关键信息基础设施保护思考

邹立刚，张新跃

（1.北京中科院软件中心有限公司，北京 100190；2.中国互联网络信息中心，北京 100190）

1 引言

随着2016年正式颁布了《中华人民共和国网络安全法》（以下简称《网络安全法》），关键信息基础设施（Critical Information Infrastructure，CII）的安全保护问题成为业界关注的焦点，CII的安全稳定运行事关国家安全和社会稳定[1]。关键基础设施的概念最早时由美国提出，欧盟和其他国家陆续开始关注关键基础设施的安全保护问题，美国、欧盟等国家颁布了一系列法规和标准来指导关键基础设施的保护工作[2]。其中，以美国NIST发布的《网络安全框架》最为典型，框架从识别、保护、检测、响应、恢复五个维度提出安全要求[3]，NIST的《网络安全框架》对国内制定CII的安全保护系列标准提供了方法论的参考。欧盟于2016年通过的《网络和信息安全指令》提倡围绕“风险管理”来开展CII的保护工作，CII运营者应定期开展风险评估，并采取与所面临风险匹配的安全保护措施，美国和欧盟都强调了CII安全保护中风险管理的重要性[4]。

区别于国外的定义，最早定义关键信息基础设施是重要的信息系统，早在2002年我国就建立了等级保护制度，并且配套出台了一系列等级保护的标准来支撑等级保护制度的落地。《网络安全法》中也明确定义了CII保护与等级保护的关系，即CII保护应当“在网络安全等级保护制度的基础上，实行重点保护”[5]。《网络安全法》出台后，各行业都在关注CII安全保护标准和相关指导意见的出台。国家信息安全标准化技术委员会WG7工作组从2017年开始推动了一系列CII安全标准项目的编制工作，目前正在编制中的CII标准有七个，包括《CII网络安全框架》《CII网络安全保护基本要求》《CII安全保障指标体系》《CII安全检查评估指南》《CII安全控制要求》《CII边界识别方法》和《CII安全防护能力评估方法》。其中，《CII网络安全框架》是所有CII标准的基础标准，该标准描述了CII标准的总体框架、CII概念定义、CII保护的基本要素以及几个CII标准之间的相互关系；《CII网络安全保护基本要求》提出了CII安全保护的基线，从识别、检测、监测、保护和响应几个层面对CII运营者开展网络安全保护工作提出最低的保护要求；《CII安全控制措施》作为基本要求的延续，从基本要求五个维度上进一步细化了各方面的安全控制措施；《CII安全检查评估指南》是为了落实网络安全法中CII一年一次的检测要求，按照基本要求的相关要求，规范了CII安全检查评估工作的流程、检查评估内容和结果；《CII安全保障指标体系》和《CII安全防护能力评估方法》是两个评价标准，分别对CII运营机构和CII本身的安全能力进行评估，并依据其他标准的输出结果对CII安全保障能力进行定量评价，提出可量化的评估参考；《CII边界识别方法》则提供了识别CII系统所述的元素和范围的方法。

随着上述系列标准的进一步推动落实，将会为行业CII的安全保护工作提供参考依据。CII系列安全标准充分借鉴参考了国际上其他国家CII保护实践，构成了支撑CII安全保护的基本参考标准体系。但由于各行业CII的差异很大，更详细的行业CII安全保障规范仍然由行业管理机构和CII运营者自行制定。从CII运营者的视角来看，如何围绕“重点保护”的思想，建立一套更完善的CII安全保护方法论，既能满足行业监管的要求，又能符合CII业务特性和网络安全工作的客观规律，就成了CII运营者面临的首要任务。

本文就围绕着如何落实安全法中“重点保护”的核心思想，以风险管理为中心，围绕着关键信息的业务特性，分析了CII的关键安全属性，并从CII面临的安全威胁入手，紧密地围绕着风险管理如何做好CII安全保护的思考。

2 基于风险的建构CII安全防护措施的依据

CII所面临的安全威胁要比常规信息系统要严重很多，由于行业差异很大，不同业务CII系统保护重点也不尽相同，如何制定最有效的安全措施、选择最优的保障方案，是每位CII运营者重点关注的问题。

