日本关键信息基础设施保护制度及对我国的启示 作者:公安部第三研究所/黄道丽 西安交通大学信息安全法律研究中心/方婷

自20世纪90年代以来,日本持续关注关键信息基础设施保护,并已经逐步建立了以政策法律为基础,以组织机构体系建设为重点,以监测预警和信息共享机制为支撑,以技术、人员、资金支持为保障的关键信息基础设施保护制度。

日本关键信息基础设施保护的政策法律

1. 2001年《构建先进信息与通信网络社会基本法》

为了适应因利用信息和通信技术所导致的世界社会经济结构迅速和剧烈变化的迫切需求,日本于2001年1月6日开始实施《构建先进信息与通信网络社会基本法》,其目的在于确立信息安全的基本观念和基本政策,明确国家和地方政府的责任,保障关键基础设施的安全,并为形成先进信息和通信网络社会制定优先发展政策。

2. 2005年《关键基础设施信息安全措施行动计划》

2005年12月13日,日本国家信息安全中心制定并颁布了《关键基础设施信息安全措施行动计划》,其中对关键基础设施的概念做出了明确的界定,即由提供高度不可代替且对人民社会生活和经济活动不可获取的服务的商业实体组成,如果其功能被暂停、削弱或根本无法运行,人们的社会生活和经济活动会遭受重大破坏。其中规定关键部门包括十类:电信、金融、民航、铁路、电力、燃气、政务、医疗、水利和物流。

依照《行动计划》,组成关键基础设施重要部分的基本信息系统统称为“关键信息系统”,在评估其对公民社会生活和经济活动影响程度的基础上,由个别关键基础设施部门进行定义。目标关键信息系统的细节定义由各个从事关键基础设施的营业单位参照《行动计划》附件1中列出的各部门关键信息系统例证做出。

3. 2010年《保护国家信息安全战略》

2010年5月11日,日本发布《保护国家信息安全战略》,其在巩固政府基础设施、社会公共基础设施和其他基础设施方面做出了具体规定。其中,巩固关键基础设施的措施包括:(1)强化信息共享系统;(2)推动CEPTOAR委员会职能的实现;(3)组织和选择安全标准;(4)改善关键基础设施保护措施;(5)细化业务连续性计划;(6)在关键基础设施方面推动国际联盟的建立。

4. 2013年《网络安全战略——迈向世界领先的、弹性的、充满活力的网络空间》

2013年6月,日本发布《网络安全战略——迈向世界领先的、弹性的、充满活力的网络空间》,其中指出,在关键基础设施领域,必须确保公民生活、社会经济活动、政务活动和所有活动能够平稳可靠地运行。因此,应当依照政府机关的做法,基于信息系统所需的防护特征,实施信息安全保障措施。《战略》进一步指出,前述10个领域的“关键基础设施提供商”根据政府机关和其他措施,应当加强落实以下机制的具体实施,包括:

第一,建立关键信息基础设施保护的信息共享机制。《战略》指出,关于跨行业目标攻击信息的共享是困难的,应当制定和扩展有关信息共享的机密性协议。更为重要的是,为了加强网络攻击的协同应急响应能力,日本通过建立计算机安全应急响应小组,推动关键基础设施提供商与网络空间相关运营商和私人组织间机密关系的确立。

第二,建立关键信息基础设施评估认证机制。具体而言,推动关键基础设施提供商和网络空间相关运营商有关漏洞信息和攻击信息的共享以加强合作,以检测如何实施国际采购、检测控制与数据采集操作、其他控制系统装备和系统的评估和认证模式,推动旨在建立评估和认证控制系统装备和系统的措施。

5. 2013年《国际网络安全战略网络安全合作计划》

2013年10月2日,日本信息安全政策委员会发布《国际网络安全战略网络安全合作计划》,其中指出了需要遵循的基本原则:(1)保证信息的自由流动,确保不存在过度监管和立法规范,以保证网络空间的开放性和互通性,并维护和确保信息在安全可靠的网络空间内自由流动;(2)积极应对日益严峻的网络安全威胁;(3)增强基于风险的方法,并通过及时和适当的资源配置以及国际合作努力,迅速恢复并防止任何进一步的损害;(4)在社会责任感的基础上协同合作。 

总体而言,日本关键信息基础设施保护的组织机构体系已经逐步建立。其中,内阁秘书处是负责日本政府关键基础设施和信息安全的重要部门,国家信息安全中心(NISC)和信息安全政策中心(ISPC)由内阁秘书处于2005年建立,是制定关键基础设施保护政策的核心组织。此外,国家警察局主要负责关于网络犯罪监控等事务,内务和通信部主要负责通信及网络政策相关的事务,经济、贸易和工业部主要负责信息技术政策方面的事务,国防部主要在网络领域维护国家安全,上述部门在关键基础设施保护方面协助内阁秘书处处理相关事务。

