关键信息基础设施安全等级保护技术框架研究

自2007年《信息安全等级保护管理办法》发布以来，依据等级保护的《定级指南》、《基本要求》、《测评要求》、《测评过程指南》、《实施指南》和《安全设计技术要求》等国家标准开展的等级保护定级备案、建设整改和等级测评工作，在保障我国重要信息系统安全工作发挥了重要作用。随着各领域安全保护能力的提高和新技术新应用的涌现，现有以《基本要求》为建设依据，以标准符合性的等级测评为主要测评方法、以基线合规为主要目标的技术体系，已经不能充分满足各领域关键信息基础设施安全保护的不断增加的安全需求。等级保护工作在各行业的推进也已经进行了多年，很多三级以上系统经过多年的建设整改，在对基本要求的符合程度已经达到一个稳态，但信息系统对安全保护的需求和面临的威胁并没有停止发展。因此，完善等级保护制度需要研究设计新的、具有更大适用性和开放性的技术体系。

此外，随着《网络安全法》于2017年6月1日正式实施，为更好地落实其中第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。总书记指出“基础不牢，地动山摇”，打牢网络安全等级保护制度基础，对于保障关键信息基础设施安全至关重要。因此需要在理清关键信息基础设施保护制度与网络安全等级保护制度在保护对象、保护措施、管理流程和建设实施等方面的关系的基础上，认真研究关键信息基础设施的等级保护基础工作。

为此公安部信息安全等级保护评估中心开展了以关键信息基础设施为目标的等级保护技术框架研究，并于2017年在国标委立项标准研究项目。该研究以分等级的系统保护为基础，以实现关键基础设施保护战略为目标，构建三层结构的关键基础设施网络安全等级保护技术框架；以IPDRR模型为基础，构建分功能域和类别的安全控制集，提出定级对象目的指标构成方法，满足基础设施保护需求；提出对关键基础设施机构网络安全管控能力的评价方法，以度量机构制定、贯彻并执行网络安全战略目标的意愿、能力和程度；给出框架的实施流程，指导如何结合网络安全等级保护工作要求，实施关键信息基础设施保护，并持续评估和改进机构的信息安全工作。

通过上述研究形成的标准性文件，可以为关键信息基础设施的运营机构落实等级保护制度，构建符合国家政策、制度要求以及自身风险控制目标的安全保障体系起到指导作用，可以更为准确地评价关键信息基础设施机构的安全保护和保障成效，有利于保证我国等级保护制度的持续健康发展。

通常关键信息基础设施的运营单位内部都会存在多个信息系统，通过落实网络安全等级保护制度，大部分单位对所负责的业务系统完成了定级工作。假定某单位信息系统定级结果如下图所示，其中有1个系统定为第四级，2个系统定为第三级，2个系统定为第二级。

在关键信息基础设施的识别工作中，假定其中对关键基础设施起重要支撑作用的业务系统、区域或网络设施被确定为关键信息基础设施，相应的信息系统或网络设施应具有较高的安全保护等级，如第三级或第四级，而其他业务系统或者因其对关键基础设施的支撑作用不直接（其他非关键信息基础设施的第三级系统），或者其重要性较低（如第二级系统），并未被识别为关键信息基础设施。

假定这些系统已经按照相应等级的网络安全等级保护要求，落实了安全技术措施和管理措施，则关键信息基础设施——其中的第三级信息系统1和第四级信息系统的安全保护还应关注以下方面：

a) 关键信息基础设施内部不同定级系统之间的安全整体性和协同性；

b) 关键信息基础设施安全对周边非关键信息基础设施的依赖性；

c) 关键基础设施的业务连续性要求安全措施具有可靠性、监测持续性和处置高效等特点；

d) 关键信息基础设施具备更强的威胁对抗能力。

采用划分系统、分等级保护的传统思路，将安全保护的重点放在每个系统的合规，在一定程度忽略了安全的整体性。关键信息基础设施保护需要通过设计以弥补这一缺陷。本框架参照美国的《提升关键信息基础设施的网络安全框架》，从信息基础设施运营者单位/机构的角度提出要求，给出关键信息基础设施的等级保护技术框架。关键信息基础设施保护的管理对象应该是对关键信息基础设施负有安全责任的机构/单位。