2.1 CII风险分析方法论

首先，从风险可控的角度来分析CII的安全保障体系构建理论基础。根据GB 20984 风险计算原则，最优的CII安全防护方案目标是CII安全风险R风险控制在一个相对低的范围[6]，由于R风险=Φ风险函数（A资产、T威胁、V脆弱性、P已有措施），为了让整体风险R风险控制在一个可以接受的水平，而且假设CII的脆弱性V脆弱性可以控制在一个足够低的水平，即R风险和V脆弱性都可以认为是固定变量，则保护措施的有效性P已有措施则与CII的资产价值定义A资产 所面临的安全威胁强度T威胁是正相关的，CII的资产价值A资产越高，威胁T威胁越大，相匹配的安全保护措施P已有措施就越高，这就是依托风险构建CII安全保障体系的核心理论依据。

参照最新的CII标准，CII资产价值与其关键属性密切相关。关键属性是制定CII安全措施重要的参考依据，关键属性的确定首先从CII所承载的业务的特性分析入手，评估CII遭受攻击和破坏后可能造成的影响，分析得到CII的安全属性和详细描述[6]。传统信息安全理论定义了安全资产的三个安全特性要素：数据机密性（Confidentiality）、业务完整性（Integrity）和业务可用性（Usability），而CII安全特性包括但不限于上述三个特性，其中某个CII的关键属性有可能是一个或者多个组合[6]。CII的资产价值可以表示为：A资产={AC机密性、AI完整性、AU可用性}，其中AC、AI、AU分别表示三个属性相对应的资产价值，因此一旦CII确定了某项关键属性，其该项关键属性所关联的所有CII资产价值赋值理论上应该赋最高值为固定常数，因此制定有效的CII安全保护措施首先要识别出来CII关键属性。

明确了CII的关键属性对应的资产价值以后，需要根据已识别的关键属性逐一进行威胁分析，CII的威胁组成T威胁={TC、TI、TU}，其中TC、TI和TU分别代表了数据机密性（Confidentiality）、业务完整性（Integrity）和业务可用性（Usability）三个不同属性对应的潜在威胁[6]。与其他威胁分析方法不同，CII威胁分析需要围绕CII业务特点，按照识别出来的关键属性逐一进行，区别其他威胁分析，CII威胁分析要充分考虑威胁发生的最大可能性，尤其是有组织的团体黑客攻击渗透行为、持续的渗透攻击、超大规模的网络战攻击行为等专门针对CII的国家层面的对抗行为，实际执行过程中对威胁赋值应该最大化，这样制定的防护措施才能达到最佳。

2.2 CII风险可控的最优保护措施

从上面分析来看，CII的保护措施的构建与威胁分析的结果密切相关，对于某个CII关键属性，保护措施P已有措施的力度与面临的安全威胁T威胁强弱相匹配。为了保证风险维持在可控水平，CII的安全保护措施强度要考虑CII面临的安全威胁可能性，CII的安全保护也是一个动态优化持续改进的过程，保护措施随着不同的时期威胁的强度需要动态优化、持续改进，以达到最佳的防御水平。

为了构建最优的安全保障体系，首先要围绕CII业务特点，分析明确CII的各种关键属性，根据关键属性对应的安全威胁类别，全面梳理CII可能面临的安全威胁发生概率，尤其是重点分析极端条件下安全威胁的可能性，有条件的制定最佳的防护措施。最简单的原则就是一旦某项特性识别为关键属性后，应按照此项关键属性对应最高等级的安全保护要求来制定保护措施，最高等级的安全要求可以从现有安全标准和行业最佳实践来参考执行，并留有一定可扩展的空间。

3 围绕风险构建关键信息基础设施保护体系的思考

3.1 响应主管部门要求尽快推动CII的识别认定

目前，国家网络安全工作监管部门和各行业主管部门正在落实网络安全法中CII相关保护要求，开始CII的识别认定工作。当前，CII的识别认定已经有了初步的范围[5]，但具体到某个CII个体的清晰边界范围，还没有明确的标准和方法。CII的识别和认定方法一直是业内关注的焦点，这方面的研究国外没有现成可用的方法论可供我们参考，建议在我国现行的安全监管体制下，参考美欧的做法，基于安全事件影响程度对CII进行识别，由行业组织专家对识别结果进行认定评审确认；然后由主管机构牵头制定CII识别与认定准则，形成CII清单管理机制，各行业安全主管部门落实行业的CII清单，要按照行业CII清单落实好主体防护责任，明确CII运营者要承担主体防护责任；最后逐步建立国家的和行业的CII清单。至于某个确定的CII边界范围，可以围绕着CII的核心业务特征“业务关键和后果严重”两个方面入手，按照前文所述的风险评估理论出发，计算分析CII的资产价值，先识别资产价值所对应的个体关键属性，分析可能面临的风险点和安全威胁，分析评估该个体遭受破坏或者攻击后是否对整个关键信息基础设施造成损坏，按照损害的可能程度来判定个体是否应该属于CII的边界范围之内，进一步确定甄别CII的范围边界，在此基础上定性或者定量分析进一步明确保护要求和重点，从而为保护措施的制定提供参考依据。

