鄧一丁，萬喬喬，李惟謙，朱高軍

（中國電子科技網(wǎng)絡(luò)信息安全有限公司，四川 成都 610041）

0 引言

習(xí)近平總書記在2016 年的網(wǎng)絡(luò)安全和信息化工作座談會上對關(guān)鍵信息基礎(chǔ)設(shè)施保護做了精辟論述，“金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標(biāo)”[1]。2021 年9 月1 日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》正式施行，其中第2 章第9 條要求，“保護工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定關(guān)鍵信息基礎(chǔ)設(shè)施認定規(guī)則，并報國務(wù)院公安部門備案?！币虼?，如何認定關(guān)鍵信息基礎(chǔ)設(shè)施成為接下來的首要問題。國內(nèi)外目前有很多對于關(guān)鍵信息基礎(chǔ)設(shè)施認定的研究和標(biāo)準(zhǔn)，大多基于關(guān)鍵信息基礎(chǔ)設(shè)施的重要性來判斷，由于缺乏量化指標(biāo)，在實踐中不易掌握。本文將“中樞”的概念引入到關(guān)鍵信息基礎(chǔ)設(shè)施認定工作中。根據(jù)待認定信息設(shè)施的功能特征，分為4 種中樞類型，對每一類中樞建立多維度量化模型，并進行量化分析。

1 國內(nèi)外研究現(xiàn)狀分析

美國國土安全局關(guān)鍵信息基礎(chǔ)設(shè)施概念的提出者[2-3]，很早就在對如何認定關(guān)鍵信息基礎(chǔ)設(shè)施進行探索，我國也有很多專家對關(guān)鍵信息基礎(chǔ)設(shè)施的認定做了大量研究，形成了很多有價值的方法論。國內(nèi)外曾經(jīng)使用或正在使用的認定方法比較多，總結(jié)比較典型的方法，如表1 所示。

表1 國內(nèi)外認定方法匯總

美國和歐盟經(jīng)過反復(fù)嘗試，目前在用的認定方法主要是基于后果或風(fēng)險定性分析。但這是不得已而為之，因為以量化的方式認定比較困難。最典型的是歐盟在2014 年9 月發(fā)布的《關(guān)鍵信息基礎(chǔ)設(shè)施資產(chǎn)和服務(wù)認定識別方法——草案》（Methodologies for the Identification of CIIAssets and Services-Draft Preview）就專門對關(guān)鍵信息基礎(chǔ)設(shè)施被破壞的后果采用權(quán)重計算的方式來量化，但隨后在正式版中[4]把量化部分刪除了，以大量定性描述來代替。

2016 年6 月，中央網(wǎng)信辦組織開展了我國第一次全國范圍內(nèi)的關(guān)鍵信息基礎(chǔ)設(shè)施摸底大檢查工作。各地各行業(yè)各領(lǐng)域報送的信息參差不齊，與預(yù)設(shè)情況有一定差距，為此，網(wǎng)信辦開展關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別認定研究工作，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施識別認定方法制定了有關(guān)文件，用于指導(dǎo)地方和行業(yè)開展工作。2020 年，信安標(biāo)委發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》（征求意見稿）[5]，也在量化分析的道路上進行了探索。

量化分析方法不易成功的原因主要有以下3 點：

（1）指標(biāo)選擇過于單一。各行業(yè)領(lǐng)域業(yè)務(wù)形態(tài)和信息基礎(chǔ)設(shè)施種類繁多，以某一種或幾種指標(biāo)無法很好體現(xiàn)信息基礎(chǔ)設(shè)施的特征。

（2）固化的指標(biāo)閾值區(qū)間很難同時適應(yīng)各行業(yè)領(lǐng)域需求。相同指標(biāo)值在不同行業(yè)領(lǐng)域中的重要程度不同，如宕機1 小時對發(fā)電廠和互聯(lián)網(wǎng)數(shù)據(jù)中心的意義完全不同。

