論關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全
——辯證唯物的網(wǎng)絡(luò)安全觀

◎國防科技大學(xué)信息通信學(xué)院 鄭理

關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)貫徹辯證唯物的網(wǎng)絡(luò)安全觀，文章從管理對象、管理措施、融合與配合等方面論述抓好關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全工作的思考。

為抓好關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，應(yīng)貫徹辯證唯物的網(wǎng)絡(luò)安全觀。一要認(rèn)識關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重點(diǎn)管理對象是什么，有什么特點(diǎn)；二要分析管理對象矛盾的特殊性，采取針對性措施；三要用聯(lián)系的眼光，將網(wǎng)絡(luò)安全要求與業(yè)務(wù)穩(wěn)定運(yùn)行有機(jī)融合、網(wǎng)絡(luò)安全的各方力量協(xié)調(diào)配合起來，最大限度維護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全。

一、認(rèn)識管理對象：人和物

“人”簡單的理解就是關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員，“物”即關(guān)鍵信息基礎(chǔ)設(shè)施。中華人民共和國國家標(biāo)準(zhǔn)《信息安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施（征求意見稿）》（下文簡稱“國標(biāo)”）對從業(yè)人員的解釋不局限于網(wǎng)絡(luò)安全崗位上的專業(yè)人員，還包括行業(yè)內(nèi)部與關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營相關(guān)的人員，如管理人員、操作人員、使用人員、服務(wù)人員等。這樣的擴(kuò)充不無道理，因?yàn)殛P(guān)鍵信息基礎(chǔ)設(shè)施或因承載業(yè)務(wù)的連續(xù)性、承載數(shù)據(jù)的機(jī)密性、承載系統(tǒng)的完整性而存在，因此無論是業(yè)務(wù)的運(yùn)維人員、數(shù)據(jù)的管理人員，還是系統(tǒng)的操作人員都與關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全緊密相關(guān)，理應(yīng)納入管理對象中，開展安全教育，提高安全意識。國家網(wǎng)信辦發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》（下文簡稱“條例”）提出關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要社會各方積極參與，鼓勵關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)“體系”。前面講的是關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)內(nèi)的人員，這里所謂的體系不僅包括內(nèi)部人員，還應(yīng)包括關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)外的人員：網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、行業(yè)組織等。只有站在這樣的角度全面理解“人”才能確保安全管理的制度設(shè)計不缺項(xiàng)、不漏項(xiàng)，沒有空檔，因?yàn)椤叭恕笔顷P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的主體力量，但同時具有思想的復(fù)雜性、行為的難以預(yù)見性，是管理的重點(diǎn)和難點(diǎn)。要落實(shí)好網(wǎng)絡(luò)安全要求，首先就要落實(shí)好對人的管理要求。

“物”是支撐關(guān)鍵業(yè)務(wù)運(yùn)行、承載重要涉密信息的物理實(shí)體，由網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)及存儲于其中的數(shù)據(jù)所構(gòu)成。因?yàn)槠渲侮P(guān)鍵業(yè)務(wù)運(yùn)行，所以一旦損毀將影響相應(yīng)領(lǐng)域的工作開展及業(yè)務(wù)運(yùn)轉(zhuǎn)；因?yàn)槠涑休d重要涉密信息，所以一旦被竊取或泄露將影響關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的安全穩(wěn)定乃至國家安全。物的特點(diǎn)是脆弱性和易失性，其漏洞容易被人所利用和攻擊，其存儲的信息容易被獲取或篡改，是網(wǎng)絡(luò)威脅的攻擊對象，是網(wǎng)絡(luò)安全的重點(diǎn)管理對象。

