?

一、概述

?

信息技術廣泛應用和網絡空間興起發展，極大促進了經濟社會繁榮進步，但同時網絡空間安全形勢也日益嚴峻，國家政治、經濟、文化、社會、國防安全及公民在網絡空間的合法權益面臨嚴峻風險與挑戰。世界主要國家和地區高度重視網絡空間安全，陸續出臺了相關戰略、規劃、立法以及實施方案等，并開始加大對關鍵信息基礎設施的保護力度。隨著我國網絡強國戰略的深化和實施，關鍵信息基礎設施在國民經濟和社會發展中的基礎性、重要性、保障性、戰略性地位也日益突出。

?

2016年12月27日，國家互聯網信息辦公室發布并實施了《國家網絡空間安全戰略》，提出要加強對國家關鍵信息基礎設施的保護，并指出國家關鍵信息基礎設施是指關系國家安全、國計民生，一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施，包括但不限于提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統，重要互聯網應用系統等。2017年6月《網絡安全法》也頒布實施，基于對以上法規、文件要求的細化落實，圍繞關鍵信息基礎設施安全保護的總體目標，結合目前已經開展的關鍵信息基礎設施網絡安全保護工作，全國信息安全標準化委員會組織開展了關鍵信息基礎設施安全保護系列標準的制定，并重點確立了以下5個主要核心標準：

?

1.《關鍵信息基礎設施網絡安全框架》作為基礎標準，闡明構成框架的基本要素及其關系，統一通用術語和定義；規定關鍵信息基礎設施網絡安全保護框架和基本要求，適用于關鍵信息基礎設施網絡安全保護相關的技術活動和管理活動；

?

2.《關鍵信息基礎設施網絡安全保護基本要求》作為基線類標準，對關鍵信息基礎設施運營者開展網絡安全保護工作提出最低要求；該標準作為實施類標準，根據基本要求提出相應的控制措施，規定了關鍵信息基礎設施識別認定、安全防護、檢測評估、監測預警、事件處置等環節的基本要求，用于關鍵信息基礎設施的規劃設計、開發建設、運行維護、退役廢棄等階段的安全保護工作，主要適用于關鍵信息基礎設施運營者，也可供關鍵信息基礎設施安全保護工作部門和關鍵信息基礎設施安全保護的其他參與者參考；

?

3.《關鍵信息基礎設施安全檢查評估指南》作為測評類標準，依據基本要求明確關鍵信息基礎設施檢查評估工作的方法、流程和內容，定義關鍵信息基礎設施檢查評估所采用的方法，規定關鍵信息基礎設施檢查評估工作準備、實施、總結各環節的流程要求，以及在檢查評估具體要求和內容，適用于指導關鍵信息基礎設施運營者、網絡安全服務機構相關的人員開展關鍵信息基礎設施檢查評估相關工作；

?

4.《關鍵信息基礎設施安全保障指標體系》作為測評類標準，依據檢查評估結果、日常安全檢測等情況對關鍵信息基礎設施安全保障狀況進行定量評價；該標準主要規定用于開展關鍵信息基礎設施安全保障的指標及其釋義，適用于關鍵信息基礎設施安全保障評價工作，為政府管理部門的信息安全態勢判斷和宏觀決策提供支持，為關鍵信息基礎設施的管理部門及運營單位的信息安全管理工作提供支持；

?

5.《關鍵信息基礎設施安全控制措施》規定關鍵信息基礎設施運營者在風險識別、安全防護、檢測評估、監測預警、事件處置等環節應實施的安全控制措施，以滿足關鍵信息基礎設施網絡安全保護的基本要求；適用于關鍵信息基礎設施的規劃設計、開發建設、運行維護、退出廢棄等階段，可供關鍵信息基礎設施保護工作部門、關鍵信息基礎設施運營者以及關鍵信息基礎設施安全保護中的其他參與者參考。

?

二、進展

?

為落實《網絡安全法》和計劃中即將出臺的《關鍵信息基礎設施安全保護條例》等法律條例的要求，全國信息安全標準化委員會開始著手組織、開展了關鍵信息基礎設施安全系列標準的制定。從目前全國信息安全標準化技術委員會網站(https://www.tc260.org.cn)上可查詢到與關鍵信息基礎設施相關的標準研發項目共有14個，進展情況如下：

?

1.暫無已正式發布實施的標準

2.處于“研究”階段的標準有3個（尚無草案或已被取代）

3.處于“草案”階段的標準有6個

4.處于“征求意見稿”階段的標準有4個

5.處于“報批稿”階段的標準有1個，并已進入試點工作階段

?

縱觀現有11個標準當前版本（草案或工作組討論稿、征求意見稿及報批稿）的內容不難發現，關鍵信息基礎設施安全系列標準的研發主要借鑒了美國國家標準與技術研究院（NIST）所發布的《提升關鍵基礎設施網絡安全的框架》中提出的“識別、保護、檢測、響應和恢復所組成的安全可控保障模型”，即在借鑒IPDRR（取自“識別、保護、檢測、響應和恢復”這5個環節名稱的英文首字母）模型的基礎上，構建了我國關鍵信息基礎設施安全系列標準的總體技術框架。

?

2019年12月，《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》（報批稿）試點工作開始啟動，該標準也是關鍵信息基礎設施安全系列標準中首個進入試點階段的標準，在其報批稿中也明確了如圖1所示的關鍵信息基礎設施網絡安全保護各環節關系，并指出“關鍵信息基礎設施網絡安全保護包括識別認定、安全防護、檢測評估、監測預警、事件處置五個環節。圖1所示為一般情況下的環節之間的關系圖，當關鍵信息基礎設施運行時，根據實際情況環節之間的關系有所變動。”

?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖1：關鍵信息基礎設施網絡安全保護各環節關系圖

?

