鄒立剛，張新躍

（1.北京中科院軟件中心有限公司，北京 100190；2.中國互聯(lián)網(wǎng)絡(luò)信息中心，北京 100190）

1 引言

隨著2016年正式頒布了《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱《網(wǎng)絡(luò)安全法》），關(guān)鍵信息基礎(chǔ)設(shè)施（Critical Information Infrastructure，CII）的安全保護(hù)問題成為業(yè)界關(guān)注的焦點(diǎn)，CII的安全穩(wěn)定運(yùn)行事關(guān)國家安全和社會穩(wěn)定[1]。關(guān)鍵基礎(chǔ)設(shè)施的概念最早時由美國提出，歐盟和其他國家陸續(xù)開始關(guān)注關(guān)鍵基礎(chǔ)設(shè)施的安全保護(hù)問題，美國、歐盟等國家頒布了一系列法規(guī)和標(biāo)準(zhǔn)來指導(dǎo)關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)工作[2]。其中，以美國NIST發(fā)布的《網(wǎng)絡(luò)安全框架》最為典型，框架從識別、保護(hù)、檢測、響應(yīng)、恢復(fù)五個維度提出安全要求[3]，NIST的《網(wǎng)絡(luò)安全框架》對國內(nèi)制定CII的安全保護(hù)系列標(biāo)準(zhǔn)提供了方法論的參考。歐盟于2016年通過的《網(wǎng)絡(luò)和信息安全指令》提倡圍繞“風(fēng)險管理”來開展CII的保護(hù)工作，CII運(yùn)營者應(yīng)定期開展風(fēng)險評估，并采取與所面臨風(fēng)險匹配的安全保護(hù)措施，美國和歐盟都強(qiáng)調(diào)了CII安全保護(hù)中風(fēng)險管理的重要性[4]。

區(qū)別于國外的定義，最早定義關(guān)鍵信息基礎(chǔ)設(shè)施是重要的信息系統(tǒng)，早在2002年我國就建立了等級保護(hù)制度，并且配套出臺了一系列等級保護(hù)的標(biāo)準(zhǔn)來支撐等級保護(hù)制度的落地?！毒W(wǎng)絡(luò)安全法》中也明確定義了CII保護(hù)與等級保護(hù)的關(guān)系，即CII保護(hù)應(yīng)當(dāng)“在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)”[5]?！毒W(wǎng)絡(luò)安全法》出臺后，各行業(yè)都在關(guān)注CII安全保護(hù)標(biāo)準(zhǔn)和相關(guān)指導(dǎo)意見的出臺。國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG7工作組從2017年開始推動了一系列CII安全標(biāo)準(zhǔn)項目的編制工作，目前正在編制中的CII標(biāo)準(zhǔn)有七個，包括《CII網(wǎng)絡(luò)安全框架》《CII網(wǎng)絡(luò)安全保護(hù)基本要求》《CII安全保障指標(biāo)體系》《CII安全檢查評估指南》《CII安全控制要求》《CII邊界識別方法》和《CII安全防護(hù)能力評估方法》。其中，《CII網(wǎng)絡(luò)安全框架》是所有CII標(biāo)準(zhǔn)的基礎(chǔ)標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)描述了CII標(biāo)準(zhǔn)的總體框架、CII概念定義、CII保護(hù)的基本要素以及幾個CII標(biāo)準(zhǔn)之間的相互關(guān)系；《CII網(wǎng)絡(luò)安全保護(hù)基本要求》提出了CII安全保護(hù)的基線，從識別、檢測、監(jiān)測、保護(hù)和響應(yīng)幾個層面對CII運(yùn)營者開展網(wǎng)絡(luò)安全保護(hù)工作提出最低的保護(hù)要求；《CII安全控制措施》作為基本要求的延續(xù)，從基本要求五個維度上進(jìn)一步細(xì)化了各方面的安全控制措施；《CII安全檢查評估指南》是為了落實(shí)網(wǎng)絡(luò)安全法中CII一年一次的檢測要求，按照基本要求的相關(guān)要求，規(guī)范了CII安全檢查評估工作的流程、檢查評估內(nèi)容和結(jié)果；《CII安全保障指標(biāo)體系》和《CII安全防護(hù)能力評估方法》是兩個評價標(biāo)準(zhǔn)，分別對CII運(yùn)營機(jī)構(gòu)和CII本身的安全能力進(jìn)行評估，并依據(jù)其他標(biāo)準(zhǔn)的輸出結(jié)果對CII安全保障能力進(jìn)行定量評價，提出可量化的評估參考；《CII邊界識別方法》則提供了識別CII系統(tǒng)所述的元素和范圍的方法。