3.2 以风险为中心持续深化安全检测评估

根据《网络安全法》，CII每年至少一次的安全检测，即将出台的《CII安全检查评估指南》标准旨在落实该项工作。如何推进以风险为导向安全检测评估工作，实际上就是落实CII需要重点保护的要求，充分考虑CII承载业务的关键属性，区别与以往“合规式”的安全测评方法，除了要求CII满足现有的等级保护、行业标准等基本合规要求外，还要强化技术检测的作用，以技术检测的结果作为评判网络安全技术防护能力水平的重要因素，通过一系列技术检测的结果来验证CII安全措施落实情况和实际保障效果，再围绕CII的业务分解出关键特性，客观评价CII的整体安全保障能力。

3.3 依托威胁分层次构建立体CII安全防御体系

要建立健全国家CII安全保障体系，需要转变工作思路，将过去重“合规”的保护思路向重“对抗”方向去转变，分层次构建立体的CII防御体系，提出三方面建议。

一是CII运营者要明确保护重点，建立分层的纵深安全防御体系。根据两个最新CII标准《CII网络安全基本要求》和《CII安全控制措施》设计思想，CII的保护工作在满足等级保护基本要求基础上，要从识别、检测、检测、防护和响应五个能力维度有更加严格的要求，尤其是防护维度，就要求CII运营者首先要识别CII的关键属性，并执行对应最高等级的安全防护要求。具体的做法包括要提升CII关键性节点的安全防御能力，从通信网络、边界防护、互联安全、计算环境安全、数据安全、鉴别和授权、入侵防范、建设安全、运维安全、供应链安全等角度出发，加强互联网出入口管理、做好边界防护和隔离措施、制定合理的权限管理和访问控制措施、强化入侵防范、加强安全监测和审计等[7，8]，分层构建安全防护体系，最终形成动态的闭环安全保障能力。做到事前防御、事中响应、事后取证，具备攻击发现、安全测评、纵深防御、快速恢复的能力，将网络安全工作紧密融合于CII系统生命周期各环节中。

二是要在全国范围内为CII建立立体网络安全态势感知体系。通过统筹规划、分级部署，逐级建立和完善能够覆盖政府、行业CII运营单位和安全企业的安全信息共享和协同通报处置机制，构建行业层面的大安全能力运营中心，提升CII运营机构对安全事件的应急响应和恢复能力[9]。通过应急体系完善，逐步推进政府部门的抽查、检测、演练等动作，加强行业和安全企业的威胁情报安全信息共享和安全威胁处理协同，提高风险的实时感知和分析能力，并能根据风险态势的变化适时调整安全防护策略，实现对安全事件、漏洞事件的风险闭环管理，提升国家和行业层面网络空间的安全感知能力。另一方面为了提升应急能力开展实战型的应急演练，尤其是要深入开展以对抗为目标的网络安全实战攻防演习，从实战演习中提升CII运营单位在处置安全事件的响应和协同能力，从而提升整个国家应对重大威胁和重大安全事件的应急处置水平[10]。

三是落实好关键信息基础设施保护中的自主可控要求，做到关键信息基础设施其中关键部件重要设备自主可控。主要举措包括落实好CII安全审查评估制度，加强对CII供应链的安全管理和审查，明确和建立CII相关的核心网络设备、高性能计算机、大容量存储、大型数据库和应用软件、其他服务等清单，评估上述核心部件清单对CII安全可控是否有决定性的影响，根据评估结果形成一个动态管理的清单库，对清单库中的部件和设备实行自主可控评估机制，规范在清单库中的部件的采购行为，在采购环节增加审查环节，评估审查结果有关机构批准再进行采购。

4 结束语

随着《网络安全法》的落地实施，我国的CII保护工作正层层推进，本文围绕着CII的业务特性，从分析CII的关键安全属性和安全威胁入手，提出了构建以风险为导向的CII安全保护措施建设思路，在此基础上建立立体分层的安全防御体系，切实保障国家安全、国计民生和公共利益。