目前從全國信息安全標準化技術委員會網站(https://www.tc260.org.cn)可查詢到的所有與關鍵信息基礎設施安全相關的各標準研制進展情況如表1所示：

?

?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 表1：關鍵信息基礎設施安全系列標準進展及概況（點擊查看大圖）

?

除前文所述的關鍵信息基礎設施安全保護系列標準中的5個主要核心標準以外，表1中其它標準（未見草案或已被取代的標準除外）的主要內容和應用范圍如下：

?

1.《關鍵信息基礎設施邊界確定方法》描述了關鍵信息基礎設施形態組成和關鍵信息基礎設施邊界識別方法，給出了關鍵信息基礎設施邊界識別模型，提出了關鍵信息基礎設施邊界識別原則、流程，為開展關鍵信息基礎設施邊界識別工作提供一種方法性指南，適用于關鍵信息基礎設施運營者、關鍵信息基礎設施保護部門和網絡安全服務機構識別關鍵信息基礎設施邊界；

?

2.《關鍵信息基礎設施安全防護能力評價方法》描述了關鍵信息基礎設施安全保護能力成熟度模型、模型使用方法，給出了不同成熟度的評價指標，適用于關鍵信息基礎設施運營者對自身安全能力進行評價，也可適用于網絡安全服務機構對關鍵信息基礎設施運營者安全能力進行評價，也可供關鍵信息基礎設施安全保護工作部門和關鍵信息基礎設施安全保護的其他參與者參考；

?

3.《關鍵信息基礎設施安全等級保護技術框架》規范了關鍵信息基礎設施安全等級保護的技術框架，適用于關鍵信息基礎設施運營者對網絡安全控制措施的選擇，以及對網絡安全保護狀況的評價，也可用于指導關鍵信息基礎設施領域的主管部門的本領域網絡安全保護狀況的評價；

?

4.《重大活動關鍵基礎設施網絡安全保障指南》規定了重大活動期間重要網絡和信息系統等關鍵基礎設施的各相關方，圍繞網絡安全保障體系開展各階段、各層面的安全保障工作，適用于關鍵基礎設施使用、運營單位在重大活動期間進行網絡安全保障工作時進行參考，也適用于關鍵基礎設施監管部門在重大活動期間進行監督管理工作時參考；

?

5.《關鍵信息基礎設施網絡安全信息共享規范》對關鍵信息基礎設施網絡安全信息進行了分類，提出了信息共享原則，制定了信息描述規范，定義了信息共享的模式。該標準為國家網信部門統籌協調有關部門、運營者以及有關研究機構、網絡安全服務機構等相關方共享有效的關鍵信息基礎設施網絡安全信息共享提供指導，也適用于網絡與信息系統主管和運營部門參考開展網絡安全信息共享工作；

?

6.《關鍵信息基礎設施網絡安全應急預案編制指南》規定了關鍵信息基礎設施網絡安全應急預案的預案體系、編制流程、主要內容和附件的編制要求。該標準適用于關鍵信息基礎設施網絡安全應急預案的編制與修訂工作，亦可為其他信息系統網絡安全應急預案的編制提供參考。

?

三、問題

?

雖然關鍵信息基礎設施保護系列標準的預研和編制工作自2015年以來取得了較大的進展，但目前仍面臨較多問題，至少體現在以下幾個方面：

?

1.圍繞在研的各關鍵信息基礎設施保護標準，仍存在相對較大和廣泛的爭議，例如關鍵信息基礎設施概念和定義雖已確定，但具體每個關鍵信息基礎設施的資產識別和邊界劃分等細節問題仍未達成共識，種種問題導致關鍵信息基礎設施安全系列標準的制定、發布和實施等工作進展相對較慢；

?

2.關鍵信息基礎設施保護系列標準與已實施多年并于2019年底前完成修訂的信息安全等級保護系列標準不可避免地存在諸多交叉和重疊的內容，這種情況不但在較大程度上降低了關鍵信息基礎設施保護系列標準出臺實施的緊迫性，也導致某些標準在評審和征求意見等環節受到一定程度的質疑，并給潛在的關鍵信息基礎設施的運營中在標準適用和選擇等方面帶來了一些困惑；

?

3.關鍵信息基礎設施保護系列標準目前在研究和制定的各階段進程中也存在著一定的不確定性，例如原《關鍵信息基礎設施安全控制措施測評要求》已被取消，和另外一個關鍵信息基礎設施研究項目共同被《關鍵信息基礎設施安全防護能力評價方法》所取代；

?

4.某些在研標準所借鑒的總體思路和技術框架，例如《關鍵信息基礎設施安全防護能力評價方法》所參考的SSE-CMM模型（系統安全工程能力成熟度模型），是否適用于關鍵信息基礎設施安全保護也受到了一定程度的質疑；

?

5.作為政策法規方面主要驅動力的《關鍵信息基礎設施安全保護條例》由于種種原因未按計劃于2019年底前頒布實施，目前其最新公開版本仍處于征求意見稿階段，該條例如能盡快出臺，則將會對關鍵信息基礎設施保護系列標準的研發和推進起到較大促進作用，否則該系列標準的正式出臺和發布實施或仍需較長時間。

總結

以上是生活随笔為你收集整理的山石岩读丨国之重典：我国关键信息基础设施保护标准体系的现状与进展的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。