二、具體問題具體分析：針對性管理措施

安全管理要把握管理對象發(fā)展變化的關(guān)鍵環(huán)節(jié)和重點(diǎn)階段，關(guān)注不同類型管理對象的個性與共性，因地制宜，采取針對性措施。對于關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員，要把握好入職、篩選、調(diào)動、離職四個環(huán)節(jié)。在入職時要進(jìn)行安全背景審查，開展入職培訓(xùn)；篩選時要結(jié)合人員的實(shí)際情況合理分配權(quán)限，并簽訂保密協(xié)議、崗位責(zé)任協(xié)議，實(shí)行網(wǎng)絡(luò)安全關(guān)鍵崗位專業(yè)技術(shù)人員執(zhí)證上崗制度；調(diào)動時要修改人員原有的訪問權(quán)限以符合新的崗位要求；離職時要對人員工作中分配的信息系統(tǒng)訪問權(quán)限進(jìn)行收回，并進(jìn)行離職面談，明確離職后的保密義務(wù)。對于行業(yè)外的人員或稱第三方人員（網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、行業(yè)組織，以及合同商、信息系統(tǒng)開發(fā)商、維護(hù)人員）主要是以共同協(xié)商或訂立協(xié)議的方式建立安全要求，采取針對性管理措施。如對于網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)商，首先要進(jìn)行安全評估，評估其保密資質(zhì)、服務(wù)水平和管理情況，做到保密有資質(zhì)、服務(wù)有水平、管理運(yùn)轉(zhuǎn)透明，其次要優(yōu)選能對下級的供應(yīng)商負(fù)責(zé)，能對外包服務(wù)的開發(fā)商和開發(fā)人員負(fù)責(zé)的供應(yīng)商。對于存在信息共享關(guān)系的科研機(jī)構(gòu)、行業(yè)組織，主要是簽訂好保密協(xié)議，避免共享信息的泄露和二次擴(kuò)散。對于關(guān)鍵信息基礎(chǔ)設(shè)施的外部維護(hù)人員，要進(jìn)行授權(quán)管理，在授權(quán)的情況下才可對關(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行維護(hù)，未授權(quán)的人員要實(shí)施有人監(jiān)督的陪同維護(hù)。從共性方面來講，無論是關(guān)鍵信息基礎(chǔ)設(shè)施從業(yè)人員，還是第三方人員，都要開展網(wǎng)絡(luò)安全意識教育與安全技能培訓(xùn)，既要全員覆蓋又要區(qū)分層次。

對于“物”而言，主要抓好信息系統(tǒng)建設(shè)、改造、使用、廢棄和重要數(shù)據(jù)收集、存儲、使用、傳輸、披露這幾個重要階段的管理，落實(shí)相關(guān)制度。在信息系統(tǒng)的建設(shè)階段，建設(shè)前分析安全需求、定義安全要求、設(shè)計安全體系、驗(yàn)收安全效果，建好后重點(diǎn)是依照對關(guān)鍵業(yè)務(wù)的支撐度識別重要數(shù)據(jù)和重要系統(tǒng)，建立資產(chǎn)（系統(tǒng)和數(shù)據(jù)的總和）清單、保留基線（最低）配置，分析系統(tǒng)的脆性和可能面臨的網(wǎng)絡(luò)威脅，實(shí)施漏洞管理，開展風(fēng)險分析，制定針對性防范措施。在改造階段，要更新資產(chǎn)（含組件）清單，重新評估網(wǎng)絡(luò)安全風(fēng)險，根據(jù)新的安全風(fēng)險升級安全設(shè)施，實(shí)施變更管理，并確保在升級轉(zhuǎn)化的過程中業(yè)務(wù)的平穩(wěn)過渡、安全設(shè)施的連續(xù)運(yùn)行。在信息系統(tǒng)使用階段，重點(diǎn)開展網(wǎng)絡(luò)安全定級，落實(shí)等級保護(hù)要求，部署網(wǎng)絡(luò)安全策略，實(shí)施分區(qū)分域管理，及重要系統(tǒng)和數(shù)據(jù)的容災(zāi)備份。在系統(tǒng)廢棄階段，要保護(hù)廢棄的設(shè)施中存儲信息的安全，消除涉密敏感信息，并保留處置記錄。在重要數(shù)據(jù)的管理階段中，重點(diǎn)是落實(shí)個人信息保護(hù)制度，個人信息和重要數(shù)據(jù)的境內(nèi)存儲，及出境安全評估制度，防止重要涉密信息的泄露、篡改、損毀和丟失。

