专家| 原浩：关键信息基础设施保护要求实施的若干障碍

《网络安全法》（网安法）第31条规定了“关键信息基础设施（CII）的具体范围和安全保护办法”，相关办法、标准等作为网安法的配套制度正在密集研讨和制定中。无独有偶，美国NIST于2014年制定的Framework for Improving Critical Infrastructure Cybersecurity（CSF）也在今年初迎来修订。CSF作为各国众多组织机构已经上手应用的标准框架，无疑具有相当的可用性和普适性，例如意大利2016年网络安全年度报告（2016 Italian Cybersecurity Report）就以CSF作为工作底版。我国相关制度建设应借鉴包括CSF在内的各国网络安全治理（风险管理）的优秀成果和经验，但同时应考虑CSF制定和实施的美国场景，避免成为CSF的中文版。

本文从CSF框架的核心要素出发，以企业（对应于标准术语的“组织”）视角列举了CII保护功能要素在具体实施中面临的一些典型障碍，以期在我国配套制度制定和本地化改造中予以关注和因应。需要注意的是，这些问题有些是共性的，有些则具有本国特性。

CSF框架的核心功能要素为Identify、Protect、Detect、Respond、Recover，如以此参照，我国CII保护基本要求为识别、防护、检测、响应和恢复。在中英对应的字面上看，Respond是对应为响应还是预警，响应似偏重事后，消减网络安全事件的后果，和处置关系紧密；预警则强调“动态感知”，体现预判和警示，避免网络安全事件的发生。从网安法的条文结构看，对应为预警的可能性较大。

再如，Recover对应为恢复还是处置，处置更侧重事件，恢复则更关注业务。似恢复的功能性较处置更为完善，不仅限于对网络安全事件（不规范起见，本文称网络安全事件包括危害网络安全的行为）的处置，词义上更包括了对CII功能和业务的恢复与持续。因此建议考虑相关要素、要求的准确表达，因为这些基础要素一旦展开，可能包含的风险管理的具体内容、控制规范上的差异就会明显放大。

考虑到典型网络类型和结构的差异性，本文参照2015年版本《电信业务分类目录》，从成本、技术、运营、市场和法律、政策角度对CSF框架下CII保护功能要素的实施提出可能需要回应的典型障碍：

对于CII识别要求的资产管理方面，主要障碍在于如何基于组织的规模（CII运营者的规模并非整齐划一）和业务的实际与预期需求确定CII保护投入的成本和费用，这些投入在初期可能是指数级的增长，显然目前CII运营者对此并无充分准备。鉴于CII的具体形态可能是一个网络、一个系统，也可能是系统、网络的组合，因此识别要素应按照这一思路进一步阐述和明晰系统、网络的“边界”和“联结”关系，既要周全延伸，又要适度收敛。

实施CII保护并未提供特定的技术（从技术中立性，也不应限制或优先设定某一技术），而随着技术发展将进一步导致技术应用问题的复杂化。同时，在复杂的威胁环境中获得和辨别信息的可靠与否、可靠程度极具挑战。因此应在最为实际、可行的基础上全面评估组织（包括运营环境在内，从宏观和微观层面）安全风险，并作为风险管理的出发点。

澄清和准确适用政策和法律无疑是CII保护的基本前提。从网络市场来看，目前界定和区别分类、分（密）级信息的政策和法律比较困难，等级保护制度正在实现从信息安全到网络安全跨越的修订和提升法律位阶的紧张阶段，《电信业务经营许可管理办法》则放出修订征求意见稿，网安法的其他配套制度亦在紧锣密鼓的起草制定，彼此之间结构关系一旦考虑不周则易产生冲突，而涉及公安、网信、工信等多个部门、机构的政策与法律协同则更需清理规范。

现有的如何确定网络安全投资回报的支持数据和分析方法较少，因此无法精确风险管理的控制程度（即实际确定哪些风险需要通过措施降低、哪些需要规避、哪些需要接受：风险敞口）。

防护要求方面，和等保制度不同，CII的保护要求可能是强制性的进而现有系统需要大量投资部署（例如网安法特别关注的访问控制、数据保护、人员管理相关技术措施和策略），因此明确组织的定位和愿景尤为重要。

在复杂威胁环境中，由于难以实施和衡量人员安全意识和培训的有效性，因此人员安全和人员引入的网络安全与合规风险仍将是CII运营者面临的主要风险。例如是否基于网安法第34条对人员增加资质认证，就会引入行政许可的争议。

广泛可用的技术和解决方案反而成为复杂性的障碍。特别是网安法对“关键信息基础设施的运营者采购网络产品和服务”，所有网络运营者采购“网络关键设备和网络安全专用产品”提出了强制性标准、保密、乃至国家安全审查的要求，加剧了复杂性障碍问题。CII运营者应思考如何甄别关键、专用，实现“安全可控”，以及如何通过部署通用技术解决特定系统、网络（CII）威胁的方法。

