全评估流程指南,明确对5G系统进行网络安全评估的相关方法。(2)管理保障(1)机构建设目前,8个国家和地区均组建了助力关键信息基础设施安全防护的机构,以机构化的形式将网络安全维护落到实处。具体而言,日本内阁官方组织令规定,内阁网络安全中心是日本政府网络安全领域情报归口管理的重要单位;英国则专门设有英国国家网络安全中心,广泛联合各界专家团队力量,开展网络安全威胁和漏洞研究,并对如何应对网络攻击提出具
18、体建议。(2)人才培养各国在其网络安全战略中都非常重视网络安全人才队伍建设,通常通过教育资助计划、举办演习竞赛等形式培养专业人才,俄罗斯和英国在网络安全人才培养方面特色突出。例如,俄罗斯开设网络安全相关专业系统培养网络安全人才,同时组建科学连为信息战部队输送网络安全专业人才;英国重视挖掘和培养青少年网络人才和女性网络人才,发布了多项鼓励青少年和女性从事网络安全职业的支持性政策。(3)国际交流合作英国、德国在关键基础设施的国际合作建设方面取得较大成效,其余国家仍存在较大提升空间。以德国为例,德国重视国际战略合作,意识到关键信息基础设施领域的超国界性,德国与欧盟各国通力合作,推进欧盟内部的安全战略
19、与数字议程,确立国际网络行为准则,以指导德国的网络安全合作。(3)产品和服务保障在5G供应链安全方面,8个国家和地区都非常重视5G供应链的布局和安全防护,其中,美国和欧盟超前布局,澳大利亚和日本发展相对滞后。美国从2012年发布全球供应链安全国家战略开始,持续关注5G供应链安全问题,并与其他利益相关者共同呼吁建立全球供应链安全体系。(4)监测预警本文涉及的8个国家和地区基本上都建立了关键信息基础设施安全预警机构,通过确立信息共享、安全评估等机制完善各自的监测预警制度。例如:美国网络安全设施保护的信息共享工作专门由其信息共享与分析中心负责,具体涉及政府部门间、私营部门间以及政府与私营部门间的网络
20、安全检测预警信息共享;俄罗斯经过多年建设,完善了信息系统安全评估指标,其信息安全部门制定了计算机系统安全评估标准产品安全评估软件安全网络计算机系统安全评估标准说明安全数据库等一系列比较完善的信息系统安全评估指标。(5)应急响应在应急响应机制方面,除法国外,其他国家均针对关键信息基础设施设置了应急响应机制,以尽可能降低危害国家安全重大事件发生后的损失和开展应急处置。美国政府高度重视国家关键信息基础设施安全事件的应急处置工作,通过立法、建立管理制度等手段强化应急处置能力,并可以针对不同危害程度的关键信息基础设施安全事件采取相对应的应急响应措施。然而,现阶段,具备联合响应机制的国家和地区却并不多,美
21、国、英国、欧盟、俄罗斯是在关键信息基础设施联合响应方面完成度较高的国家和地区。(6)防御能力8个国家和地区都已经具备一定程度的关键信息基础设施安全防御能力。美国、欧盟和德国防御能力较CIVIL-MILITARY INTEGRATION ON CYBERSPACE网信军民融合152022年11-12月 强,澳大利亚和日本相对较弱。英国从2017年开始实施主动网络防御(ACD)计划,并将提升主动防御能力列为一项重要工作。德国政府设立了国家网络防御中心,以应对网络安全事故。日本自卫队主要负责监控和保护其信息系统,通过利用空间、网络和电磁领域的能力阻止武装攻击行为。日本的网络安全防卫力量呈现规模不断壮
22、大、预算不断增加、人才培养不断强化的迅速发展态势。(7)态势感知(1)安全威胁情况上述绝大多数国家在关键信息基础设施领域都具有一定的安全威胁感知能力,这反映出在信息全球化时代网络安全的超国界性质,也使得关键信息基础设施的维护工作成为实现国家安全的必由之路。以美国为例,通过2019年9月-2021年3月期间进行的性能审计,美国发现其电网的配电系统面临着重大的网络安全威胁。(2)安全隐患情况大部分国家尚未具备有效排查本国关键信息基础设施存在安全隐患的能力,不可避免的存在一些缺陷和不足。以德国为例,外交、国防、军备等是黑客网络攻击的主要目标,越来越多的黑客攻击目标是破坏电力、水利和通讯等基础设施。(
23、8)事件分析美国具有较强的网络安全事件溯源能力,其他国家和地区在这方面还有较大的提升空间。美国可以针对已发生的网络攻击事件采取溯源、追踪、反制等措施,一方面,通过司法起诉建立网络空间“威慑能力”;另一方面,通过相应的经济和外交等制裁手段实现跨域制裁。四、结论与展望根据关键信息基础设施安全防护国际指数的计算结果与分析,本文涉及的8个国家和地区均高度重视关键信息基础设施安全防护的保障工作。通过对上述8个国家和地区在关键信息基础设施安全防护方面开展的实践工作进行深入剖析,对我国建立健全关键信息基础设施安全防护体系提出以下几点思考。1.持续增强关键信息基础设施安全防护顶层设计关键信息基础设施安全防护工
24、作应充分结合行业和领域需求,重点围绕网络安全法数据安全法关键信息基础设施安全保护条例等法律法规要求的落地实施,坚持国家总体安全观,充分借鉴国际先进战略、法规、标准等研制经验,以系统性提高关键信息基础设施安全防护能力为目标,加快推动风险评估、协同处置、信息共享、监测预警、态势感知等重点领域安全保障工作的开展。2.重视关键信息基础设施安全防护体系建设关键信息基础设施安全防护是一个系统工程,需要系统性规划、体系化建设。围绕关键信息基础设施安全防护要求,充分对接网络安全、数据安全等安全保障需求,打通学术、技术、产业等环节形成防护合力,从“理论-框架-实践”等三维视角建立从面到线到点的国家关键信息基础设
25、施系统安全协同防护体系,建立覆盖国家关键信息基础设施系统全生命周期的安全防护闭环。3.积极推进关键信息基础设施安全防护国际合作交流我国提出构建网络空间命运共同体理念,得到国际社会的广泛认可。由于网络空间具有去边界性、交互性等典型特征,网络空间的治理问题需要全球各国的共同努力。面对复杂的网络安全形势,关键信息基础设施是网络攻击的重点目标,面临较大风险隐患。应立足开放环境加强网络安全,在技术攻关、信息共享和联合执法等方面加强双多边合作,为维护承载海量重要数据的关键信息基础设施的安全贡献中国力量。参考文献:1冯燕春.加快构建国家关键信息基础设施安全保障体系J.中国信息安全,2016(11):42-4
26、6.2吕欣,韩晓露,郭晓萧,等.新型智慧城市网络安全协同防护框架研究J.信息安全研究,2021,7(11):1017-1022.3高原,吕欣,李阳,等.国家关键信息基础设施系统安全防护研究综述J.信息安全研究,2020,6(01):14-24.4吕欣.网络空间安全国际指数研究J.信息安全研究,2016,2(09):766-773.5包莉娜,刘蓓,闫桂勋,等.关键信息基础设施保护水平评价指标体系研究J.信息安全研究,2019,5(06):507-513.6王惠莅,姚相振,任泽君.关键信息基础设施安全防护体系研究J.保密科学技术,2019(07):20-24.OICE OF THINK TANKS智库之声V16NOVEMBER-DECEMBER 2022
浙ICP备2021020529号-1 | 浙B2-20240490 
