信息安全管理系列之七十一　金融關(guān)鍵信息基礎(chǔ)設(shè)施安全治理實(shí)踐探討

謝宗曉 　甄杰　董坤祥

信息安全管理系列之七十一

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（中華人民共和國(guó)國(guó)務(wù)院令第745號(hào)）自2021年9月1日正式開始實(shí)施，這標(biāo)志著國(guó)內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)將進(jìn)入一個(gè)新的階段。在某些國(guó)家，關(guān)鍵基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略已經(jīng)成為網(wǎng)絡(luò)安全戰(zhàn)略的代名詞。下文對(duì)金融領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施安全治理進(jìn)行了初步的探討。

謝宗曉（特約編輯）

摘要：從安全治理的角度討論了金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的實(shí)踐。首先，界定了金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)所包括的內(nèi)容，區(qū)分了不同的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù);然后，分析了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)在網(wǎng)絡(luò)安全中的重要作用，尤其是對(duì)于高度數(shù)字化/信息化的金融行業(yè);最后，從“良好實(shí)踐”的角度探討了金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的兩個(gè)層次。同時(shí)，也對(duì)“治理”和“管理”異同之處進(jìn)行了初步的探討，這也是強(qiáng)調(diào)治理重要性的原因所在。

關(guān)鍵詞：信息安全治理 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù) 金融行業(yè)

Discussion on Security Governance of Financial Critical Information Infrastructure

Xie Zongxiao （China Financial Certification Authority）

Zhen Jie （Chongqing Technology and Business University）

Dong Kunxiang （Shandong University of Finance and Economics）

Abstract： This paper discusses the practice of financial critical information infrastructure protection from the perspective of security governance. First， it defines the contents of financial critical information infrastructure protection， and distinguishes different critical information infrastructure protection. Then， it analyzes the important role of critical information infrastructure protection in network security， especially for the highly digitized / informationized financial industry. Finally， two levels of financial critical information infrastructure protection are discussed from the perspective of "good practice". At the same time， the similarities and differences between "governance" and "management" are preliminarily discussed， which is also the reason for emphasizing the importance of governance.

Key words：? information security governance， critical information infrastructure protection （CIIP）， financial industry

1 金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的范圍

關(guān)鍵信息基礎(chǔ)設(shè)施不僅具備自身重要性，而且其他關(guān)鍵基礎(chǔ)設(shè)施的正常運(yùn)行也常常依賴于此。因此，關(guān)鍵信息基礎(chǔ)設(shè)施不僅包括關(guān)鍵的信息系統(tǒng)，同時(shí)，也包括了關(guān)鍵基礎(chǔ)設(shè)施的信息技術(shù)模塊。對(duì)于金融關(guān)鍵信息基礎(chǔ)設(shè)施而言，更重要是強(qiáng)調(diào)后者。

《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第一章，第二條：本條例所稱關(guān)鍵信息基礎(chǔ)設(shè)施，是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

以網(wǎng)絡(luò)（network）為例，相關(guān)的金融關(guān)鍵信息基礎(chǔ)設(shè)施主要分為四類：1）公用網(wǎng)絡(luò)提供的服務(wù)，例如，電子銀行，用戶通過VPN或SSL/TLS等方式接入，金融機(jī)構(gòu)自己負(fù)責(zé)安全管理，但是服務(wù)能力，包括系統(tǒng)恢復(fù)能力等基本依賴于信息技術(shù)供應(yīng)商;2）被提供網(wǎng)絡(luò)，例如，銀行接入SWIFT（環(huán)球同業(yè)銀行金融電訊協(xié)會(huì)），對(duì)于銀行而言，基本沒有控制能力，只是作為用戶接入;3）共享網(wǎng)絡(luò)，例如，與其他機(jī)構(gòu)進(jìn)行業(yè)務(wù)交互的網(wǎng)絡(luò)，金融機(jī)構(gòu)與提供商可以共同管理安全;4）私有網(wǎng)絡(luò)，對(duì)于銀行而言，這類網(wǎng)絡(luò)一般運(yùn)行主營(yíng)業(yè)務(wù)，例如，從數(shù)據(jù)中心至分支機(jī)構(gòu)，雖然網(wǎng)絡(luò)是私有的，但是服務(wù)是信息技術(shù)供應(yīng)商提供的，銀行自身對(duì)于恢復(fù)能力等并沒有管理能力。