（3）管控模式會影響指標(biāo)的選擇。由于體制原因，美國和歐盟在關(guān)鍵信息基礎(chǔ)設(shè)施保護上的管控模式較為松散，國家之間、國家和聯(lián)邦政府之間、政府和企業(yè)之間沒有很強的約束力。在選擇量化指標(biāo)時，會受到各方因素制約。最終多采用基于后果的定性分析方法，而把進一步的決策權(quán)下放給企業(yè)。而我國是從中央到地方全面貫通的強管控模式，這種行政管理架構(gòu)與關(guān)鍵信息基礎(chǔ)設(shè)施在各個重要行業(yè)領(lǐng)域的分布區(qū)域有密切的關(guān)聯(lián)。這是我國關(guān)鍵信息基礎(chǔ)設(shè)施的重要特征。

2 認定模型與分值計算

各行業(yè)領(lǐng)域有復(fù)雜的業(yè)務(wù)形態(tài)和多樣的信息基礎(chǔ)設(shè)施，但從本質(zhì)上看，可以用4 種類別來概括，分別是業(yè)務(wù)類、數(shù)據(jù)類、平臺（設(shè)施）類、運營類[6]。業(yè)務(wù)是行業(yè)領(lǐng)域的表現(xiàn)形式，數(shù)據(jù)是內(nèi)在本質(zhì)，平臺是存在方式，運營則是運轉(zhuǎn)紐帶。每一類信息基礎(chǔ)設(shè)施，都有代表性的特征。

在本文中，為便于描述，用“中樞”來指代各類信息基礎(chǔ)設(shè)施，根據(jù)信息設(shè)施功能特征的共同點進行聚類，可分為業(yè)務(wù)中樞、數(shù)據(jù)中樞、平臺中樞以及運營中樞。每一類中樞都有若干體現(xiàn)該類別特點的認定模型，將待認定系統(tǒng)與多維度認定模型進行匹配，得出每種認定模型下關(guān)鍵程度得分。關(guān)鍵程度是指每一個認定模型中的對信息設(shè)施的關(guān)鍵性進行量化后的賦值，值越大關(guān)鍵程度越高。為了便于將模型進行數(shù)學(xué)處理，將4 個模型的英文單詞首字母提取出來，配合數(shù)字代表每一種要素，最終形成多維度認定模型，如圖1 所示。

圖1 多維度認定模型

2.1 多維度認定模型

2.1.1 業(yè)務(wù)中樞認定模型（Buiness）

業(yè)務(wù)中樞為重要行業(yè)和領(lǐng)域提供信息化服務(wù)的系統(tǒng)、平臺等信息設(shè)施，實現(xiàn)關(guān)鍵業(yè)務(wù)開展，提供核心產(chǎn)品和服務(wù)。業(yè)務(wù)中樞的關(guān)鍵程度可以通過影響范圍、服務(wù)對象、事故級別和業(yè)務(wù)連續(xù)性來體現(xiàn)。

（1）影響范圍B1

如表2 所示，影響范圍主要指該業(yè)務(wù)中樞影響的區(qū)域范圍，從跨行業(yè)（全國范圍）、行業(yè)內(nèi)（全國范圍）再到省市、區(qū)縣，關(guān)鍵程度依次降低。

表2 影響范圍B1

（2）服務(wù)對象B2

如表3 所示，服務(wù)對象指業(yè)務(wù)影響的人物群體，從重要個體人物、重要行業(yè)領(lǐng)域群體、一般行業(yè)領(lǐng)域群體到普通社會群體關(guān)鍵程度依次降低。