隨著上述系列標(biāo)準(zhǔn)的進(jìn)一步推動落實(shí)，將會為行業(yè)CII的安全保護(hù)工作提供參考依據(jù)。CII系列安全標(biāo)準(zhǔn)充分借鑒參考了國際上其他國家CII保護(hù)實(shí)踐，構(gòu)成了支撐CII安全保護(hù)的基本參考標(biāo)準(zhǔn)體系。但由于各行業(yè)CII的差異很大，更詳細(xì)的行業(yè)CII安全保障規(guī)范仍然由行業(yè)管理機(jī)構(gòu)和CII運(yùn)營者自行制定。從CII運(yùn)營者的視角來看，如何圍繞“重點(diǎn)保護(hù)”的思想，建立一套更完善的CII安全保護(hù)方法論，既能滿足行業(yè)監(jiān)管的要求，又能符合CII業(yè)務(wù)特性和網(wǎng)絡(luò)安全工作的客觀規(guī)律，就成了CII運(yùn)營者面臨的首要任務(wù)。

本文就圍繞著如何落實(shí)安全法中“重點(diǎn)保護(hù)”的核心思想，以風(fēng)險管理為中心，圍繞著關(guān)鍵信息的業(yè)務(wù)特性，分析了CII的關(guān)鍵安全屬性，并從CII面臨的安全威脅入手，緊密地圍繞著風(fēng)險管理如何做好CII安全保護(hù)的思考。

2 基于風(fēng)險的建構(gòu)CII安全防護(hù)措施的依據(jù)

CII所面臨的安全威脅要比常規(guī)信息系統(tǒng)要嚴(yán)重很多，由于行業(yè)差異很大，不同業(yè)務(wù)CII系統(tǒng)保護(hù)重點(diǎn)也不盡相同，如何制定最有效的安全措施、選擇最優(yōu)的保障方案，是每位CII運(yùn)營者重點(diǎn)關(guān)注的問題。

2.1 CII風(fēng)險分析方法論

首先，從風(fēng)險可控的角度來分析CII的安全保障體系構(gòu)建理論基礎(chǔ)。根據(jù)GB 20984 風(fēng)險計算原則，最優(yōu)的CII安全防護(hù)方案目標(biāo)是CII安全風(fēng)險R風(fēng)險控制在一個相對低的范圍[6]，由于R風(fēng)險=Φ風(fēng)險函數(shù)（A資產(chǎn)、T威脅、V脆弱性、P已有措施），為了讓整體風(fēng)險R風(fēng)險控制在一個可以接受的水平，而且假設(shè)CII的脆弱性V脆弱性可以控制在一個足夠低的水平，即R風(fēng)險和V脆弱性都可以認(rèn)為是固定變量，則保護(hù)措施的有效性P已有措施則與CII的資產(chǎn)價值定義A資產(chǎn) 所面臨的安全威脅強(qiáng)度T威脅是正相關(guān)的，CII的資產(chǎn)價值A(chǔ)資產(chǎn)越高，威脅T威脅越大，相匹配的安全保護(hù)措施P已有措施就越高，這就是依托風(fēng)險構(gòu)建CII安全保障體系的核心理論依據(jù)。