2 網(wǎng)絡(luò)安全中關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的重要性

習(xí)近平在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議中指出，沒有網(wǎng)絡(luò)安全就沒有國(guó)家安全。網(wǎng)絡(luò)安全（cybersecurity）是網(wǎng)絡(luò)空間安全（cyberspace security）的簡(jiǎn)稱。網(wǎng)絡(luò)空間是一個(gè)由機(jī)器、用戶及其關(guān)系所組成的虛擬世界，網(wǎng)絡(luò)空間雖然強(qiáng)調(diào)“虛擬性”，并不是否認(rèn)其客觀存在性，這個(gè)數(shù)字世界已經(jīng)成為人們生活不可或缺的一部分，正源于此，網(wǎng)絡(luò)空間成為區(qū)別于自然空間和社會(huì)空間的第三大空間。

從網(wǎng)絡(luò)空間的定義可以得知，網(wǎng)絡(luò)空間的存在是建立在軟硬件所組成的信息系統(tǒng)的基礎(chǔ)上。在ITU-T X.1205《網(wǎng)絡(luò)安全綜述》中描述的網(wǎng)絡(luò)安全的一般目標(biāo)為：可用性、完整性和機(jī)密性。這個(gè)目標(biāo)的排序與ISO/IEC 27000：2018《信息技術(shù) 安全技術(shù) 信息安全管理體系 概述與詞匯》中對(duì)于信息安全的目標(biāo)描述是有區(qū)別的，信息安全是為了保持信息的機(jī)密性、完整性和可用性。

可見，可用性在網(wǎng)絡(luò)安全中具有更重要的意義，這也是金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)在網(wǎng)絡(luò)安全時(shí)代成為核心保護(hù)目標(biāo)的原因。因?yàn)橹挥薪鹑陉P(guān)鍵信息基礎(chǔ)設(shè)施正常運(yùn)行，才能保證網(wǎng)絡(luò)空間的真實(shí)存在?？傊鹑陉P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)在網(wǎng)絡(luò)安全中是最重要的一部分，在涉及國(guó)家安全時(shí)，更是如此。

隨著網(wǎng)上支付的迅速發(fā)展，金融服務(wù)是虛擬化最明顯的行業(yè)之一。在傳統(tǒng)的支付體系中，貨幣是最常見的媒介，但是在網(wǎng)絡(luò)空間中，基本已經(jīng)實(shí)現(xiàn)了不需要任何實(shí)物作為支付媒介，就可以完成交易。正源于此，金融領(lǐng)域成為網(wǎng)絡(luò)犯罪（cybercrime）的重災(zāi)區(qū)，據(jù)歐盟網(wǎng)絡(luò)與信息安全局（ENSIA）發(fā)布的報(bào)告《2016年影響關(guān)鍵信息基礎(chǔ)設(shè)施的安全事件損失》，金融關(guān)鍵信息基礎(chǔ)設(shè)施每年平均損失可達(dá)13.50億美元，且在所有的行業(yè)中位列第一，與能源行業(yè)一并遙遙領(lǐng)先，排名第三的技術(shù)行業(yè)損失就下降為8.09億美元。

3 從治理視角探討關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)

嚴(yán)格意義上講，治理和管理是不同的范疇。治理的拉丁文原意是“引航”的意思，這清晰地指明了治理與管理的不同之處，或者說，治理更偏重方向性問題，管理更關(guān)注實(shí)際要解決的問題。這種差異導(dǎo)致在越宏觀的領(lǐng)域，治理詞匯出現(xiàn)得越頻繁，例如，社會(huì)治理、環(huán)境治理、公司治理;在細(xì)分領(lǐng)域中出現(xiàn)的就比較少，例如，信息安全治理就少有討論。這導(dǎo)致在信息安全情境中長(zhǎng)期存在“重技術(shù)，輕管理”的現(xiàn)象，實(shí)際更嚴(yán)重的是“輕治理”。就整個(gè)企業(yè)環(huán)境而言，正如學(xué)者李維安所指出：公司治理已遠(yuǎn)遠(yuǎn)落后于技術(shù)變化[1]。

隨著網(wǎng)絡(luò)安全而凸顯出重要性的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)應(yīng)該有不同的思路，至少應(yīng)該做到治理與管理并重，主要由于關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的視角更宏觀，與網(wǎng)絡(luò)安全等級(jí)保護(hù)一樣，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)更多地從國(guó)家安全和公眾利益考慮，雖然具體控制最終會(huì)落實(shí)到單個(gè)組織或機(jī)構(gòu)，但是良好的治理結(jié)構(gòu)是前提。具體到金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，信息系統(tǒng)分散在不同的金融機(jī)構(gòu)中，作為監(jiān)管機(jī)構(gòu)的中國(guó)人民銀行與中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)，從治理角度可以給出更詳細(xì)的監(jiān)管要求，從管理角度可以提供更多的指導(dǎo)，對(duì)于信息系統(tǒng)的控制則完全是具體金融機(jī)構(gòu)的責(zé)任。