同时,跨部门合作组织大多由来自国家机关各部门和公共部门各相关领域的专家,其与政府部门相协调,共同维护国家信息安全。由此可见,日本已经基本建立了完善的以内阁秘书处为领导,政府相关部门和私营部门共同参与、分工明确、相互协调的关键信息基础设施保护组织机构体系。跨部门合作组织主要包括:

1. 国家应急响应小组

国家应急响应小组是设于内阁秘书处的一个信息安全办公室,在组织框架中隶属于计算机应急响应小组(Computer Emergency Response Team, CERT),其在政府部门处理互联网紧急事件中排在首位。根据《确保电子政务信息技术安全行动计划》的规定,国家应急响应小组包括17个来自于政府部门和民间机构的专家,主要负责:(1)准确地理解和分析紧急事件;(2)制定技术政策以应对紧急事件,并防止事件重现;(3)协助其他政府机构解决信息安全问题;(4)收集和分析信息或情报,以在事件发生时有效制定可能提供的解决方案和战略;(5)向政府机构提供专业知识和信息;(6)提高并改进与信息安全有关的知识。

2. 计算机应急响应小组协调中心

日本计算机应急响应小组协调中心(JPCERT/cc)是日本建立的第一个计算机安全事件响应小组(Computer Security Incident Response Team, CSIRT),其包括网络服务提供商、安全服务/商品提供商、政府机构以及工业和商业协会。中心同时也是亚太地区计算机应急响应小组(APCERT)以及事件响应和安全组论坛(FIRST)的成员,其负责协调并结合与信息安全有关的预防措施,与其他计算机安全事件响应小组(CSIRT)保持一致。

计算机应急响应小组协调中心具体负责协调网络服务提供商、安全提供商、政府机关和行业协会。负责的事项包括计算机安全事件响应;协调国内和国家计算机安全事件响应小组和其他相关组织的工作;促进建立新的计算机安全事件响应小组,并与其他工作小组进行合作;收集和宣传关于计算机安全事件的信息技术、缺陷和补丁、其他安全信息,并发布预警和通知;计算机安全事件的研究和分析;管理关于安全技术的研究;通过教育和培训提高信息安全意识和技能。

3. 电信信息共享和分析中心

在日本,信息共享和通知机制促进了政府之间、政府与各行业之间以及各行业之间的有效沟通。2001年,日本建立了电信信息共享和分析中心(Telecom Information Sharing and Analysis Center Japan, Telecom-ISAC Japan)。除了实时监测计算机入侵事件并执行信息采集和分析以外,日本电信信息共享和分析中心还与其他电信运营商进行数据交换,为其提供相关的预防措施建议。

4. CEPTOAR委员会

CEPTOAR委员会(Capability for Engineering of Protection, Technical Operation, Analysis and Response Council)由各个CEPTOAR的代表组成,旨在在各个部门之间共享公共信息,以及跨部门最佳实践。

5. 非法程序对抗措施委员会

非法程序对抗措施委员会(Unauthorized Program Countermeasures Council)的建立旨在在杀毒软件提供商之间共享关于非法程序对抗措施的信息。

6. 网络恐怖主义应对委员会

网络恐怖主义应对委员会(Cyber-terrorism Counter-measures Council)提供从警察处获得的关于网络恐怖主义的信息,私营部门专家的会谈,经营者之间的意见交流,并实现信息共享,其由国家关键基础设施提供商和其他地区的成员组成。

7. 网络事件移动协助小组

为防止损害扩散、提供技术支持和建议,并在针对内阁和其他机构网络攻击事件中,在国家信息安全中心主任的带领下组织调查和预防事件再发,NISC于2012年6月建立网络事件移动协助小组(Cyber incident Mobile Assistant Team)。在紧急事件中,小组与NISC共同工作以减少损失、并防止损失扩大。

8. 预防非法通信委员会

预防非法通信委员会(Council to Prevent Unauthorized Communications as a Cyber Intelligence Measure)旨在共享关于从处理安全事件或提供安全监控服务的服务提供商处获取网络攻击信息等内容。

日本关键信息基础设施保护制度对我国的启示

针对日本关键信息基础设施保护制度进行研究和分析,能够为我国制定出台相应的政策法律,建立行之有效的组织机构体系,以构建体系化的关键信息基础设施保护法律制度提供有益的参考和借鉴。

1. 制定关键信息基础设施保护的专门立法

纵观日本关键信息基础设施保护的政策法律现状可以看出,其不仅通过出台相关法律满足关键信息基础设施的保护需求,还将这一需求上升至国家战略的高度,并明确了关键信息基础设施保护的具体措施,相应的组织管理机构体系及其职责等内容。在此方面,《网络安全法(草案)》已经设专节规制“关键信息基础设施的运行安全”,可以看出,我国已经开始重视关键信息基础设施保护方面的立法需求。然而,综合考虑国内外形势和国情现状,关键信息基础设施保护专门立法的制定和出台则显得十分必要。