三、聯(lián)系觀：融合與配合

“融合”，即將網(wǎng)絡(luò)安全融入到關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)中，將網(wǎng)絡(luò)安全機(jī)制細(xì)化于關(guān)鍵信息基礎(chǔ)設(shè)施的具體實(shí)現(xiàn)中。在融合的過程中要把握關(guān)鍵信息基礎(chǔ)設(shè)施的業(yè)務(wù)運(yùn)行是主體、中心，網(wǎng)絡(luò)安全管理圍繞業(yè)務(wù)的穩(wěn)定持續(xù)運(yùn)行而展開，并納入其中同步運(yùn)行，包括同步規(guī)劃、同步建設(shè)、同步使用。對于這一點(diǎn)，在“國標(biāo)”中得到了印證，它明確提出：“確保漏洞補(bǔ)丁經(jīng)過測試后才可使用；確保漏洞管理過程不影響業(yè)務(wù)連續(xù)性”、“確保安全人員規(guī)模不能少于信息化人員的20%”、“在發(fā)生安全事件時，確保應(yīng)急響應(yīng)計劃的實(shí)施能夠維持信息系統(tǒng)的基本業(yè)務(wù)功能，并能最終完全恢復(fù)信息系統(tǒng)且不減弱原來的安全措施”，這三點(diǎn)分別體現(xiàn)了網(wǎng)絡(luò)安全與關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)在風(fēng)險管理、人力資源建設(shè)和應(yīng)急處置中的融合，即“將網(wǎng)絡(luò)安全連續(xù)性納入業(yè)務(wù)連續(xù)性管理之中 ”。

“配合”是指關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的內(nèi)部力量與外部力量相適、合作。內(nèi)部力量是關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的網(wǎng)絡(luò)安全組織，是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的主體力量，外部力量有如行業(yè)外的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者、科研機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)、應(yīng)急響應(yīng)機(jī)構(gòu)、信息通報機(jī)構(gòu)以及其它社會力量。眾所周知，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)不是一家單位、一個部門的事，它需要將內(nèi)部力量與外部力量聯(lián)系起來，實(shí)現(xiàn)協(xié)調(diào)配合、優(yōu)勢互補(bǔ)，整體作用大于局部作用之和的效果。具體體現(xiàn)：在信息共享活動中，內(nèi)部安全組織要與外部的應(yīng)急響應(yīng)、信息通報和研究機(jī)構(gòu)共享網(wǎng)絡(luò)威脅信息，交流威脅處置經(jīng)驗(yàn)，共同研判網(wǎng)絡(luò)威脅態(tài)勢和應(yīng)對措施；在網(wǎng)絡(luò)安全應(yīng)急演練中，要邀請網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)參加，磨合協(xié)調(diào)一致的默契，必要時與之建立直接的合作關(guān)系，獲得第一時間的協(xié)助；在事件處置中，要充分發(fā)揮產(chǎn)品和服務(wù)供應(yīng)商熟知設(shè)備原理、通曉設(shè)備脆性的優(yōu)勢，在保護(hù)好商業(yè)秘密、維護(hù)好企業(yè)利益的前提下，積極獲取幫助與支持，共享有關(guān)信息，等等。上述所講的各類外部組織是關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的重要合作伙伴，發(fā)揮著政府部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營部門不可替代的作用，是“條例”所講的“關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系”的重要參與方，從本質(zhì)上體現(xiàn)了信息時代網(wǎng)絡(luò)安全工作的多參與方特點(diǎn)，必須予以高度重視，而不能將這些組織放在外圍、擺尾的地位上。在這個問題上，生產(chǎn)資料高度私有化的美國，在20世紀(jì)90年代開展關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的時候就高度重視政府與企業(yè)的合作，即所謂的“政企合作”或“公私合作”（Public-Private Partnership）保護(hù)模式。有人認(rèn)為這是由美國的關(guān)鍵基礎(chǔ)設(shè)施大部分歸私企所有而決定的，但是網(wǎng)絡(luò)空間的威脅不因關(guān)鍵基礎(chǔ)設(shè)施或關(guān)鍵信息基礎(chǔ)設(shè)施歸誰所有而存在，它具有傳播的快速性、影響的分布性及源頭的隱蔽性，相應(yīng)決定了預(yù)警信息如不迅速發(fā)布將導(dǎo)致更多的受損方、網(wǎng)絡(luò)威脅分析如不采用綜合集成的方法將難以判明攻擊方的意圖、情報信息如不高效流通將難以對威脅溯源。要解決這些問題就需要政府與政府之間、企業(yè)與企業(yè)之間，以及政府與企業(yè)之間，就網(wǎng)絡(luò)威脅情報、設(shè)備設(shè)施脆性、攻擊預(yù)防措施以及預(yù)警信息研判等開展溝通合作與信息共享。只有這樣才能應(yīng)對瞬息萬變的網(wǎng)絡(luò)空間威脅。因此，網(wǎng)絡(luò)安全保護(hù)力量之間的合作是一個與社會性質(zhì)無關(guān)的話題，它是信息時代網(wǎng)絡(luò)安全工作多參與方特點(diǎn)的本質(zhì)要求，即關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全需要多方配合、發(fā)揮合力才能管好。

美國高度重視關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的“政企合作”