如何识别关键信息基础设施的边界

■ 冯燕春 胡容铨 谭元翼 秦小伟

一、关键信息基础设施的边界

根据《网络安全法》和《关键信息基础设施安全保护条例（征求意见稿）》对关键信息基础设施定义和范围的阐述，关键信息基础设施（Critical Information Infrastructure，CII）是指一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的信息基础设施。CII边界在此概念基础之上更进一步，是指CII运营者需要识别其运营的哪些网络设施、信息系统和数字资产应当纳入保护范围。如果CII边界不明确、不合理，会给CII防护工作带来严重影响。

（一）保护措施没有针对性

提出任何保护措施的必要前提是已经明确了被保护的对象，否则制定保护措施就没有针对性，CII运营者难以实施这些保护措施。

（二）保护措施难以落实

《网络安全法》对负责CII安全保护工作的部门提出了明确要求。比如：编制并组织实施关键信息基础设施安全规划；确保业务稳定、持续运行，保证“三同步”；采购网络产品和服务，要签订安全保密协议，可能影响国家安全的，应当通过国家安全审查。这里有些疑问，比如：建设员工宿舍也需要满足“三同步”吗？建设什么样的机房或者多大的机房需要满足“三同步”原则？采购哪些网络产品和服务需要国家安全审查？采购网线、摄像头、机柜等需不需要进行国家安全审查等。这些具体保护措施和保护要求的落地都需要明确被保护的对象。

（三）难以形成有效保护

保护边界过大，会让CII运营者背上沉重负担，甚至可能顾此失彼，因为追求绝对安全影响关键业务的稳定和持续运行。保护边界过小，仅依靠几个安全设备和安全软件对最贵的、最繁忙的少数几个网络设施、信息系统进行安全防护，缺少综合防护和应急处置保障，将难以应对新技术、新应用迭代发展带来的新漏洞、新威胁，难以应对不断变化的安全威胁来源和网络攻击手段，而难以实现对CII重点保护。

（四）制约CII保障体系的建设

CII边界不明确给国家征集CII信息、创建国家关键信息基础设施保障体系造成困难。美国首次征集本国关键基础设施信息时曾以“影响美国联邦安全”为识别标准，结果征集到的信息良莠不齐。2016年中央网信办组建国家关键信息基础设施网络安全检查办公室，在全国范围内对CII进行大摸底。通过检查普及了CII定义，让社会各界认识到保护CII的重要性，获得了很大成功。但是，此次检查也碰到了一些问题。例如，征集到数以万计的CII信息中，有一多半都是网站系统信息，也就是说很多CII运营者只是将自身的网站作为CII上报，很多支撑关键业务的网络设施、信息系统和数字资产信息并没有收集上报。为此，国家关键信息基础设施网络安全检查办公室集中科研力量，开展我国CII边界识别标准和方法的研究制定工作。

二、关键信息基础设施边界识别的主要挑战

CII是网络设施、信息系统和数字资产，或者由上述元素组成的集合与系统，是关键业务流程在信息化实现过程中的关键性、基础性支撑部分。

根据行业、领域对国家安全、国计民生、公众利益的重要性来确定CII运营者相对容易。例如：通信运营商、信息服务提供商、公共服务平台、国有大型银行、高速铁路运输、航空枢纽、大型物流中转站、大型发电站（场）、大型能源矿产开采等，一旦遭到网络攻击导致业务中断、功能丧失或数据泄漏，可能会给公共利益、国计民生甚至国家安全带来严重影响和严重危害。然而，识别确认CII运营者的哪些网络设施、信息系统和数字资产应被纳入保护范畴却有一定困难。

（一）远远超出关键基础设施（CI）的范围

在信息化早期阶段，CII被认为是CI的一部分，保护范围比较明确。随着数字经济和信息化水平的不断提高，风险来源远远超出CI范围，越来越多的来自于信息通信技术（ICT）以及操作技术（OT）这种非传统安全领域的“虚拟实体”。例如，某些恶意软件针对电力、燃气、水处理或化工厂的工控系统，某些网络攻击目标是对信息数据的控制或篡改。

（二）需要保护完整业务链

开展对信息基础设施各组成元素的关键性评估，需要对完整业务链有整体的认识。在相关主体认知和利益的冲突下，制定可行、高效的关键性评估标准是一个不小的挑战。可能出现，其中一些相关主体希望被确认为“关键的”，还有一些相关主体则试图避免自身被确认为“关键的”。

