《網絡安全法》第三十一(yī)條規定“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一(yī)旦遭到破壞、喪失功能或者數據洩露，可能嚴重危害國家安全、國計民生(shēng)、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”本文分(fēn)析了關鍵信息基礎設施保護制度與網絡安全等級保護制度在保護對象、保護措施和建設實施等方面的關系，從信息基礎設施運營者單位/機構的角度提出符合整體(tǐ)安全要求的網絡安全管控能力評價方法，并嘗試構建關鍵信息基礎設施的等級保護技術框架。

1. 研究背景

自2007年《信息安全等級保護管理辦法》發布以來，依據等級保護的《定級指南(nán)》、《基本要求》、《測評要求》、《測評過程指南(nán)》、《實施指南(nán)》和《安全設計技術要求》等國家标準開(kāi)展的等級保護定級備案、建設整改和等級測評工(gōng)作，在保障我(wǒ)國重要信息系統安全工(gōng)作發揮了重要作用。随着各領域安全保護能力的提高和新技術新應用的湧現，現有以《基本要求》爲建設依據，以标準符合性的等級測評爲主要測評方法、以基線合規爲主要目标的技術體(tǐ)系，已經不能充分(fēn)滿足各領域關鍵信息基礎設施安全保護的不斷增加的安全需求。等級保護工(gōng)作在各行業的推進也已經進行了多年，很多三級以上系統經過多年的建設整改，在對基本要求的符合程度已經達到一(yī)個穩态，但信息系統對安全保護的需求和面臨的威脅并沒有停止發展。因此，完善等級保護制度需要研究設計新的、具有更大(dà)适用性和開(kāi)放(fàng)性的技術體(tǐ)系。

此外(wài)，随着《網絡安全法》于2017年6月1日正式實施，爲更好地落實其中(zhōng)第三十一(yī)條規定“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一(yī)旦遭到破壞、喪失功能或者數據洩露，可能嚴重危害國家安全、國計民生(shēng)、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體(tǐ)範圍和安全保護辦法由國務院制定”。總書(shū)記指出“基礎不牢，地動山搖”，打牢網絡安全等級保護制度基礎，對于保障關鍵信息基礎設施安全至關重要。因此需要在理清關鍵信息基礎設施保護制度與網絡安全等級保護制度在保護對象、保護措施、管理流程和建設實施等方面的關系的基礎上，認真研究關鍵信息基礎設施的等級保護基礎工(gōng)作。

爲此公安部信息安全等級保護評估中(zhōng)心開(kāi)展了以關鍵信息基礎設施爲目标的等級保護技術框架研究，并于2017年在國标委立項标準研究項目。該研究以分(fēn)等級的系統保護爲基礎，以實現關鍵基礎設施保護戰略爲目标，構建三層結構的關鍵基礎設施網絡安全等級保護技術框架；以IPDRR模型爲基礎，構建分(fēn)功能域和類别的安全控制集，提出定級對象目的指标構成方法，滿足基礎設施保護需求；提出對關鍵基礎設施機構網絡安全管控能力的評價方法，以度量機構制定、貫徹并執行網絡安全戰略目标的意願、能力和程度；給出框架的實施流程，指導如何結合網絡安全等級保護工(gōng)作要求，實施關鍵信息基礎設施保護，并持續評估和改進機構的信息安全工(gōng)作。

通過上述研究形成的标準性文件，可以爲關鍵信息基礎設施的運營機構落實等級保護制度，構建符合國家政策、制度要求以及自身風險控制目标的安全保障體(tǐ)系起到指導作用，可以更爲準确地評價關鍵信息基礎設施機構的安全保護和保障成效，有利于保證我(wǒ)國等級保護制度的持續健康發展。

2. 關鍵信息基礎設施對象

通常關鍵信息基礎設施的運營單位内部都會存在多個信息系統，通過落實網絡安全等級保護制度，大(dà)部分(fēn)單位對所負責的業務系統完成了定級工(gōng)作。假定某單位信息系統定級結果如下(xià)圖所示，其中(zhōng)有1個系統定爲第四級，2個系統定爲第三級，2個系統定爲第二級。

在關鍵信息基礎設施的識别工(gōng)作中(zhōng)，假定其中(zhōng)對關鍵基礎設施起重要支撐作用的業務系統、區域或網絡設施被确定爲關鍵信息基礎設施，相應的信息系統或網絡設施應具有較高的安全保護等級，如第三級或第四級，而其他業務系統或者因其對關鍵基礎設施的支撐作用不直接（其他非關鍵信息基礎設施的第三級系統），或者其重要性較低（如第二級系統），并未被識别爲關鍵信息基礎設施。

假定這些系統已經按照相應等級的網絡安全等級保護要求，落實了安全技術措施和管理措施，則關鍵信息基礎設施——其中(zhōng)的第三級信息系統1和第四級信息系統的安全保護還應關注以下(xià)方面：

a) 關鍵信息基礎設施内部不同定級系統之間的安全整體(tǐ)性和協同性；

b) 關鍵信息基礎設施安全對周邊非關鍵信息基礎設施的依賴性；

c) 關鍵基礎設施的業務連續性要求安全措施具有可靠性、監測持續性和處置高效等特點；

d) 關鍵信息基礎設施具備更強的威脅對抗能力。

采用劃分(fēn)系統、分(fēn)等級保護的傳統思路，将安全保護的重點放(fàng)在每個系統的合規，在一(yī)定程度忽略了安全的整體(tǐ)性。關鍵信息基礎設施保護需要通過設計以彌補這一(yī)缺陷。本框架參照美國的《提升關鍵信息基礎設施的網絡安全框架》，從信息基礎設施運營者單位/機構的角度提出要求，給出關鍵信息基礎設施的等級保護技術框架。關鍵信息基礎設施保護的管理對象應該是對關鍵信息基礎設施負有安全責任的機構/單位。

文章摘自中(zhōng)國信息安全等級保護網