?

任何國家的關鍵信息基礎設施一旦遭到破壞、喪失功能或者數據泄露，都可能嚴重危及國家安全、國計民生和社會公共利益，因此對國家關鍵信息基礎設施的安全保護意義重大。但是，在對關鍵信息基礎設施進行安全保護之前，最重要的問題是首先要搞清關鍵信息基礎設施的概念和定義，或者說，必須識別出哪些信息系統或設施屬于關鍵信息基礎設施，這個問題表面上看似簡單，但在實踐中卻很復雜。

?

為了更加深刻和透徹地認清這個問題，我們不妨將關鍵信息基礎設施的概念進一步分解為內涵和外延兩層含義：其內涵是指關鍵信息基礎設施的基本概念（定義）和關鍵信息基礎設施都涉及、包含哪些行業和領域的信息設施或系統；其外延則是指關鍵信息基礎設施的邊界和范圍，以及對關鍵信息基礎設施的保護需要落實到哪些具體的對象。

?

現狀

?

如前所述，識別關鍵信息基礎設施，是開展關鍵信息基礎設施安全保護工作的前提和基礎，對于明確保護對象、確定保護范圍、實施重點保護都具有非常重要的意義。關鍵信息基礎設施的概念究竟是什么？或者說，哪些信息系統或設施屬于關鍵信息基礎設施？目前不僅是在我國，即使是對全球范圍內各主要發達國家和網絡安全強國來說，對關鍵信息基礎設施的概念和定義的理解也并未達成統一。

?

除了我國之外，美國、德國、俄羅斯和日本這4個國家基本上可以代表歐美亞三大經濟體中除我國之外互聯網發展最為活躍的國家。我們可以將這4國與我國對關鍵信息基礎設施所涵蓋行業和領域的理解作一個簡要的對比，如表1所示：

?

表1：五國界定的關鍵信息基礎設施行業分布對比

?

從表1中不難看出，單就各國界定的關鍵信息基礎設施所涵蓋的行業數量來看，美國是最多的，達16類；中國次之，達13類；接下來是德國9類，日本8類，俄羅斯7類，這種數量上的對比也符合美國對關鍵信息基礎設施保護的相關研究在全世界范圍內起步最早、時間最長，而我國對關鍵信息基礎設施保護的研究雖起步較晚、但起點卻較高的現狀。

?

再從各國界定的關鍵信息基礎設施行業分布情況來看，政府部門、通信和交通運輸這3個行業最受關注，同時被五國所選定；而除了這3個行業之外，中、美、德、日四國也一致把能源、金融、水利和醫療衛生這4個行業也納入了關鍵信息基礎設施的范圍；而對于其它行業是否應被識別為關鍵信息基礎設施，各國則表現出了較大的分歧，并未達成一致共識，例如，僅中、俄兩國圈定了科技/科研領域，只有中國選定了教育、社會保障、重要互聯網應用這3個行業，只有俄羅斯選定了司法行業，只有德國選定了傳媒與文化行業以及只有日本選定了物流行業，而造成這些差別的原因，初步分析起來可能是受各國相關行業的信息化發展水平不同，對各行業信息基礎設施的依賴程度不同以及各國歷史、文化和國情方面的差異等諸多因素影響所致。

?

內涵

?

關鍵信息基礎設施的概念、定義是什么？或者說關鍵信息基礎設施涵蓋哪些行業（領域）的信息設施或系統？這個問題在我國同樣也是自關鍵信息基礎設施安全系列標準的預研和起草階段就一直處于不斷爭議和反復論證中。

?

2019年12月3日，全國信息安全標準化技術委員會秘書處在北京組織召開了國家標準《信息安全技術 關鍵信息基礎設施網絡安全保護基本要求》（報批稿）試點工作啟動會。作為關鍵信息基礎設施安全系列標準中第一個進入試點階段的標準，《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》首次正式給出了“關鍵信息基礎設施 (critical information infrastructure)”的定義：即公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的信息設施。

?

如僅從這個定義的字面意義上理解，關鍵信息基礎設施至少涵蓋了“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務”這7個重點行業（領域）的信息設施，但其中“其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的信息設施”究竟又涉及哪些其它行業或領域？《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》并沒有給出進一步的解釋，因此這個問題目前來看尚無定論。

?

此外，在2019年10月下旬全國信息安全標準化委員會WG7（第7工作組）會議上提交討論（可否從當前草案階段進入征求意見稿階段）的《信息安全技術　關鍵信息基礎設施邊界確定方法》的附錄A所給出的“關鍵信息基礎設施信息登記表”中，我們也能夠找到從行業角度劃分的更為具體的關鍵信息基礎設施涵蓋范圍，即至少包括7個行業的20個領域（如表2所示）。

?

表2：關鍵信息基礎設施所涉及的行業和領域

?

值得注意的是，由于《信息安全技術關鍵信息基礎設施邊界確定方法》尚處于草案向征求意見稿的過渡階段，距離正式發布尚有一定距離，因此表2給出的關鍵信息基礎設施涵蓋范圍僅供參考。

?