參照最新的CII標(biāo)準(zhǔn)，CII資產(chǎn)價值與其關(guān)鍵屬性密切相關(guān)。關(guān)鍵屬性是制定CII安全措施重要的參考依據(jù)，關(guān)鍵屬性的確定首先從CII所承載的業(yè)務(wù)的特性分析入手，評估CII遭受攻擊和破壞后可能造成的影響，分析得到CII的安全屬性和詳細(xì)描述[6]。傳統(tǒng)信息安全理論定義了安全資產(chǎn)的三個安全特性要素：數(shù)據(jù)機(jī)密性（Confidentiality）、業(yè)務(wù)完整性（Integrity）和業(yè)務(wù)可用性（Usability），而CII安全特性包括但不限于上述三個特性，其中某個CII的關(guān)鍵屬性有可能是一個或者多個組合[6]。CII的資產(chǎn)價值可以表示為：A資產(chǎn)={AC機(jī)密性、AI完整性、AU可用性}，其中AC、AI、AU分別表示三個屬性相對應(yīng)的資產(chǎn)價值，因此一旦CII確定了某項關(guān)鍵屬性，其該項關(guān)鍵屬性所關(guān)聯(lián)的所有CII資產(chǎn)價值賦值理論上應(yīng)該賦最高值為固定常數(shù)，因此制定有效的CII安全保護(hù)措施首先要識別出來CII關(guān)鍵屬性。

明確了CII的關(guān)鍵屬性對應(yīng)的資產(chǎn)價值以后，需要根據(jù)已識別的關(guān)鍵屬性逐一進(jìn)行威脅分析，CII的威脅組成T威脅={TC、TI、TU}，其中TC、TI和TU分別代表了數(shù)據(jù)機(jī)密性（Confidentiality）、業(yè)務(wù)完整性（Integrity）和業(yè)務(wù)可用性（Usability）三個不同屬性對應(yīng)的潛在威脅[6]。與其他威脅分析方法不同，CII威脅分析需要圍繞CII業(yè)務(wù)特點(diǎn)，按照識別出來的關(guān)鍵屬性逐一進(jìn)行，區(qū)別其他威脅分析，CII威脅分析要充分考慮威脅發(fā)生的最大可能性，尤其是有組織的團(tuán)體黑客攻擊滲透行為、持續(xù)的滲透攻擊、超大規(guī)模的網(wǎng)絡(luò)戰(zhàn)攻擊行為等專門針對CII的國家層面的對抗行為，實(shí)際執(zhí)行過程中對威脅賦值應(yīng)該最大化，這樣制定的防護(hù)措施才能達(dá)到最佳。

2.2 CII風(fēng)險可控的最優(yōu)保護(hù)措施

從上面分析來看，CII的保護(hù)措施的構(gòu)建與威脅分析的結(jié)果密切相關(guān)，對于某個CII關(guān)鍵屬性，保護(hù)措施P已有措施的力度與面臨的安全威脅T威脅強(qiáng)弱相匹配。為了保證風(fēng)險維持在可控水平，CII的安全保護(hù)措施強(qiáng)度要考慮CII面臨的安全威脅可能性，CII的安全保護(hù)也是一個動態(tài)優(yōu)化持續(xù)改進(jìn)的過程，保護(hù)措施隨著不同的時期威脅的強(qiáng)度需要動態(tài)優(yōu)化、持續(xù)改進(jìn)，以達(dá)到最佳的防御水平。

為了構(gòu)建最優(yōu)的安全保障體系，首先要圍繞CII業(yè)務(wù)特點(diǎn)，分析明確CII的各種關(guān)鍵屬性，根據(jù)關(guān)鍵屬性對應(yīng)的安全威脅類別，全面梳理CII可能面臨的安全威脅發(fā)生概率，尤其是重點(diǎn)分析極端條件下安全威脅的可能性，有條件的制定最佳的防護(hù)措施。最簡單的原則就是一旦某項特性識別為關(guān)鍵屬性后，應(yīng)按照此項關(guān)鍵屬性對應(yīng)最高等級的安全保護(hù)要求來制定保護(hù)措施，最高等級的安全要求可以從現(xiàn)有安全標(biāo)準(zhǔn)和行業(yè)最佳實(shí)踐來參考執(zhí)行，并留有一定可擴(kuò)展的空間。

