關鍵信息基礎設施保護思考

鄒立剛，張新躍

（1.北京中科院軟件中心有限公司，北京 100190；2.中國互聯網絡信息中心，北京 100190）

1 引言

隨著2016年正式頒布了《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》），關鍵信息基礎設施（Critical Information Infrastructure，CII）的安全保護問題成為業界關注的焦點，CII的安全穩定運行事關國家安全和社會穩定[1]。關鍵基礎設施的概念最早時由美國提出，歐盟和其他國家陸續開始關注關鍵基礎設施的安全保護問題，美國、歐盟等國家頒布了一系列法規和標準來指導關鍵基礎設施的保護工作[2]。其中，以美國NIST發布的《網絡安全框架》最為典型，框架從識別、保護、檢測、響應、恢復五個維度提出安全要求[3]，NIST的《網絡安全框架》對國內制定CII的安全保護系列標準提供了方法論的參考。歐盟于2016年通過的《網絡和信息安全指令》提倡圍繞“風險管理”來開展CII的保護工作，CII運營者應定期開展風險評估，并采取與所面臨風險匹配的安全保護措施，美國和歐盟都強調了CII安全保護中風險管理的重要性[4]。

區別于國外的定義，最早定義關鍵信息基礎設施是重要的信息系統，早在2002年我國就建立了等級保護制度，并且配套出臺了一系列等級保護的標準來支撐等級保護制度的落地?！毒W絡安全法》中也明確定義了CII保護與等級保護的關系，即CII保護應當“在網絡安全等級保護制度的基礎上，實行重點保護”[5]?！毒W絡安全法》出臺后，各行業都在關注CII安全保護標準和相關指導意見的出臺。國家信息安全標準化技術委員會WG7工作組從2017年開始推動了一系列CII安全標準項目的編制工作，目前正在編制中的CII標準有七個，包括《CII網絡安全框架》《CII網絡安全保護基本要求》《CII安全保障指標體系》《CII安全檢查評估指南》《CII安全控制要求》《CII邊界識別方法》和《CII安全防護能力評估方法》。其中，《CII網絡安全框架》是所有CII標準的基礎標準，該標準描述了CII標準的總體框架、CII概念定義、CII保護的基本要素以及幾個CII標準之間的相互關系；《CII網絡安全保護基本要求》提出了CII安全保護的基線，從識別、檢測、監測、保護和響應幾個層面對CII運營者開展網絡安全保護工作提出最低的保護要求；《CII安全控制措施》作為基本要求的延續，從基本要求五個維度上進一步細化了各方面的安全控制措施；《CII安全檢查評估指南》是為了落實網絡安全法中CII一年一次的檢測要求，按照基本要求的相關要求，規范了CII安全檢查評估工作的流程、檢查評估內容和結果；《CII安全保障指標體系》和《CII安全防護能力評估方法》是兩個評價標準，分別對CII運營機構和CII本身的安全能力進行評估，并依據其他標準的輸出結果對CII安全保障能力進行定量評價，提出可量化的評估參考；《CII邊界識別方法》則提供了識別CII系統所述的元素和范圍的方法。

隨著上述系列標準的進一步推動落實，將會為行業CII的安全保護工作提供參考依據。CII系列安全標準充分借鑒參考了國際上其他國家CII保護實踐，構成了支撐CII安全保護的基本參考標準體系。但由于各行業CII的差異很大，更詳細的行業CII安全保障規范仍然由行業管理機構和CII運營者自行制定。從CII運營者的視角來看，如何圍繞“重點保護”的思想，建立一套更完善的CII安全保護方法論，既能滿足行業監管的要求，又能符合CII業務特性和網絡安全工作的客觀規律，就成了CII運營者面臨的首要任務。

本文就圍繞著如何落實安全法中“重點保護”的核心思想，以風險管理為中心，圍繞著關鍵信息的業務特性，分析了CII的關鍵安全屬性，并從CII面臨的安全威脅入手，緊密地圍繞著風險管理如何做好CII安全保護的思考。

2 基于風險的建構CII安全防護措施的依據

CII所面臨的安全威脅要比常規信息系統要嚴重很多，由于行業差異很大，不同業務CII系統保護重點也不盡相同，如何制定最有效的安全措施、選擇最優的保障方案，是每位CII運營者重點關注的問題。