在系统层面，经过近10年的等级保护工作，大多数的关键信息基础设施运营者已经对其负责的支撑关键基础设施运行的信息系统和设施进行了定级梳理和安全保护，识别出关键业务系统的关键系统组件，并按照定级结果进行相应等级的保护，并形成了基本的安全防护能力。这些管理活动和技术措施都应该成为关键信息基础设施安全保护的基础。

安全基线是机构根据定级对象的安全保护等级所选择的用于保障其安全的控制措施集合。但随着新技术新应用的采用，定级对象的构成和组成形态发生了很大变化，因此保护基线也应适应这种变化，是基线的构成具备一定的灵活性和适用性。

新修订的GB/T 22239标准由通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求和大数据安全扩展要求等，通用要求和扩展要求的第一级到第四级安全控制的总和构成基本安全控制集，通过分别对基本安全控制集的选择和裁剪形成定级对象的安全基线。

根据关键信息基础设施保护的相关法律法规和国家标准的强制性要求，以及行业对关键信息基础设施保护的行业/领域的具体要求，补充基本安全控制。

在定级对象基本安全控制选择完成后，机构可根据定级对象的网络环境、业务模式、用户等方面的特殊情况，对基本安全控制进行裁剪，使之在不影响实现机构安全目标和削弱对抗威胁能力前提下，降低定级对象的安全防护成本。

机构应通过必要的管理流程将定级对象的安全基线文档化，基线文档可作为等级测评、安全测试或风险评估的基础指标。

基于GB/T 22239的通用要求和扩展要求形成的定级对象基本安全控制仅是满足安全需求的基础，机构从保障关键信息基础设施安全稳定运行的业务需求和运行需求出发，可能已经采取了基本安全控制以外的安全控制，用来对抗定级对象面临的特定威胁。机构可以在本框架提供的安全控制集中选择某定级对象已实现的基本安全控制以外的安全控制，作为该定级对象的安全目的指标的一部分。

识别已有安全控制措施，有利于对定级对象安全防护的全面了解，对定级对象所存在安全问题的风险分析也可以更为准确。

机构应在系统分等级基线保护的基础上，建立本单位的风险管理框架，了解风险事件发生的可能性及其后果，确定风险容忍度，以此确定最佳的网络安全目标，选择相应安全保护策略和安全控制措施，并能动态调整和改进。

所有基本安全控制与选择出的已有安全控制措施、安全风险控制措施合并，即可形成本机构各定级对象当前的目的安全控制指标。

各定级对象的安全需求和采取的安全控制措施在运行过程中会发生改变，目的安全控制指标也需要动态调整。通过风险评估、安全测评、渗透测试等评价活动，可以分析出定级对象面临的新威胁和产生的新风险，为目的指标的调整提供依据。

机构应通过必要的管理流程将定级对象的目的安全控制指标文档化，该文档可作为定级对象安全测试或风险评估的依据指标。

关键信息基础设施（CII）的安全防护是一项复杂的、涉及多方面的活动，需要关键信息基础设施运营者决策层、管理层以及执行层的共同参与。其中决策层负责从保护基础设施安全角度出发，确定机构层面的网络安全保障战略，该安全战略决定了机构的基础设施网络安全的总体安全目标，它指引着管理层确定机构总体信息安全策略，制定机构的信息安全架构；管理层确定的总体安全策略指导执行层确定各定级对象应实现的安全保护能力，以及应采取的安全功能和安全流程；执行层负责定级对象的运行管理和维护。

下图所示的CII网络安全等级保护技术框架描述了关键信息基础设施安全保护三层架构、安全控制集以及能力评价三者之间的关联关系。关键信息基础设施安全保护三层架构描述了决策层、管理层以及执行层等各层的信息安全关注点，并给出了三层架构之间的关系。安全控制集是基于IPDRR模型构建的安全控制类型全集，为机构建立关键信息基础设施安全保障架构提供了技术路线，并可指导机构选择适当的安全控制措施。能力评价是机构为检验关键信息基础设施安全保障战略的实际达成状况，从定级对象和关键信息基础设施运营者两个方面分别评价系统的安全等级保护能力和关键基础设施运营者的网络安全管控能力。