其次，形如ISO/IEC 27014： 2013《信息技術(shù) 安全技術(shù) 信息安全管理》這樣的信息安全治理標(biāo)準(zhǔn)，應(yīng)用范圍是單個(gè)組織，并不涉及整體的治理設(shè)計(jì)，或者說，如果按照李維安的公司治理理論，公司治理是用規(guī)則和制度來約束和重塑利益相關(guān)者之間的關(guān)系，在這個(gè)視角而言，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需要監(jiān)管機(jī)構(gòu)的統(tǒng)一協(xié)調(diào)，金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)不僅僅是金融基礎(chǔ)設(shè)施中信息技術(shù)模塊的保護(hù)，還要包括諸多與信息技術(shù)關(guān)鍵基礎(chǔ)設(shè)施的交互。

4 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)安全治理架構(gòu)

4.1 關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)安全治理的兩個(gè)層次

關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的安全治理分成兩個(gè)層次：第一個(gè)層次是監(jiān)管機(jī)構(gòu)在統(tǒng)籌的角度對(duì)金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)設(shè)計(jì)治理架構(gòu)，從而對(duì)金融機(jī)構(gòu)各自運(yùn)維的關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)現(xiàn)有效的監(jiān)管，從這個(gè)角度講，治理更注重制度的設(shè)計(jì)和利益的重塑;第二個(gè)層次的治理是金融機(jī)構(gòu)的內(nèi)部治理結(jié)構(gòu)問題，一般而言，在組織內(nèi)部，治理屬于董事會(huì)和高管的責(zé)任，從這個(gè)角度講，治理是考慮“內(nèi)外合規(guī)”的制度設(shè)計(jì)，治理是信息安全管理的上層建筑。

4.2 應(yīng)用“良好實(shí)踐”的思路探討治理的架構(gòu)

從“創(chuàng)新擴(kuò)散”的角度而言，每一項(xiàng)新生共性事件都應(yīng)該有對(duì)應(yīng)的“良好實(shí)踐”。以網(wǎng)絡(luò)安全事件為例，跨組織的信息共享是有效預(yù)防的最重要途徑之一，以此理論為基礎(chǔ)，美國(guó)在1988年成立了CERT（計(jì)算機(jī)安全應(yīng)急響應(yīng)組），這種組織架構(gòu)在全世界范圍內(nèi)得到了擴(kuò)散，并導(dǎo)致了各個(gè)國(guó)家在事件信息共享方面在組織形式上的制度性同形，區(qū)域如歐盟成立了歐盟計(jì)算機(jī)安全應(yīng)急響應(yīng)組（CERT-EU），行業(yè)如工控系統(tǒng)計(jì)算機(jī)安全應(yīng)急響應(yīng)組（ICS-CERT）等類似的機(jī)構(gòu)。這可以認(rèn)為是在組織架構(gòu)方面關(guān)于信息安全事件管理的良好實(shí)踐。

但是，信息安全自20世紀(jì)40年代發(fā)展到今天，信息安全治理依然沒有業(yè)界所公認(rèn)的模型、架構(gòu)或標(biāo)準(zhǔn)體系。在信息安全管理方面，以ISO/IEC 27000標(biāo)準(zhǔn)族為代表的“良好實(shí)踐”，則定義了完整的方法論、控制集、標(biāo)準(zhǔn)體系以及安全架構(gòu)等各個(gè)方面。例如，ISO/IEC 27000定義了標(biāo)準(zhǔn)族的術(shù)語，并介紹了標(biāo)準(zhǔn)族的架構(gòu);ISO/IEC 27001定義了信息安全管理體系（ISMS）的要求，通俗而言就是定義了信息安全管理體系應(yīng)該是什么樣子;ISO/IEC 27002給出了信息安全管理的控制集，其中包括14個(gè)控制域，35個(gè)控制目標(biāo)，114項(xiàng)控制;ISO/IEC 27003則是信息安全管理體系如何在一個(gè)具體組織內(nèi)的部署指南，ISO/IEC 27004討論了信息安全管理體系的監(jiān)視與測(cè)量的細(xì)節(jié)。以此類推，從ISO/IEC 27000直至ISO/IEC 27059定義了信息安全管理的方方面面。

4.3 金融行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)治理架構(gòu)

從跨組織的金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)而言，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》第二章，第四條：本條例第二條涉及的重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門是負(fù)責(zé)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作的部門（以下簡(jiǎn)稱：保護(hù)工作部門）。中國(guó)人民銀行和中國(guó)銀行保險(xiǎn)監(jiān)督管理委員會(huì)也可以按照“良好實(shí)踐”的思路進(jìn)行全行業(yè)的指導(dǎo)和監(jiān)管工作。