2.1 CII風險分析方法論

首先，從風險可控的角度來分析CII的安全保障體系構建理論基礎。根據GB 20984 風險計算原則，最優的CII安全防護方案目標是CII安全風險R風險控制在一個相對低的范圍[6]，由于R風險=Φ風險函數（A資產、T威脅、V脆弱性、P已有措施），為了讓整體風險R風險控制在一個可以接受的水平，而且假設CII的脆弱性V脆弱性可以控制在一個足夠低的水平，即R風險和V脆弱性都可以認為是固定變量，則保護措施的有效性P已有措施則與CII的資產價值定義A資產 所面臨的安全威脅強度T威脅是正相關的，CII的資產價值A資產越高，威脅T威脅越大，相匹配的安全保護措施P已有措施就越高，這就是依托風險構建CII安全保障體系的核心理論依據。

參照最新的CII標準，CII資產價值與其關鍵屬性密切相關。關鍵屬性是制定CII安全措施重要的參考依據，關鍵屬性的確定首先從CII所承載的業務的特性分析入手，評估CII遭受攻擊和破壞后可能造成的影響，分析得到CII的安全屬性和詳細描述[6]。傳統信息安全理論定義了安全資產的三個安全特性要素：數據機密性（Confidentiality）、業務完整性（Integrity）和業務可用性（Usability），而CII安全特性包括但不限于上述三個特性，其中某個CII的關鍵屬性有可能是一個或者多個組合[6]。CII的資產價值可以表示為：A資產={AC機密性、AI完整性、AU可用性}，其中AC、AI、AU分別表示三個屬性相對應的資產價值，因此一旦CII確定了某項關鍵屬性，其該項關鍵屬性所關聯的所有CII資產價值賦值理論上應該賦最高值為固定常數，因此制定有效的CII安全保護措施首先要識別出來CII關鍵屬性。

明確了CII的關鍵屬性對應的資產價值以后，需要根據已識別的關鍵屬性逐一進行威脅分析，CII的威脅組成T威脅={TC、TI、TU}，其中TC、TI和TU分別代表了數據機密性（Confidentiality）、業務完整性（Integrity）和業務可用性（Usability）三個不同屬性對應的潛在威脅[6]。與其他威脅分析方法不同，CII威脅分析需要圍繞CII業務特點，按照識別出來的關鍵屬性逐一進行，區別其他威脅分析，CII威脅分析要充分考慮威脅發生的最大可能性，尤其是有組織的團體黑客攻擊滲透行為、持續的滲透攻擊、超大規模的網絡戰攻擊行為等專門針對CII的國家層面的對抗行為，實際執行過程中對威脅賦值應該最大化，這樣制定的防護措施才能達到最佳。

2.2 CII風險可控的最優保護措施

從上面分析來看，CII的保護措施的構建與威脅分析的結果密切相關，對于某個CII關鍵屬性，保護措施P已有措施的力度與面臨的安全威脅T威脅強弱相匹配。為了保證風險維持在可控水平，CII的安全保護措施強度要考慮CII面臨的安全威脅可能性，CII的安全保護也是一個動態優化持續改進的過程，保護措施隨著不同的時期威脅的強度需要動態優化、持續改進，以達到最佳的防御水平。

為了構建最優的安全保障體系，首先要圍繞CII業務特點，分析明確CII的各種關鍵屬性，根據關鍵屬性對應的安全威脅類別，全面梳理CII可能面臨的安全威脅發生概率，尤其是重點分析極端條件下安全威脅的可能性，有條件的制定最佳的防護措施。最簡單的原則就是一旦某項特性識別為關鍵屬性后，應按照此項關鍵屬性對應最高等級的安全保護要求來制定保護措施，最高等級的安全要求可以從現有安全標準和行業最佳實踐來參考執行，并留有一定可擴展的空間。

3 圍繞風險構建關鍵信息基礎設施保護體系的思考

3.1 響應主管部門要求盡快推動CII的識別認定

目前，國家網絡安全工作監管部門和各行業主管部門正在落實網絡安全法中CII相關保護要求，開始CII的識別認定工作。當前，CII的識別認定已經有了初步的范圍[5]，但具體到某個CII個體的清晰邊界范圍，還沒有明確的標準和方法。CII的識別和認定方法一直是業內關注的焦點，這方面的研究國外沒有現成可用的方法論可供我們參考，建議在我國現行的安全監管體制下，參考美歐的做法，基于安全事件影響程度對CII進行識別，由行業組織專家對識別結果進行認定評審確認；然后由主管機構牽頭制定CII識別與認定準則，形成CII清單管理機制，各行業安全主管部門落實行業的CII清單，要按照行業CII清單落實好主體防護責任，明確CII運營者要承擔主體防護責任；最后逐步建立國家的和行業的CII清單。至于某個確定的CII邊界范圍，可以圍繞著CII的核心業務特征“業務關鍵和后果嚴重”兩個方面入手，按照前文所述的風險評估理論出發，計算分析CII的資產價值，先識別資產價值所對應的個體關鍵屬性，分析可能面臨的風險點和安全威脅，分析評估該個體遭受破壞或者攻擊后是否對整個關鍵信息基礎設施造成損壞，按照損害的可能程度來判定個體是否應該屬于CII的邊界范圍之內，進一步確定甄別CII的范圍邊界，在此基礎上定性或者定量分析進一步明確保護要求和重點，從而為保護措施的制定提供參考依據。