表3 服務(wù)對象B2

（3）事故級別B3

如表4 所示，事故級別[7]指如果系統(tǒng)或平臺受到攻擊、業(yè)務(wù)中斷或信息泄露后可能造成的損失級別，損失越大則關(guān)鍵程度越高。

表4 事故級別B3

（4）業(yè)務(wù)連續(xù)性B4

業(yè)務(wù)連續(xù)性指各行業(yè)領(lǐng)域?qū)I(yè)務(wù)允許中斷時間的要求。業(yè)務(wù)連續(xù)性要求越高則業(yè)務(wù)中樞的關(guān)鍵程度越高。如表5 所示，其中對業(yè)務(wù)中斷時間的確定作為參考。各行業(yè)領(lǐng)域可根據(jù)行業(yè)標(biāo)準(zhǔn)或自身特點對業(yè)務(wù)連續(xù)性的閾值區(qū)間進行設(shè)定。

表5 業(yè)務(wù)連續(xù)性B4

2.1.2 數(shù)據(jù)中樞認定模型（Data）

數(shù)據(jù)中樞是支撐關(guān)鍵業(yè)務(wù)的運行，提供數(shù)據(jù)支撐服務(wù)的系統(tǒng)、平臺等信息設(shè)施。數(shù)據(jù)中樞的關(guān)鍵程度體現(xiàn)在數(shù)據(jù)覆蓋范圍和數(shù)據(jù)泄露后造成的影響兩個方面。

（1）數(shù)據(jù)覆蓋范圍D1

如表6 所示，數(shù)據(jù)覆蓋的范圍越大，泄露或被破壞后產(chǎn)生的損失越大，關(guān)鍵程度越高。

表6 數(shù)據(jù)覆蓋范圍D1

（2）數(shù)據(jù)泄露危害性D2

如表7 所示，數(shù)據(jù)中樞的關(guān)鍵程度還可以通過數(shù)據(jù)泄露或被破壞后造成的危害程度來體現(xiàn)。

表7 數(shù)據(jù)泄露危害性D2

2.1.3 平臺中樞認定模型（Platform）

平臺中樞是為支撐關(guān)鍵業(yè)務(wù)的運行提供的必要物理環(huán)境，包括網(wǎng)絡(luò)節(jié)點、計算平臺等信息基礎(chǔ)設(shè)施。可以通過信息基礎(chǔ)設(shè)施所在的數(shù)據(jù)中心（機房）等級和所在的平臺規(guī)模來衡量關(guān)鍵程度。

（1）數(shù)據(jù)中心等級P1

如表8 所示，數(shù)據(jù)中心（機房）等級在建設(shè)時應(yīng)按照國家相關(guān)規(guī)定[8]進行定級，分為A、B、C 3 級，等級越高則關(guān)鍵程度越高。

表8 數(shù)據(jù)中心等級P1

（2）平臺規(guī)模P2

如表9 所示，信息設(shè)施所在的數(shù)據(jù)中心（機房）支撐的關(guān)鍵業(yè)務(wù)范圍越大，平臺規(guī)模就越大，關(guān)鍵程度就越高。

表9 平臺規(guī)模P2

2.1.4 運營中樞認定模型（Operation）

運營中樞不直接提供關(guān)鍵業(yè)務(wù)，也不承載關(guān)鍵業(yè)務(wù)數(shù)據(jù)。是保護關(guān)鍵業(yè)務(wù)和數(shù)據(jù)免受攻擊、侵入、干擾和破壞，并保證關(guān)鍵業(yè)務(wù)穩(wěn)定、持續(xù)運行，提供所必需的安全服務(wù)、管理、流程調(diào)度、日常運維等功能的信息設(shè)施。一方面，該類中樞的功能不同，其關(guān)鍵程度不同；另一方面，對其他關(guān)鍵系統(tǒng)的影響程度不同，其關(guān)鍵程度也不同。

（1）系統(tǒng)功能性O(shè)1

如表10 所示，運營中樞按其功能分為安全管理、資源管控、運行維護、統(tǒng)計分析、門戶辦公5大類。在具體的認定實踐過程中，保護工作部門和運營者可根據(jù)自身特點進行調(diào)整，以體現(xiàn)每類系統(tǒng)的關(guān)鍵程度差異。

