《网络安全法》第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”本文分析了关键信息基础设施保护制度与网络安全等级保护制度在保护对象、保护措施和建设实施等方面的关系，从信息基础设施运营者单位/机构的角度提出符合整体安全要求的网络安全管控能力评价方法，并尝试构建关键信息基础设施的等级保护技术框架。

1. 研究背景

自2007年《信息安全等级保护管理办法》发布以来，依据等级保护的《定级指南》、《基本要求》、《测评要求》、《测评过程指南》、《实施指南》和《安全设计技术要求》等国家标准开展的等级保护定级备案、建设整改和等级测评工作，在保障我国重要信息系统安全工作发挥了重要作用。随着各领域安全保护能力的提高和新技术新应用的涌现，现有以《基本要求》为建设依据，以标准符合性的等级测评为主要测评方法、以基线合规为主要目标的技术体系，已经不能充分满足各领域关键信息基础设施安全保护的不断增加的安全需求。等级保护工作在各行业的推进也已经进行了多年，很多三级以上系统经过多年的建设整改，在对基本要求的符合程度已经达到一个稳态，但信息系统对安全保护的需求和面临的威胁并没有停止发展。因此，完善等级保护制度需要研究设计新的、具有更大适用性和开放性的技术体系。

此外，随着《网络安全法》于2017年6月1日正式实施，为更好地落实其中第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。总书记指出“基础不牢，地动山摇”，打牢网络安全等级保护制度基础，对于保障关键信息基础设施安全至关重要。因此需要在理清关键信息基础设施保护制度与网络安全等级保护制度在保护对象、保护措施、管理流程和建设实施等方面的关系的基础上，认真研究关键信息基础设施的等级保护基础工作。

为此公安部信息安全等级保护评估中心开展了以关键信息基础设施为目标的等级保护技术框架研究，并于2017年在国标委立项标准研究项目。该研究以分等级的系统保护为基础，以实现关键基础设施保护战略为目标，构建三层结构的关键基础设施网络安全等级保护技术框架；以IPDRR模型为基础，构建分功能域和类别的安全控制集，提出定级对象目的指标构成方法，满足基础设施保护需求；提出对关键基础设施机构网络安全管控能力的评价方法，以度量机构制定、贯彻并执行网络安全战略目标的意愿、能力和程度；给出框架的实施流程，指导如何结合网络安全等级保护工作要求，实施关键信息基础设施保护，并持续评估和改进机构的信息安全工作。

通过上述研究形成的标准性文件，可以为关键信息基础设施的运营机构落实等级保护制度，构建符合国家政策、制度要求以及自身风险控制目标的安全保障体系起到指导作用，可以更为准确地评价关键信息基础设施机构的安全保护和保障成效，有利于保证我国等级保护制度的持续健康发展。

2. 关键信息基础设施对象

通常关键信息基础设施的运营单位内部都会存在多个信息系统，通过落实网络安全等级保护制度，大部分单位对所负责的业务系统完成了定级工作。假定某单位信息系统定级结果如下图所示，其中有1个系统定为第四级，2个系统定为第三级，2个系统定为第二级。

在关键信息基础设施的识别工作中，假定其中对关键基础设施起重要支撑作用的业务系统、区域或网络设施被确定为关键信息基础设施，相应的信息系统或网络设施应具有较高的安全保护等级，如第三级或第四级，而其他业务系统或者因其对关键基础设施的支撑作用不直接（其他非关键信息基础设施的第三级系统），或者其重要性较低（如第二级系统），并未被识别为关键信息基础设施。

假定这些系统已经按照相应等级的网络安全等级保护要求，落实了安全技术措施和管理措施，则关键信息基础设施——其中的第三级信息系统1和第四级信息系统的安全保护还应关注以下方面：

a) 关键信息基础设施内部不同定级系统之间的安全整体性和协同性；

b) 关键信息基础设施安全对周边非关键信息基础设施的依赖性；

c) 关键基础设施的业务连续性要求安全措施具有可靠性、监测持续性和处置高效等特点；

d) 关键信息基础设施具备更强的威胁对抗能力。

采用划分系统、分等级保护的传统思路，将安全保护的重点放在每个系统的合规，在一定程度忽略了安全的整体性。关键信息基础设施保护需要通过设计以弥补这一缺陷。本框架参照美国的《提升关键信息基础设施的网络安全框架》，从信息基础设施运营者单位/机构的角度提出要求，给出关键信息基础设施的等级保护技术框架。关键信息基础设施保护的管理对象应该是对关键信息基础设施负有安全责任的机构/单位。

文章摘自中国信息安全等级保护网