3.2 以風險為中心持續深化安全檢測評估

根據《網絡安全法》，CII每年至少一次的安全檢測，即將出臺的《CII安全檢查評估指南》標準旨在落實該項工作。如何推進以風險為導向安全檢測評估工作，實際上就是落實CII需要重點保護的要求，充分考慮CII承載業務的關鍵屬性，區別與以往“合規式”的安全測評方法，除了要求CII滿足現有的等級保護、行業標準等基本合規要求外，還要強化技術檢測的作用，以技術檢測的結果作為評判網絡安全技術防護能力水平的重要因素，通過一系列技術檢測的結果來驗證CII安全措施落實情況和實際保障效果，再圍繞CII的業務分解出關鍵特性，客觀評價CII的整體安全保障能力。

3.3 依托威脅分層次構建立體CII安全防御體系

要建立健全國家CII安全保障體系，需要轉變工作思路，將過去重“合規”的保護思路向重“對抗”方向去轉變，分層次構建立體的CII防御體系，提出三方面建議。

一是CII運營者要明確保護重點，建立分層的縱深安全防御體系。根據兩個最新CII標準《CII網絡安全基本要求》和《CII安全控制措施》設計思想，CII的保護工作在滿足等級保護基本要求基礎上，要從識別、檢測、檢測、防護和響應五個能力維度有更加嚴格的要求，尤其是防護維度，就要求CII運營者首先要識別CII的關鍵屬性，并執行對應最高等級的安全防護要求。具體的做法包括要提升CII關鍵性節點的安全防御能力，從通信網絡、邊界防護、互聯安全、計算環境安全、數據安全、鑒別和授權、入侵防范、建設安全、運維安全、供應鏈安全等角度出發，加強互聯網出入口管理、做好邊界防護和隔離措施、制定合理的權限管理和訪問控制措施、強化入侵防范、加強安全監測和審計等[7，8]，分層構建安全防護體系，最終形成動態的閉環安全保障能力。做到事前防御、事中響應、事后取證，具備攻擊發現、安全測評、縱深防御、快速恢復的能力，將網絡安全工作緊密融合于CII系統生命周期各環節中。

二是要在全國范圍內為CII建立立體網絡安全態勢感知體系。通過統籌規劃、分級部署，逐級建立和完善能夠覆蓋政府、行業CII運營單位和安全企業的安全信息共享和協同通報處置機制，構建行業層面的大安全能力運營中心，提升CII運營機構對安全事件的應急響應和恢復能力[9]。通過應急體系完善，逐步推進政府部門的抽查、檢測、演練等動作，加強行業和安全企業的威脅情報安全信息共享和安全威脅處理協同，提高風險的實時感知和分析能力，并能根據風險態勢的變化適時調整安全防護策略，實現對安全事件、漏洞事件的風險閉環管理，提升國家和行業層面網絡空間的安全感知能力。另一方面為了提升應急能力開展實戰型的應急演練，尤其是要深入開展以對抗為目標的網絡安全實戰攻防演習，從實戰演習中提升CII運營單位在處置安全事件的響應和協同能力，從而提升整個國家應對重大威脅和重大安全事件的應急處置水平[10]。

三是落實好關鍵信息基礎設施保護中的自主可控要求，做到關鍵信息基礎設施其中關鍵部件重要設備自主可控。主要舉措包括落實好CII安全審查評估制度，加強對CII供應鏈的安全管理和審查，明確和建立CII相關的核心網絡設備、高性能計算機、大容量存儲、大型數據庫和應用軟件、其他服務等清單，評估上述核心部件清單對CII安全可控是否有決定性的影響，根據評估結果形成一個動態管理的清單庫，對清單庫中的部件和設備實行自主可控評估機制，規范在清單庫中的部件的采購行為，在采購環節增加審查環節，評估審查結果有關機構批準再進行采購。

4 結束語

隨著《網絡安全法》的落地實施，我國的CII保護工作正層層推進，本文圍繞著CII的業務特性，從分析CII的關鍵安全屬性和安全威脅入手，提出了構建以風險為導向的CII安全保護措施建設思路，在此基礎上建立立體分層的安全防御體系，切實保障國家安全、國計民生和公共利益。