《網(wǎng)絡(luò)安全法》第三十一條規(guī)定“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！北疚姆治隽岁P(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度在保護(hù)對(duì)象、保護(hù)措施和建設(shè)實(shí)施等方面的關(guān)系，從信息基礎(chǔ)設(shè)施運(yùn)營者單位/機(jī)構(gòu)的角度提出符合整體安全要求的網(wǎng)絡(luò)安全管控能力評(píng)價(jià)方法，并嘗試構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施的等級(jí)保護(hù)技術(shù)框架。

1. 研究背景

自2007年《信息安全等級(jí)保護(hù)管理辦法》發(fā)布以來，依據(jù)等級(jí)保護(hù)的《定級(jí)指南》、《基本要求》、《測評(píng)要求》、《測評(píng)過程指南》、《實(shí)施指南》和《安全設(shè)計(jì)技術(shù)要求》等國家標(biāo)準(zhǔn)開展的等級(jí)保護(hù)定級(jí)備案、建設(shè)整改和等級(jí)測評(píng)工作，在保障我國重要信息系統(tǒng)安全工作發(fā)揮了重要作用。隨著各領(lǐng)域安全保護(hù)能力的提高和新技術(shù)新應(yīng)用的涌現(xiàn)，現(xiàn)有以《基本要求》為建設(shè)依據(jù)，以標(biāo)準(zhǔn)符合性的等級(jí)測評(píng)為主要測評(píng)方法、以基線合規(guī)為主要目標(biāo)的技術(shù)體系，已經(jīng)不能充分滿足各領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的不斷增加的安全需求。等級(jí)保護(hù)工作在各行業(yè)的推進(jìn)也已經(jīng)進(jìn)行了多年，很多三級(jí)以上系統(tǒng)經(jīng)過多年的建設(shè)整改，在對(duì)基本要求的符合程度已經(jīng)達(dá)到一個(gè)穩(wěn)態(tài)，但信息系統(tǒng)對(duì)安全保護(hù)的需求和面臨的威脅并沒有停止發(fā)展。因此，完善等級(jí)保護(hù)制度需要研究設(shè)計(jì)新的、具有更大適用性和開放性的技術(shù)體系。

此外，隨著《網(wǎng)絡(luò)安全法》于2017年6月1日正式實(shí)施，為更好地落實(shí)其中第三十一條規(guī)定“國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定”。總書記指出“基礎(chǔ)不牢，地動(dòng)山搖”，打牢網(wǎng)絡(luò)安全等級(jí)保護(hù)制度基礎(chǔ)，對(duì)于保障關(guān)鍵信息基礎(chǔ)設(shè)施安全至關(guān)重要。因此需要在理清關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度與網(wǎng)絡(luò)安全等級(jí)保護(hù)制度在保護(hù)對(duì)象、保護(hù)措施、管理流程和建設(shè)實(shí)施等方面的關(guān)系的基礎(chǔ)上，認(rèn)真研究關(guān)鍵信息基礎(chǔ)設(shè)施的等級(jí)保護(hù)基礎(chǔ)工作。

為此公安部信息安全等級(jí)保護(hù)評(píng)估中心開展了以關(guān)鍵信息基礎(chǔ)設(shè)施為目標(biāo)的等級(jí)保護(hù)技術(shù)框架研究，并于2017年在國標(biāo)委立項(xiàng)標(biāo)準(zhǔn)研究項(xiàng)目。該研究以分等級(jí)的系統(tǒng)保護(hù)為基礎(chǔ)，以實(shí)現(xiàn)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)戰(zhàn)略為目標(biāo)，構(gòu)建三層結(jié)構(gòu)的關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全等級(jí)保護(hù)技術(shù)框架；以IPDRR模型為基礎(chǔ)，構(gòu)建分功能域和類別的安全控制集，提出定級(jí)對(duì)象目的指標(biāo)構(gòu)成方法，滿足基礎(chǔ)設(shè)施保護(hù)需求；提出對(duì)關(guān)鍵基礎(chǔ)設(shè)施機(jī)構(gòu)網(wǎng)絡(luò)安全管控能力的評(píng)價(jià)方法，以度量機(jī)構(gòu)制定、貫徹并執(zhí)行網(wǎng)絡(luò)安全戰(zhàn)略目標(biāo)的意愿、能力和程度；給出框架的實(shí)施流程，指導(dǎo)如何結(jié)合網(wǎng)絡(luò)安全等級(jí)保護(hù)工作要求，實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)，并持續(xù)評(píng)估和改進(jìn)機(jī)構(gòu)的信息安全工作。