3 圍繞風(fēng)險構(gòu)建關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系的思考

3.1 響應(yīng)主管部門要求盡快推動CII的識別認(rèn)定

目前，國家網(wǎng)絡(luò)安全工作監(jiān)管部門和各行業(yè)主管部門正在落實(shí)網(wǎng)絡(luò)安全法中CII相關(guān)保護(hù)要求，開始CII的識別認(rèn)定工作。當(dāng)前，CII的識別認(rèn)定已經(jīng)有了初步的范圍[5]，但具體到某個CII個體的清晰邊界范圍，還沒有明確的標(biāo)準(zhǔn)和方法。CII的識別和認(rèn)定方法一直是業(yè)內(nèi)關(guān)注的焦點(diǎn)，這方面的研究國外沒有現(xiàn)成可用的方法論可供我們參考，建議在我國現(xiàn)行的安全監(jiān)管體制下，參考美歐的做法，基于安全事件影響程度對CII進(jìn)行識別，由行業(yè)組織專家對識別結(jié)果進(jìn)行認(rèn)定評審確認(rèn)；然后由主管機(jī)構(gòu)牽頭制定CII識別與認(rèn)定準(zhǔn)則，形成CII清單管理機(jī)制，各行業(yè)安全主管部門落實(shí)行業(yè)的CII清單，要按照行業(yè)CII清單落實(shí)好主體防護(hù)責(zé)任，明確CII運(yùn)營者要承擔(dān)主體防護(hù)責(zé)任；最后逐步建立國家的和行業(yè)的CII清單。至于某個確定的CII邊界范圍，可以圍繞著CII的核心業(yè)務(wù)特征“業(yè)務(wù)關(guān)鍵和后果嚴(yán)重”兩個方面入手，按照前文所述的風(fēng)險評估理論出發(fā)，計算分析CII的資產(chǎn)價值，先識別資產(chǎn)價值所對應(yīng)的個體關(guān)鍵屬性，分析可能面臨的風(fēng)險點(diǎn)和安全威脅，分析評估該個體遭受破壞或者攻擊后是否對整個關(guān)鍵信息基礎(chǔ)設(shè)施造成損壞，按照損害的可能程度來判定個體是否應(yīng)該屬于CII的邊界范圍之內(nèi)，進(jìn)一步確定甄別CII的范圍邊界，在此基礎(chǔ)上定性或者定量分析進(jìn)一步明確保護(hù)要求和重點(diǎn)，從而為保護(hù)措施的制定提供參考依據(jù)。

3.2 以風(fēng)險為中心持續(xù)深化安全檢測評估

根據(jù)《網(wǎng)絡(luò)安全法》，CII每年至少一次的安全檢測，即將出臺的《CII安全檢查評估指南》標(biāo)準(zhǔn)旨在落實(shí)該項工作。如何推進(jìn)以風(fēng)險為導(dǎo)向安全檢測評估工作，實(shí)際上就是落實(shí)CII需要重點(diǎn)保護(hù)的要求，充分考慮CII承載業(yè)務(wù)的關(guān)鍵屬性，區(qū)別與以往“合規(guī)式”的安全測評方法，除了要求CII滿足現(xiàn)有的等級保護(hù)、行業(yè)標(biāo)準(zhǔn)等基本合規(guī)要求外，還要強(qiáng)化技術(shù)檢測的作用，以技術(shù)檢測的結(jié)果作為評判網(wǎng)絡(luò)安全技術(shù)防護(hù)能力水平的重要因素，通過一系列技術(shù)檢測的結(jié)果來驗(yàn)證CII安全措施落實(shí)情況和實(shí)際保障效果，再圍繞CII的業(yè)務(wù)分解出關(guān)鍵特性，客觀評價CII的整體安全保障能力。

3.3 依托威脅分層次構(gòu)建立體CII安全防御體系

要建立健全國家CII安全保障體系，需要轉(zhuǎn)變工作思路，將過去重“合規(guī)”的保護(hù)思路向重“對抗”方向去轉(zhuǎn)變，分層次構(gòu)建立體的CII防御體系，提出三方面建議。