在CII保护的持续性方面，现有标准和指南（包括CSF中列举的COBIT 5、ISA、ISO/IEC 27001、CCS、NIST SP 800-53，在我国的标准实践中也多有对应或借鉴）不能确保其作为组织业务模式的有机组成部分，因此如何协调并与组织的运营保持一致，是能否得到贯彻的关键。例如组织应考虑针对行业、业务特点增加适用HIPAA、CSA等相关规则。

整体而言，实践中如何监测和评判安全措施的防护效果具有相当难度。因此组织应考虑哪些是需要优先考虑的安全措施。

如何确定网络安全事件影响的实时性仍然是检验检测要求的一大难题，也正因此“全天候全方位感知网络安全态势”的提法和实现显得极具价值。组织应尽可能保持CII保护与业务流（数据流、资金流或类似提法）的一致性。

对全体人员行为的实时、全时“监控” 具有相当难度，换言之，即是需要增加额外的投资。因此组织应考虑哪些是需要优先考虑的安全措施。

采购SIEM/IPS/IDS技术和系统将需要额外的资本投入（包括战略性和持续性投资的考虑）。而分配、雇用、培训负责SIEM/IPS/IDS技术和系统的员工将需要有额外的运维成本。

对CII的响应要求而言，首要问题是用于采购业务连续性和灾难恢复等技术和系统以及培训人员以恢复系统和数据，并确保业务恢复需要额外的资金和运维成本的投入。而且毫无疑问，预警要高于响应的资源要求。

从立法角度，正所谓能力越大，责任越大，CII运营者由于顾忌法律责任，可能会限制自愿的信息共享，这将削弱网安法第39条和第5章建立的（基于信息共享的）“监测预警和信息通报制度”，由于网信部门要求“按照规定统一发布网络安全监测预警信息”，如果没有共享威胁和事件信息，信息发布就变成无米之炊。米国通过反复提案CISPA和已经通过的CISA和其他法案的责任保护和自我审核的责任限制试图减轻这一障碍，这也是我国在制定CII配套制度时需要考虑的问题。

从电子数据证据角度，缺乏网络安全调查/安全分析/取证/事件响应等技术领域的专业知识将限制和阻碍对侵入、攻击、违规等威胁的有效反应。两高一部的《关于办理刑事案件收集提取和审查判断电子数据若干问题的规定》可以视为网安法的配套制度，其对CII运营者和其他网络空间利益相关者的参考价值也不局限于刑事案件和取证领域。

黑客等攻击者社区具有发动攻击、创新方法和技术的无限动力与可能。组织将会在预测黑客的下一步行动和攻击点上耗费大量时间和金钱。换言之，CII运营者与黑客等攻击者的对抗将是持续、长期和艰难的过程。

大量的虚假警报、缺乏专门人员（可用性），缺少预算都可能影响组织保持和更新响应策略的能力。作为不完全匹配的例子，米国的《波特曼-墨菲反宣传法案》就是一个应对政治宣传和谣言的专门机制，为此还建立和提升了专门的全球作战中心（GEC），因此我国“监测预警和信息通报制度”下的平台建设需要加速整合和推动。

恢复要求的障碍主要在于采购数据恢复技术和异地服务（如存储备份，而异地服务需同时考虑网安法跨境数据评估的要求）将会有额外的资金成本。分配、雇用、培训员工负责业务连续性和灾难恢复则会增加运维成本。而如果缺少业务连续性和灾难恢复计划将阻碍从攻击、违规或数据丢失事件中有效恢复。

另外一个老大难问题就是某些员工、高管、董事或股东可能禁止或限制对相关信息新闻的内容和发布，即使是确认的“官方”通知和“事后”迟延发布。考虑对组织运营的影响当然是重要的一方面，但在已知案例中，很大程度上是出于对其自身利益的考虑——例如雅虎事件。在我国如何发布、何时发布显然更需要高明的组织策略和网信部门的指导、统筹、协调。

综上，CII配套制度的制定和实施应充分考虑现存的障碍，应在调研、征求意见等基础上，从问题导向出发，对这些障碍作出回应。网安法无论如何争议已通过和即将施行了，但配套制度的建设仍需严谨、审慎论证，否则如何落地会持续成为业界的困惑。

作为回应的通盘方案，本文认为既然网安法第38条已经规定，关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，应通过部署和总结公安部网络安全执法检查和网信办关键信息基础设施网络安全检查工作的底稿和发现，充分酝酿并适时启动首期年度的首次网络安全风险评估工作——以赛带练。

作者简介：

江苏竹辉律师事务所合伙人，CISSP (2007-2010)

江苏省律协电子商务与信息网络业务委员会副主任

全国律协信息网络与高新技术专业委员会研讨员

中国科技法学会理事

西安交通大学苏州研究院兼职研究员

西安交通大学信息安全法律研究中心兼职研究员

本文首次发表于thinktea公众号，转载已经获得作者授权。