（三）存在信息的不对称

CII识别工作必须具备一定的专业和技术知识，需要CII运营者在国家有关部门的指导监督下完成。各重要行业、领域主管部门从宏观和整体角度对本行业、本领域CII运营者的重要性做出判断，但缺乏对CII运营者业务运行具体情况的掌握信息。而对于CII运营者，因缺少对国家网络安全整体态势的深入认识，难以对自身各运营业务的重要性进行客观判断。由于识别与被识别双方信息的不对称，往往造成CII的识别结果五花八门，甚至千差万别。

（四）缺少事件或案例的支撑

目前，CII遭到大规模网络破坏是一个高风险、小概率的事件。因遭受网络攻击，导致CII被损毁破坏，或其业务中断、功能丧失、数据泄露的例子还不多。因此，对CII安全风险的确定和推断主要依靠有关专家，还做不到基于真实事件或案例信息数据进行判断定。

（五）IT运维的惯性思维

一些对CII边界识别的意见源自CII运营者IT运维部门人员的工作经验，局限于对信息系统的安全防护，而缺少对整个业务链的关联因素分析和风险动态管控思维，缺乏对所运营的CII及其承载核心业务在本行业、本领域、本地区等整体视角下的关键性评估意识。

（六）结果可验证性

目前对于CII的识别，大多基于各相关方多轮协商的最大共同认可确定，识别结果的客观性和有效性往往难以通过某单一验证机制确认。因此，需要采用持续性机制，在上一次识别结果基础上不断迭代优化，根据信息基础设施的各组成元素和网络安全动态及组织管理调整等因素，进行定期或不定期的多次识别，而这种持续性机制对于CII运营者而言，往往缺少自主性和持续性。

三、关键信息基础设施边界识别流程

通过以上分析可看出，CII边界识别，即识别出信息基础设施的哪些组成元素是关键的，哪些元素仅仅是很重要的，是开展CII保护工作的前提和基础。将关键信息设施元素从CII运营者的其他信息基础设施组成元素中识别出来，是开展CII保护工作的第一步，在识别和认定过程中，保护措施也会随之逐步明确和细化。

（一）确定关键行业和领域

依据《网络安全法》第三十一条，公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等属于关键行业和领域。

（二）确定CII运营者

负责CII安全保护工作的有关部门分别组织本行业、本领域CII安全保护工作，根据网络设施、信息系统和数字资产对本行业、本领域关键、核心业务的重要程度以及一旦遭到破坏可能带来的危害，认定本行业、本领域内的CII运营者。

（三）确定核心业务

有关企事业单位和组织机构一旦被负责CII安全保护工作的部门认定为CII运营者后，应积极主动梳理自身开展的业务，在本行业、本领域主管部门指导下，确定高度依赖信息化的核心业务，如果被确定的核心业务有多个时，还应根据各核心业务之间的管理协调关系、流程次序、连续性以及风险影响进行进一步的业务关系梳理，标识出相互依赖度，并按照被依赖程度从高到低的顺序，依次开展后续识别工作。

（四）确定边界

CII运营者根据确定出的核心业务，对核心业务边界进行详细描述，对核心业务的信息化支撑元素进行枚举，并识别哪些网络设施、信息系统和数字资产是关键业务正常运营必不可少的，形成CII支撑元素列表。

（五）信息报备

CII运营者按照“功能”将纳入CII边界内的网络设施、信息系统和数字资产等CII支撑元素进行分类和分组，以便于管理和保护，并将分类分组后的数据表上报国家有关部门。

以上建议的整个CII保护工作流程如图所示。

识别认定：解决什么是CII的问题。明确CII保护对象，推动CII保护措施的完善与更新。

保护措施：解决如何落实CII保护的问题，明确CII保护工作的目标和要求，为检查评估工作提供参照指标。

检查评估：解决如何对CII保护措施有效性进行评定的问题。以查促建、促管、促改、促防。结合CII运营单位核心业务的信息化支撑和网络安全的态势，在开展检查评估同时，推动CII边界信息的更新和安全保护措施的调整和升级。

（本文刊登于《中国信息安全》杂志2018年第12期）

声明：本文来自中国信息安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。