此外，我們也能發現表1和表2中給出的關鍵信息基礎設施涵蓋行業范圍并不完全一致，這種差異應該是由識別關鍵信息基礎設施的尺度和粒度不同所導致的，而“關鍵信息基礎設施 (critical information infrastructure)”到底會涉及哪些重點行業（領域）的信息設施，我們認為這個問題會在不久的將來，隨著《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》（報批稿）試點工作的逐步推進，得到最終和確切的答案。

?

外延

?

在關鍵信息基礎設施的概念、定義基本確定之后，接下來必須進一步弄清的問題是關鍵信息基礎設施的邊界（范圍）是什么？關鍵信息基礎設施的保護對象都有哪些？我們可以把這些問題納入關鍵信息基礎設施概念的外延范疇中。

?

從《信息安全技術關鍵信息基礎設施邊界確定方法》中我們可以初步找到確定關鍵信息基礎設施的邊界（范圍）的方法，該標準的當前版本（處于從草案稿修改為征求意見稿的過渡階段）提出了如下圖所示的關鍵信息基礎設施邊界識別模型。

?

圖注：關鍵信息基礎設施邊界識別模型

?

這個模型最核心的內容是提出了以“關鍵業務”概念來識別關鍵信息基礎設施邊界的準則（圖1中“CBI”即為“關鍵業務信息”的縮寫），關鍵業務是關鍵信息基礎設施存在的前提和基礎，并指出：關鍵信息基礎設施在本質上是關鍵業務的信息化部分，為關鍵業務安全運行提供信息化支撐。開展關鍵信息基礎設施邊界識別應從業務安全角度出發，將支撐關鍵業務持續、穩定運行的網絡設施、信息系統識別出來，實施體系化重點保護。存在關鍵信息基礎設施的關鍵業務應同時符合下列兩個基本條件：

?

1、關鍵性

存在關鍵信息基礎設施的關鍵業務一旦遭到破壞或者喪失功能，會嚴重危害國家安全、經濟安全、社會穩定、公眾健康和安全。

?

2、信息化

存在的關鍵信息基礎設施關鍵業務須高度依賴信息化運行，即一旦網絡設施、信息系統遭受攻擊會給關鍵業務的核心功能造成嚴重損害。

?

為了更好的理解以“關鍵業務”概念來識別關鍵信息基礎設施邊界的準則，我們可以舉一個例子來說明這個準則具體的應用方法：比如對于電網系統等能源行業來說，肯定是屬于國家關鍵基礎設施的范疇，但是電網設施里也有很多信息化系統，具體哪些信息設施和系統屬于關鍵信息基礎設施的范圍呢？按照“關鍵業務”準則，電網的“關鍵業務”就是負責穩態運行監視與控制，保障電網安全運行，因此所有與電力生產、電力傳輸、電力配送環節的運行態勢的監測、控制功能相關的信息設施和系統都應該被納入關鍵信息基礎設施的范圍（邊界內），而電網運營責任單位的其它信息系統，例如人力資源、財務和辦公系統，由于其與“關鍵業務”不相關，一般也不會處理“關鍵業務信息”，因此就不應屬于關鍵信息基礎設施的范圍了。

?

在確定了關鍵信息基礎設施的邊界（范圍）之后，接下來對關鍵信息基礎設施的安全保護應該落實到其邊界（范圍）內的哪些對象或要素上呢？縱觀《信息安全技術關鍵信息基礎設施邊界確定方法》當前稿全文，可知這個標準目前其實并沒有對這個問題給出直接和清晰的答案。而我們認為《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》（報批稿）卻回答了這個問題：在該標準“第6章識別認定”中的“6.2資產識別”小節中，明確提出了“識別關鍵業務鏈所依賴的資產，建立關鍵業務鏈相關的網絡、系統、服務和其他資產清單”和“基于資產類別、資產重要性和支撐業務的重要性，對資產進行優先排序，確定資產防護的優先級”的要求；在該標準“第7章安全防護”的“7.1網絡安全等級保護制度”小節中，明確規定“運營者應符合國家網絡安全等級保護制度相關要求，開展定級備案、相應等級的測評、安全建設、整改及自查工作。”，根據對此兩部分條款的解讀，再結合該標準全文內容進行綜合研判，我們可以得出初步結論：即關鍵信息基礎設施安全保護的對象就是“資產”，且這里的“資產”與信息系統網絡安全等級保護系列標準所界定“資產”的概念和范圍基本相同。

?

總之，《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》作為我國關鍵信息基礎設施安全保護系列標準中首個進入試點階段的核心標準，隨著其報批稿的試行，關鍵信息基礎設施的邊界、范圍和保護對象的確定方法也將在實踐中得到不斷檢驗和完善。

?

注：本文部分內容引用和改編自360威脅情報中心《全球關鍵信息基礎設施網絡安全狀況分析報告》和《信息安全技術關鍵信息基礎設施邊界確定方法》（2019年9月草案）附錄A

總結

以上是生活随笔為你收集整理的山石岩读丨7大行业20个领域，关键信息基础设施的概念比你想象的还要大的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。