《網絡安全法》第三十一條規定“國家(jiā)對公共通(tōng)信和(hé)信息服務、能源、交通(tōng)、水(shuǐ)利、金融、公共服務、電(diàn)子政務等重要行(xíng)業和(hé)領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據洩露，可(kě)能嚴重危害國家(jiā)安全、國計(jì)民生(shēng)、公共利益的關鍵信息基礎設施，在網絡安全等級保護制(zhì)度的基礎上(shàng)，實行(xíng)重點保護。”本文分析了關鍵信息基礎設施保護制(zhì)度與網絡安全等級保護制(zhì)度在保護對象、保護措施和(hé)建設實施等方面的關系，從信息基礎設施運營者單位/機構的角度提出符合整體(tǐ)安全要求的網絡安全管控能力評價方法，并嘗試構建關鍵信息基礎設施的等級保護技(jì)術(shù)框架。

1. 研究背景

自2007年《信息安全等級保護管理(lǐ)辦法》發布以來(lái)，依據等級保護的《定級指南》、《基本要求》、《測評要求》、《測評過程指南》、《實施指南》和(hé)《安全設計(jì)技(jì)術(shù)要求》等國家(jiā)标準開(kāi)展的等級保護定級備案、建設整改和(hé)等級測評工作(zuò)，在保障我國重要信息系統安全工作(zuò)發揮了重要作(zuò)用。随着各領域安全保護能力的提高(gāo)和(hé)新技(jì)術(shù)新應用的湧現，現有(yǒu)以《基本要求》為(wèi)建設依據，以标準符合性的等級測評為(wèi)主要測評方法、以基線合規為(wèi)主要目标的技(jì)術(shù)體(tǐ)系，已經不能充分滿足各領域關鍵信息基礎設施安全保護的不斷增加的安全需求。等級保護工作(zuò)在各行(xíng)業的推進也已經進行(xíng)了多(duō)年，很(hěn)多(duō)三級以上(shàng)系統經過多(duō)年的建設整改，在對基本要求的符合程度已經達到一個(gè)穩态，但(dàn)信息系統對安全保護的需求和(hé)面臨的威脅并沒有(yǒu)停止發展。因此，完善等級保護制(zhì)度需要研究設計(jì)新的、具有(yǒu)更大(dà)适用性和(hé)開(kāi)放性的技(jì)術(shù)體(tǐ)系。

此外，随着《網絡安全法》于2017年6月1日正式實施，為(wèi)更好地落實其中第三十一條規定“國家(jiā)對公共通(tōng)信和(hé)信息服務、能源、交通(tōng)、水(shuǐ)利、金融、公共服務、電(diàn)子政務等重要行(xíng)業和(hé)領域，以及其他一旦遭到破壞、喪失功能或者數(shù)據洩露，可(kě)能嚴重危害國家(jiā)安全、國計(jì)民生(shēng)、公共利益的關鍵信息基礎設施，在網絡安全等級保護制(zhì)度的基礎上(shàng)，實行(xíng)重點保護。關鍵信息基礎設施的具體(tǐ)範圍和(hé)安全保護辦法由國務院制(zhì)定”。總書(shū)記指出“基礎不牢，地動山(shān)搖”，打牢網絡安全等級保護制(zhì)度基礎，對于保障關鍵信息基礎設施安全至關重要。因此需要在理(lǐ)清關鍵信息基礎設施保護制(zhì)度與網絡安全等級保護制(zhì)度在保護對象、保護措施、管理(lǐ)流程和(hé)建設實施等方面的關系的基礎上(shàng)，認真研究關鍵信息基礎設施的等級保護基礎工作(zuò)。