通過上述研究形成的標(biāo)準(zhǔn)性文件，可以為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營機(jī)構(gòu)落實(shí)等級(jí)保護(hù)制度，構(gòu)建符合國家政策、制度要求以及自身風(fēng)險(xiǎn)控制目標(biāo)的安全保障體系起到指導(dǎo)作用，可以更為準(zhǔn)確地評(píng)價(jià)關(guān)鍵信息基礎(chǔ)設(shè)施機(jī)構(gòu)的安全保護(hù)和保障成效，有利于保證我國等級(jí)保護(hù)制度的持續(xù)健康發(fā)展。

2. 關(guān)鍵信息基礎(chǔ)設(shè)施對(duì)象

通常關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營單位內(nèi)部都會(huì)存在多個(gè)信息系統(tǒng)，通過落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，大部分單位對(duì)所負(fù)責(zé)的業(yè)務(wù)系統(tǒng)完成了定級(jí)工作。假定某單位信息系統(tǒng)定級(jí)結(jié)果如下圖所示，其中有1個(gè)系統(tǒng)定為第四級(jí)，2個(gè)系統(tǒng)定為第三級(jí)，2個(gè)系統(tǒng)定為第二級(jí)。

在關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別工作中，假定其中對(duì)關(guān)鍵基礎(chǔ)設(shè)施起重要支撐作用的業(yè)務(wù)系統(tǒng)、區(qū)域或網(wǎng)絡(luò)設(shè)施被確定為關(guān)鍵信息基礎(chǔ)設(shè)施，相應(yīng)的信息系統(tǒng)或網(wǎng)絡(luò)設(shè)施應(yīng)具有較高的安全保護(hù)等級(jí)，如第三級(jí)或第四級(jí)，而其他業(yè)務(wù)系統(tǒng)或者因其對(duì)關(guān)鍵基礎(chǔ)設(shè)施的支撐作用不直接（其他非關(guān)鍵信息基礎(chǔ)設(shè)施的第三級(jí)系統(tǒng)），或者其重要性較低（如第二級(jí)系統(tǒng)），并未被識(shí)別為關(guān)鍵信息基礎(chǔ)設(shè)施。

假定這些系統(tǒng)已經(jīng)按照相應(yīng)等級(jí)的網(wǎng)絡(luò)安全等級(jí)保護(hù)要求，落實(shí)了安全技術(shù)措施和管理措施，則關(guān)鍵信息基礎(chǔ)設(shè)施——其中的第三級(jí)信息系統(tǒng)1和第四級(jí)信息系統(tǒng)的安全保護(hù)還應(yīng)關(guān)注以下方面：

a) 關(guān)鍵信息基礎(chǔ)設(shè)施內(nèi)部不同定級(jí)系統(tǒng)之間的安全整體性和協(xié)同性；

b) 關(guān)鍵信息基礎(chǔ)設(shè)施安全對(duì)周邊非關(guān)鍵信息基礎(chǔ)設(shè)施的依賴性；

c) 關(guān)鍵基礎(chǔ)設(shè)施的業(yè)務(wù)連續(xù)性要求安全措施具有可靠性、監(jiān)測持續(xù)性和處置高效等特點(diǎn)；

d) 關(guān)鍵信息基礎(chǔ)設(shè)施具備更強(qiáng)的威脅對(duì)抗能力。

采用劃分系統(tǒng)、分等級(jí)保護(hù)的傳統(tǒng)思路，將安全保護(hù)的重點(diǎn)放在每個(gè)系統(tǒng)的合規(guī)，在一定程度忽略了安全的整體性。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)需要通過設(shè)計(jì)以彌補(bǔ)這一缺陷。本框架參照美國的《提升關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全框架》，從信息基礎(chǔ)設(shè)施運(yùn)營者單位/機(jī)構(gòu)的角度提出要求，給出關(guān)鍵信息基礎(chǔ)設(shè)施的等級(jí)保護(hù)技術(shù)框架。關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的管理對(duì)象應(yīng)該是對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施負(fù)有安全責(zé)任的機(jī)構(gòu)/單位。

文章摘自中國信息安全等級(jí)保護(hù)網(wǎng)