关键信息基础设施安全等级保护技术框架

机构决策层从保障基础设施安全角度出发确立机构的网络安全保障战略，为机构开展信息安全工作奠定基础。该层直接影响管理层和执行层的活动。该层确定机构所有业务的重要程度，并根据业务重要程度控制投资策略和资源分配决策。

管理层根据决策层确立的网络安全保障战略，从保障基础设施网络安全角度考虑，确定关键信息基础设施的安全目标，制定安全策略，规划网络安全体系架构，根据业务重要程度进行系统划分形成不同定级对象，并识别各定级对象的网络安全需求和保护需求等。该层关注决策层定义的网络安全保障战略的达成。

执行层关注如何在定级对象中实现安全功能和安全流程，即采用哪些安全控制措施以及安全控制措施在哪些设备组件上实施，以满足管理层确定的信息技术体系架构以及定级对象安全需求。

安全控制集是关键信息基础设施安全等级保护技术框架的核心，提供了关键信息基础设施保护所需的安全控制类别。关键信息基础设施运营者可以根据自身安全需求以及定级对象的信息安全保护等级，从安全控制集中选取安全控制构成关键信息基础设施的安全基线。针对关键信息基础设施中的多个定级对象，机构可以根据定级对象的不同安全保护等级分别选择不同的安全基线和目的指标。

定级对象安全等级保护能力评价是针对定级对象开展的安全测评活动，是系统层面的测评。系统安全等级保护能力评价分为等级测评和定制化等级测评两类。

等级测评依据信息安全等级保护相关要求，以定级对象安全基线为测评指标，针对定级对象开展。等级测评能够评价定级对象安全保护状况与信息安全等级保护相应等级要求之间的符合情况。

定制化等级测评关注定级对象实施的安全功能、活动及流程是否满足机构管理层确定的安全策略和目标，以目的指标为测评指标，针对定级对象开展安全测评。定制化等级测评能够评价定级对象安全保护状况与机构确定的目的指标之间的符合情况。

运营者网络安全管控能力评价是针对机构开展的，评估机构对网络安全管控的执行力情况，从机构完成信息安全工作任务的意愿、能力及程度等方面进行评估。

管控能力评价以机构中的多个定级对象的等级保护能力评价结果为基础资料，从管理活动可控性、安全机制有效性等方面验证定级对象具备的安全保护能力和保护效果是否满足了机构管理层确定的安全策略和目标。同时，管控能力评价以定级对象等级测评结果、定制安全测评结果以及管理层在机构层面上的管理活动为基础资料，验证分析机构的网络安全工作是否达成了机构的网络安全保障战略。

意愿：决策层对网络安全的认识程度；

策略执行：机构对已建立的安全管理体系规范执行程度；

技术实现：机构在识别、防护、检测、响应和恢复等技术措施执行的有效性；

人力资源：管理层对网络安全相关人力资源的管控能力；

信息共享：机构对网络安全信息获取和利用的能力；

度量：机构对网络安全工作成果的评价能力。

本技术框架通过建立以关键基础设施安全保障战略为目标的三层保护架构，提供安全控制集，可以指导关键信息基础设施在依法落实等级保护制度的基础上，依据风险自主选择安全控制措施，设计并建立完善的安全保障体系。

本框架在承袭实施多年的定级对象等级测评的基础上，提出网络运营者网络安全管控能力评价方法，可以从宏观层面上评估决策层对信息安全工作的支持情况，强调需建立符合自身需求的信息安全战略；也从中观层面对信息安全工作具体实施过程的广度和深度进行评价；还从微观层面评估了安全功能的完备性、一致性和正确性。通过建立评价指标体系，一方面使网络运营者明确自身信息安全工作的目标和现状，为持续改进活动提供依据；另一方面，也使其能够与同行业中的其它机构进行横向比较，为提升行业的信息安全水平拓展了空间。