一是CII運(yùn)營者要明確保護(hù)重點(diǎn)，建立分層的縱深安全防御體系。根據(jù)兩個最新CII標(biāo)準(zhǔn)《CII網(wǎng)絡(luò)安全基本要求》和《CII安全控制措施》設(shè)計思想，CII的保護(hù)工作在滿足等級保護(hù)基本要求基礎(chǔ)上，要從識別、檢測、檢測、防護(hù)和響應(yīng)五個能力維度有更加嚴(yán)格的要求，尤其是防護(hù)維度，就要求CII運(yùn)營者首先要識別CII的關(guān)鍵屬性，并執(zhí)行對應(yīng)最高等級的安全防護(hù)要求。具體的做法包括要提升CII關(guān)鍵性節(jié)點(diǎn)的安全防御能力，從通信網(wǎng)絡(luò)、邊界防護(hù)、互聯(lián)安全、計算環(huán)境安全、數(shù)據(jù)安全、鑒別和授權(quán)、入侵防范、建設(shè)安全、運(yùn)維安全、供應(yīng)鏈安全等角度出發(fā)，加強(qiáng)互聯(lián)網(wǎng)出入口管理、做好邊界防護(hù)和隔離措施、制定合理的權(quán)限管理和訪問控制措施、強(qiáng)化入侵防范、加強(qiáng)安全監(jiān)測和審計等[7，8]，分層構(gòu)建安全防護(hù)體系，最終形成動態(tài)的閉環(huán)安全保障能力。做到事前防御、事中響應(yīng)、事后取證，具備攻擊發(fā)現(xiàn)、安全測評、縱深防御、快速恢復(fù)的能力，將網(wǎng)絡(luò)安全工作緊密融合于CII系統(tǒng)生命周期各環(huán)節(jié)中。

二是要在全國范圍內(nèi)為CII建立立體網(wǎng)絡(luò)安全態(tài)勢感知體系。通過統(tǒng)籌規(guī)劃、分級部署，逐級建立和完善能夠覆蓋政府、行業(yè)CII運(yùn)營單位和安全企業(yè)的安全信息共享和協(xié)同通報處置機(jī)制，構(gòu)建行業(yè)層面的大安全能力運(yùn)營中心，提升CII運(yùn)營機(jī)構(gòu)對安全事件的應(yīng)急響應(yīng)和恢復(fù)能力[9]。通過應(yīng)急體系完善，逐步推進(jìn)政府部門的抽查、檢測、演練等動作，加強(qiáng)行業(yè)和安全企業(yè)的威脅情報安全信息共享和安全威脅處理協(xié)同，提高風(fēng)險的實(shí)時感知和分析能力，并能根據(jù)風(fēng)險態(tài)勢的變化適時調(diào)整安全防護(hù)策略，實(shí)現(xiàn)對安全事件、漏洞事件的風(fēng)險閉環(huán)管理，提升國家和行業(yè)層面網(wǎng)絡(luò)空間的安全感知能力。另一方面為了提升應(yīng)急能力開展實(shí)戰(zhàn)型的應(yīng)急演練，尤其是要深入開展以對抗為目標(biāo)的網(wǎng)絡(luò)安全實(shí)戰(zhàn)攻防演習(xí)，從實(shí)戰(zhàn)演習(xí)中提升CII運(yùn)營單位在處置安全事件的響應(yīng)和協(xié)同能力，從而提升整個國家應(yīng)對重大威脅和重大安全事件的應(yīng)急處置水平[10]。

三是落實(shí)好關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)中的自主可控要求，做到關(guān)鍵信息基礎(chǔ)設(shè)施其中關(guān)鍵部件重要設(shè)備自主可控。主要舉措包括落實(shí)好CII安全審查評估制度，加強(qiáng)對CII供應(yīng)鏈的安全管理和審查，明確和建立CII相關(guān)的核心網(wǎng)絡(luò)設(shè)備、高性能計算機(jī)、大容量存儲、大型數(shù)據(jù)庫和應(yīng)用軟件、其他服務(wù)等清單，評估上述核心部件清單對CII安全可控是否有決定性的影響，根據(jù)評估結(jié)果形成一個動態(tài)管理的清單庫，對清單庫中的部件和設(shè)備實(shí)行自主可控評估機(jī)制，規(guī)范在清單庫中的部件的采購行為，在采購環(huán)節(jié)增加審查環(huán)節(jié)，評估審查結(jié)果有關(guān)機(jī)構(gòu)批準(zhǔn)再進(jìn)行采購。

4 結(jié)束語

隨著《網(wǎng)絡(luò)安全法》的落地實(shí)施，我國的CII保護(hù)工作正層層推進(jìn)，本文圍繞著CII的業(yè)務(wù)特性，從分析CII的關(guān)鍵安全屬性和安全威脅入手，提出了構(gòu)建以風(fēng)險為導(dǎo)向的CII安全保護(hù)措施建設(shè)思路，在此基礎(chǔ)上建立立體分層的安全防御體系，切實(shí)保障國家安全、國計民生和公共利益。