关键信息基础设施安全等级保护技术框架研究.pdfVIP

关键信息基础设施安全等级保护技术框架研究

编者按

《网络安全法》第三十一条规定“国家对公共通信和信息服务、能源、交通、

水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、

丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信

息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”本文分析了

关键信息基础设施保护制度与网络安全等级保护制度在保护对象、保护措施和建

设实施等方面的关系，从信息基础设施运营者单位/机构的角度提出符合整体安

全要求的网络安全管控能力评价方法，并尝试构建关键信息基础设施的等级保护

技术框架。

1.研究背景

自2007年《信息安全等级保护管理办法》发布以来，依据等级保护的《定

级指南》、《基本要求》、《测评要求》、《测评过程指南》、《实施指南》和《安全设

计技术要求》等国家标准开展的等级保护定级备案、建设整改和等级测评工作，

在保障我国重要信息系统安全工作发挥了重要作用。随着各领域安全保护能力的

提高和新技术新应用的涌现，现有以《基本要求》为建设依据，以标准符合性的

等级测评为主要测评方法、以基线合规为主要目标的技术体系，已经不能充分满

足各领域关键信息基础设施安全保护的不断增加的安全需求。等级保护工作在各

行业的推进也已经进行了多年，很多三级以上系统经过多年的建设整改，在对基

本要求的符合程度已经达到一个稳态，但信息系统对安全保护的需求和面临的威

胁并没有停止发展。因此，完善等级保护制度需要研究设计新的、具有更大适用

性和开放性的技术体系。

此外，随着《网络安全法》于2017年6月1日正式实施，为更好地落实其

中第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公

共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数

据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在

网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围

和安全保护办法由国务院制定”。总书记指出“基础不牢，地动山摇”，打牢网络

安全等级保护制度基础，对于保障关键信息基础设施安全至关重要。因此需要在

理清关键信息基础设施保护制度与网络安全等级保护制度在保护对象、保护措施、

管理流程和建设实施等方面的关系的基础上，认真研究关键信息基础设施的等级

保护基础工作。

为此公安部信息安全等级保护评估中心开展了以关键信息基础设施为目标

的等级保护技术框架研究，并于2017年在国标委立项标准研究项目。该研究以

分等级的系统保护为基础，以实现关键基础设施保护战略为目标，构建三层结构

的关键基础设施网络安全等级保护技术框架；以IPDRR模型为基础，构建分功能

域和类别的安全控制集，提出定级对象目的指标构成方法，满足基础设施保护需

求；提出对关键基础设施机构网络安全管控能力的评价方法，以度量机构制定、

贯彻并执行网络安全战略目标的意愿、能力和程度；给出框架的实施流程，指导

如何结合网络安全等级保护工作要求，实施关键信息基础设施保护，并持续评估

和改进机构的信息安全工作。

通过上述研究形成的标准性文件，可以为关键信息基础设施的运营机构落实

等级保护制度，构建符合国家政策、制度要求以及自身风险控制目标的安全保障

体系起到指导作用，可以更为准确地评价关键信息基础设施机构的安全保护和保

障成效，有利于保证我国等级保护制度的持续健康发展。

2.关键信息基础设施对象

通常关键信息基础设施的运营单位内部都会存在多个信息系统，通过落实网

络安全等级保护制度，大部分单位对所负责的业务系统完成了定级工作。假定某

单位信息系统定级结果如下图所示，其中有1个系统定为第四级，2个系统定为

第三级，2个系统定为第二级。

在关键信息基础设施的识别工作中，假定其中对关键基础设施起重要支撑作

用的业务系统、区域或网络设施被确定为关键信息基础设施，相应的信息系统或

网络设施应具有较高的安全保护等级，如第三级或第四级，而其他业务系统或者

因其对关键基础设施的支撑作用不直接（其他非关键信息基础设施的第三级系

统），或者其重要性较低（如第二级系统），并未被识别为关键信息基础设施。

某关键信息基础设施运营者定级系统状况

第三级第四级