2. 明确关键基础设施的范围

如前所述,日本的关键基础设施是指由提供高度不可代替且对人民社会生活和经济活动不可获取的服务的商业实体组成。如果基础设施的功能被暂停、削弱、或根本无法运行,人们的社会生活和经济活动会遭受重大破坏。在此基础上,日本明确指出,组成关键基础设施重要部分的基本信息系统统称为“关键信息系统”,若其遭受破坏将对公民社会生活和经济活动造成不可估量的损失。其中,电信(通信)、金融、民用航空、铁路、电力、天然气、政府和行政管理服务、医疗服务、水利和物流这十个关键领域从事着不可替代的服务,因此被认定为关键基础设施部门。同时,日本政府在其国家战略实施过程中,详细区分了上述关键基础设施部门中的哪些系统属于重点保护对象。值得注意的是,日本逐步扩大其受保护的关键信息基础设施范围,并借鉴美国确定的关键基础设施部门,将智慧城市、交通控制系统、其他网络类型的系统、国防工业、能源相关产业的信息系统都纳入关键信息基础设施的范围。

在此方面,《网络安全法(草案)》已经明确了关键信息基础设施的范围包括:基础信息网络、重要行业和公共服务领域的重要信息系统、军事网络、地市级以上国家机关政务网络、用户数量众多的网络服务商网络和系统。然而,这一界定是否科学合理,还需要充分评估国家安全和社会运行的具体情况,坚持认定标准的原则性与灵活性相结合,以便对其进行适时的动态调整。

3. 构建关键信息基础设施保护的组织管理体系

值得注意的是,日本已经逐步建立了包括政府部门和私营机构共同参与的关键信息基础设施保护的组织管理体系,基于此,在日本,由不同政府部门的多个机构和单位共同承担关键信息基础设施保护的责任,且其职责和分工明确,并且其相互之间已经形成了良好的沟通协调机制。

《网络安全法(草案)》已经划定了国家网信部门、关键信息基础设施行业主管部门和运营使用单位的相关职责和义务,在具体保护措施实施的过程中如何保证职责分工明确,并实现有效的沟通协调还需要进行具体的规制研判。

4. 建立关键信息基础设施保护的早期预警机构

如前所述,日本已经建立了计算机应急响应小组协调中心(JPCERT/cc)的早期预警机构,负责处理计算机安全事件和脆弱性问题,并通过发布安全预警降低网络攻击成功的可能性。在此方面,我国已经建立了以国家网络与信息安全信息通报中心为核心,包括公安部信息安全等级保护评估中心、国家互联网应急中心、中国信息安全认证中心、中国信息安全测评中心、公安部计算机信息系统安全产品质量监督检验中心、计算机病毒防治产品检验中心等在内的早期预警机构,然而如何实现各机构之间的有效协调和沟通仍然是早期预警机构充分发挥职能所需重点考虑的问题。

5. 建立关键信息基础设施保护的信息共享机制

基于前述分析可以看出,日本在关键信息基础设施保护的监测、预警、应急、响应等方面都建立了及时高效、上通下达的网络安全信息共享机制,其中涉及政府部门之间,私营部门之间以及政府与私营部门之间,国家之间的关键信息基础设施保护的信息共享。《网络安全法(草案)》已经对此有所关注,要求促进相关主体(有关部门、关键信息基础设施运营者以及网络安全服务机构、有关研究机构等)之间进行网络安全信息共享。然而,如何综合考量并协调政府、企业和个人的利益,建立行之有效的关键信息基础设施保护的信息共享机制也是我国当前关键信息基础设施保护制度建立过程中亟需解决的主要问题。

6. 注重关键信息基础设施保护的技术支持和专业人员培养

日本在上述政策法律中已经明确提出关键信息基础设施保护的技术支持问题,强调政府鼓励和支持相关技术和产品的研究与开发,保障对进行关键信息基础设施保护的研究中心、大学和公司提供相应的政策和经费支持,并关注关键信息基础设施保护的专业人员培养、信息安全培训和教育。

7. 加强关键信息基础设施保护的国际合作

日本关键信息基础设施保护制度重点涵盖了国际合作的要求,其中鼓励日本积极与其他国家和国际组织展开合作,以共同制定关键信息基础设施保护的国际规范,并致力于提高关键信息基础设施保护的监测、预警、应急处置与恢复能力,以保障全球关键信息基础设施的整体安全性和可靠性,这也是我国在建立关键信息基础设施保护制度的必然要求。(本文为信息网络安全公安部重点实验室开放课题项目资助“基于风险控制的互联网关键基础设施保护法律研究”(C13603)的阶段性成果。)

2017-01-13 14:11
来源:中国信息安全杂志(2016.07)
热门推荐更多
热点新闻更多