表10 系統(tǒng)功能性O(shè)1

（2）系統(tǒng)相關(guān)性O(shè)2

某些系統(tǒng)不便于通過功能分類，可以通過與已認定的關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)關(guān)系或業(yè)務(wù)關(guān)系進行判斷。如圖2 所示，最左邊是已認定的關(guān)鍵信息基礎(chǔ)設(shè)施或系統(tǒng)，作為參照坐標(biāo)，括號內(nèi)是關(guān)鍵程度分值，有分值的方框代表待認定的對象，可以是信息系統(tǒng)或網(wǎng)絡(luò)設(shè)施。

圖2 系統(tǒng)相關(guān)性O(shè)2

采用系統(tǒng)相關(guān)性模型認定時需注意：

①應(yīng)盡量采用其他模型認定的關(guān)鍵信息基礎(chǔ)設(shè)施，不建議優(yōu)先采用系統(tǒng)相關(guān)性模型計算關(guān)鍵程度。

②選擇離待認定對象網(wǎng)絡(luò)關(guān)系或業(yè)務(wù)關(guān)系較近的CII 作為坐標(biāo)原點，并構(gòu)建如圖2 所示的關(guān)系拓撲圖。

③每個待認定對象都應(yīng)對其左側(cè)的對象產(chǎn)生直接或間接影響，沒有影響的不納入考慮。

④直接影響是指當(dāng)該對象被控制、被破壞或數(shù)據(jù)泄露時，會直接造成其左側(cè)的對象被控制、被破壞或數(shù)據(jù)泄露；間接影響是指當(dāng)該對象被控制、被破壞或數(shù)據(jù)泄露時，還需要通過其他途徑才會造成左側(cè)的對象被控制、被破壞或數(shù)據(jù)泄露。

⑤對左側(cè)對象產(chǎn)生直接影響的，其關(guān)鍵程度與左側(cè)對象一致。對左側(cè)對象產(chǎn)生間接影響的，其關(guān)鍵程度較左側(cè)對象低1 分。

⑥待認定對象與多個已認定的關(guān)鍵信息基礎(chǔ)設(shè)施有關(guān)系時，即參照坐標(biāo)不唯一時，可以在多個參照坐標(biāo)下進行分析、計算，取最高分值作為該對象的關(guān)鍵程度得分。

2.2 重要程度分值計算

對目標(biāo)基礎(chǔ)設(shè)施是否是關(guān)鍵信息基礎(chǔ)設(shè)施，采用如下方法進行判斷。

（1）根據(jù)待認定基礎(chǔ)設(shè)施的功能特點，對其進行分類，確認屬于哪一類中樞。

（2）對照每一類中樞的多維認定模型，得出每個模型下的關(guān)鍵程度得分，并取平均值，如業(yè)務(wù)中樞關(guān)鍵程度平均值=(B1+B2+B3+B4)/4。

（3）如果待認定對象不只符合一種中樞類別的特征，則可以將其他類別中符合特征的認定模型一起納入計算，如某大數(shù)據(jù)平臺具有數(shù)據(jù)中樞和平臺中樞的特征，同時有業(yè)務(wù)連續(xù)性要求，則其關(guān)鍵程度平均值=(B4+D1+D2+P1+P2)/5。

（4）盡量選擇能體現(xiàn)待認定對象特征的模型，避免加入相關(guān)性不高的模型，影響認定準(zhǔn)確性。

（5）最終關(guān)鍵程度平均值大于或等于4 的，有很大可能性被認定為關(guān)鍵信息基礎(chǔ)設(shè)施。

（6）結(jié)合認定原則，由行業(yè)專家綜合判斷待認定對象是否是關(guān)鍵信息基礎(chǔ)設(shè)施。

3 在各行業(yè)領(lǐng)域中的應(yīng)用

通過對我國當(dāng)前比較有代表性的行業(yè)領(lǐng)域進行分析，展示如何將信息基礎(chǔ)設(shè)施對應(yīng)到4 大中樞，圓圈標(biāo)出的設(shè)施極有可能是關(guān)鍵信息基礎(chǔ)設(shè)施。