為(wèi)此公安部信息安全等級保護評估中心開(kāi)展了以關鍵信息基礎設施為(wèi)目标的等級保護技(jì)術(shù)框架研究，并于2017年在國标委立項标準研究項目。該研究以分等級的系統保護為(wèi)基礎，以實現關鍵基礎設施保護戰略為(wèi)目标，構建三層結構的關鍵基礎設施網絡安全等級保護技(jì)術(shù)框架；以IPDRR模型為(wèi)基礎，構建分功能域和(hé)類别的安全控制(zhì)集，提出定級對象目的指标構成方法，滿足基礎設施保護需求；提出對關鍵基礎設施機構網絡安全管控能力的評價方法，以度量機構制(zhì)定、貫徹并執行(xíng)網絡安全戰略目标的意願、能力和(hé)程度；給出框架的實施流程，指導如何結合網絡安全等級保護工作(zuò)要求，實施關鍵信息基礎設施保護，并持續評估和(hé)改進機構的信息安全工作(zuò)。

通(tōng)過上(shàng)述研究形成的标準性文件，可(kě)以為(wèi)關鍵信息基礎設施的運營機構落實等級保護制(zhì)度，構建符合國家(jiā)政策、制(zhì)度要求以及自身風險控制(zhì)目标的安全保障體(tǐ)系起到指導作(zuò)用，可(kě)以更為(wèi)準确地評價關鍵信息基礎設施機構的安全保護和(hé)保障成效，有(yǒu)利于保證我國等級保護制(zhì)度的持續健康發展。

2. 關鍵信息基礎設施對象

通(tōng)常關鍵信息基礎設施的運營單位內(nèi)部都會(huì)存在多(duō)個(gè)信息系統，通(tōng)過落實網絡安全等級保護制(zhì)度，大(dà)部分單位對所負責的業務系統完成了定級工作(zuò)。假定某單位信息系統定級結果如下圖所示，其中有(yǒu)1個(gè)系統定為(wèi)第四級，2個(gè)系統定為(wèi)第三級，2個(gè)系統定為(wèi)第二級。

在關鍵信息基礎設施的識别工作(zuò)中，假定其中對關鍵基礎設施起重要支撐作(zuò)用的業務系統、區(qū)域或網絡設施被确定為(wèi)關鍵信息基礎設施，相應的信息系統或網絡設施應具有(yǒu)較高(gāo)的安全保護等級，如第三級或第四級，而其他業務系統或者因其對關鍵基礎設施的支撐作(zuò)用不直接（其他非關鍵信息基礎設施的第三級系統），或者其重要性較低(dī)（如第二級系統），并未被識别為(wèi)關鍵信息基礎設施。

假定這些(xiē)系統已經按照相應等級的網絡安全等級保護要求，落實了安全技(jì)術(shù)措施和(hé)管理(lǐ)措施，則關鍵信息基礎設施——其中的第三級信息系統1和(hé)第四級信息系統的安全保護還(hái)應關注以下方面：

a) 關鍵信息基礎設施內(nèi)部不同定級系統之間(jiān)的安全整體(tǐ)性和(hé)協同性；

b) 關鍵信息基礎設施安全對周邊非關鍵信息基礎設施的依賴性；

c) 關鍵基礎設施的業務連續性要求安全措施具有(yǒu)可(kě)靠性、監測持續性和(hé)處置高(gāo)效等特點；

d) 關鍵信息基礎設施具備更強的威脅對抗能力。

采用劃分系統、分等級保護的傳統思路，将安全保護的重點放在每個(gè)系統的合規，在一定程度忽略了安全的整體(tǐ)性。關鍵信息基礎設施保護需要通(tōng)過設計(jì)以彌補這一缺陷。本框架參照美國的《提升關鍵信息基礎設施的網絡安全框架》，從信息基礎設施運營者單位/機構的角度提出要求，給出關鍵信息基礎設施的等級保護技(jì)術(shù)框架。關鍵信息基礎設施保護的管理(lǐ)對象應該是對關鍵信息基礎設施負有(yǒu)安全責任的機構/單位。

文章摘自中國信息安全等級保護網