首先，可以建立全行業(yè)的行業(yè)信息共享機(jī)制，這類似于事件管理，當(dāng)然也可以將相關(guān)的職能與計(jì)算機(jī)安全應(yīng)急響應(yīng)等功能合并處理。此外，從行業(yè)角度，應(yīng)該建立關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別標(biāo)準(zhǔn)及指南，在識(shí)別統(tǒng)計(jì)金融關(guān)鍵信息基礎(chǔ)設(shè)施后，從控制和監(jiān)視的角度建立一個(gè)完整的體系，這實(shí)際與“戴明環(huán)（PDCA）”的邏輯是保持一致的，即計(jì)劃、實(shí)施、監(jiān)視和改進(jìn)。該過程與金融機(jī)構(gòu)內(nèi)部的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)治理結(jié)構(gòu)存在一定的差別，在行業(yè)角度強(qiáng)調(diào)的監(jiān)管，所以不需要過度考慮響應(yīng)和恢復(fù)等具體的工作。

4.4 金融機(jī)構(gòu)內(nèi)部的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)治理結(jié)構(gòu)

從組織內(nèi)部的金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)而言，主要考慮識(shí)別金融關(guān)鍵信息基礎(chǔ)設(shè)施以及具體的控制部署等內(nèi)容。從落地角度來說，組織一般不會(huì)拋開現(xiàn)有的體系重新部署金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，例如，一般需要考慮與現(xiàn)有的網(wǎng)絡(luò)安全等級(jí)保護(hù)或者信息安全管理體系等進(jìn)行整合。從安全治理的角度而言，整合是非常有必要的。

單個(gè)組織的整合治理結(jié)構(gòu)的出發(fā)點(diǎn)首要考慮的是主營(yíng)業(yè)務(wù)，對(duì)于金融行業(yè)而言尤其如此?，F(xiàn)有的治理結(jié)構(gòu)已經(jīng)存在公司治理、信息技術(shù)治理直至信息安全治理等多個(gè)體系，在考慮整合的時(shí)候，一般而言，治理層都是統(tǒng)一的，即涉及董事會(huì)和高管，只是領(lǐng)域不同而已。

目前可以參考的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)良好實(shí)踐，在討論具體控制的時(shí)候大都采用了引用的形式，這主要是由于之前已經(jīng)發(fā)布過諸多類似的標(biāo)準(zhǔn)或規(guī)范;由于網(wǎng)絡(luò)安全與金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的緊密關(guān)系，有時(shí)候兩者并未做嚴(yán)格的區(qū)分，例如，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）發(fā)布的網(wǎng)絡(luò)安全框架全稱為《提高關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》，ISO/IEC TR 27103：2018《信息技術(shù) 安全技術(shù) 網(wǎng)絡(luò)安全和ISO、IEC標(biāo)準(zhǔn)》雖然沒有明確提出關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等概念，但是其框架實(shí)際沿用了美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院上述文檔的框架，即識(shí)別、保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)。這也佐證了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)在網(wǎng)絡(luò)安全中的重要性。

值得強(qiáng)調(diào)的是，無論是通用的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)框架，還是專門討論金融行業(yè)的標(biāo)準(zhǔn)，都強(qiáng)調(diào)了“恢復(fù)能力”。Udo Helmbrecht（歐盟網(wǎng)絡(luò)與信息安全局執(zhí)行主席）在數(shù)字金融年會(huì)上提出，恢復(fù)力需要內(nèi)嵌入系統(tǒng)中，并且要將網(wǎng)絡(luò)安全作為建設(shè)“更具恢復(fù)能力的歐洲”的推動(dòng)力。

5 小結(jié)

綜上所述，對(duì)于金融關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，從行業(yè)全局的角度而言，監(jiān)管機(jī)構(gòu)應(yīng)該充分借鑒其他行業(yè)或者其他領(lǐng)域的良好實(shí)踐，例如，制度性同形，設(shè)計(jì)良好的治理架構(gòu);從單個(gè)組織的角度而言，金融機(jī)構(gòu)應(yīng)該在考慮自身業(yè)務(wù)要求的基礎(chǔ)上，在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)方面重點(diǎn)提高系統(tǒng)的恢復(fù)能力，并根據(jù)已有的良好實(shí)踐，如《NIST網(wǎng)絡(luò)安全框架V1.1》和ISO/IEC TR 27103：2018等，建立關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，并積極與現(xiàn)有體系進(jìn)行整合。

參考文獻(xiàn)

[1] 李維安.公司治理學(xué)：第4版[M]. 北京：高等教育出版社， 2020.