3.1 智慧城市

“智慧城市”概念在出現(xiàn)時就采用了比較理想的架構(gòu)[9]，層級之間的關(guān)系明確，非常契合本方法。4 類中樞在智慧城市中的應(yīng)用如圖3 所示。

圖3 4 類中樞在智慧城市中的應(yīng)用

3.2 財政、稅務(wù)、社保

以財政、稅務(wù)、社保為代表的政務(wù)類信息基礎(chǔ)設(shè)施，其核心業(yè)務(wù)和非核心業(yè)務(wù)有比較明確的邊界，通常非核心業(yè)務(wù)部署在公有云上，核心業(yè)務(wù)部署在本地數(shù)據(jù)中心。隨著政務(wù)上云的逐步推進，越來越多的系統(tǒng)會向公有云遷移，其業(yè)務(wù)的復(fù)雜度主要體現(xiàn)在服務(wù)對象的類別較多，縱向貫穿中央、省、市、縣、區(qū)，橫向打通銀行、互聯(lián)網(wǎng)、其他政府單位等，需更多從業(yè)務(wù)層面分析判斷。4類中樞在財政、稅務(wù)、社保中的應(yīng)用如圖4 所示。

圖4 4 類中樞在財政、稅務(wù)、社保中的應(yīng)用

3.3 能源、交通、先進制造

這類行業(yè)領(lǐng)域主要核心是工控系統(tǒng)，服務(wù)的對象也從“人”變?yōu)椤拔铩?。由于各行業(yè)領(lǐng)域工控系統(tǒng)的封閉性和業(yè)務(wù)的獨特性，造成了工業(yè)控制領(lǐng)域的“碎片化”特征明顯，采用分層級的架構(gòu)不容易準(zhǔn)確判斷，更多取決于關(guān)鍵業(yè)務(wù)的具體實現(xiàn)，如各個子系統(tǒng)之間的通信關(guān)系、控制流程等。建議從造成的后果及子系統(tǒng)之間的關(guān)聯(lián)度進行判斷。4 類中樞在能源、交通、先進制造中的應(yīng)用如圖5所示。

圖5 4 類中樞在能源、交通、先進制造中的應(yīng)用

3.4 電信運營商

由于網(wǎng)絡(luò)架構(gòu)極為復(fù)雜，電信運營商對“四大中樞”的理解也更加抽象，關(guān)鍵把握局部網(wǎng)絡(luò)在整個運營商網(wǎng)絡(luò)環(huán)境中發(fā)揮的作用，不拘泥具體的網(wǎng)絡(luò)形態(tài)。4 類中樞在電信運營商中的應(yīng)用如圖6所示。

圖6 4 類中樞在電信運營商中的應(yīng)用

4 結(jié)語

本方法構(gòu)建的模型易于理解，計算過程簡單，各行業(yè)技術(shù)人員短時間內(nèi)即可掌握并進行實踐。同時，在行業(yè)領(lǐng)域之間和行業(yè)領(lǐng)域內(nèi)提出統(tǒng)一參照標(biāo)準(zhǔn)，認定時更加具備全局視角，該方法應(yīng)用了模塊化設(shè)計思想，每個模型及量度指標(biāo)都可根據(jù)行業(yè)特點進行增減，具有很強的擴展性，如金融行業(yè)的資金額度、電信行業(yè)的網(wǎng)絡(luò)參數(shù)、公眾平臺的事務(wù)數(shù)量等，甚至是能夠量化的管理要求，都可以納入模型，只要能夠描述對象的關(guān)鍵程度差異即可。當(dāng)然，人的綜合判斷比固化的模型更加重要，通過人對目標(biāo)設(shè)施的研究，精心設(shè)計量度指標(biāo)，才能使計算結(jié)果更加符合預(yù)期。