【編者按】關(guān)鍵信息基礎設施是經(jīng)濟社會(huì )運行的神經(jīng)中樞，是網(wǎng)絡(luò )安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標，必須采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎設施安全防護，而將關(guān)鍵信息基礎設施元素與其它信息基礎設施區分開(kāi)來(lái)是做好安全防護工作的前提和基礎。近日，在2019第七屆互聯(lián)網(wǎng)安全大會(huì )上，中國電子商會(huì )自主可控技術(shù)委員會(huì )理事長(cháng)馮燕春作了題為《關(guān)鍵信息基礎設施邊界識別刻不容緩》的主題報告，對關(guān)鍵信息基礎設施邊界識別的概念、進(jìn)展與標準工作進(jìn)行了深度解讀。

一、CII 概念的由來(lái)

“ 關(guān)鍵信息基礎設施”（Critical Information Infrastructure，CII）的概念最初起源于美國。早在 1977 年，美國總統關(guān)鍵基礎設施保護委員會(huì )指出，美國國家安全高度依賴(lài)信息和通信、銀行和金融、能源、運輸等關(guān)鍵基礎設施，這些基礎設施一旦遭到攻擊會(huì )給整個(gè)國家帶來(lái)嚴重后果。此時(shí)，美國就有了關(guān)鍵信息基礎設施保護的意識雛形。由于受“911 事件”影響，1996 年，關(guān)鍵信息基礎設施的概念被提出并正式確定。從此，在網(wǎng)絡(luò )側加強對關(guān)鍵基礎設施的保護成為美國 CIP 政策新焦點(diǎn)，并迅速得到世界主要大國的重視。2001年，美國頒布的“愛(ài)國者法案”還以法律的形式定義了“關(guān)鍵基礎設施”，特別明確了屬于國家關(guān)鍵基礎設施的經(jīng)濟部門(mén)范疇。未來(lái)，隨著(zhù)信息化的快速發(fā)展，“關(guān)鍵信息基礎設施”保護將有可能逐步演變成“關(guān)鍵基礎設施”保護。

據統計，目前已有 53 個(gè)國家/地區開(kāi)展了本國、本地區 CI/CII 保護，如美國 1996 年，德國 1997 年，印度 1998年，俄羅斯 2000 年，日本 2005 年，法國 2006 年，巴西 2006 年，澳大利亞2007 年分別開(kāi)展了CI/CII 保護。

就我國而言，習近平總書(shū)記在網(wǎng)絡(luò )安全和信息化工作座談會(huì )上的講話(huà)中指出，金融、能源、電力、通信、交通等領(lǐng)域的關(guān)鍵信息基礎設施是經(jīng)濟社會(huì )運行的神經(jīng)中樞，是網(wǎng)絡(luò )安全的重中之重，也是可能遭到重點(diǎn)攻擊的目標，必須采取有效措施，切實(shí)做好國家關(guān)鍵信息基礎設施安全防護。其實(shí)，在習總書(shū)記講話(huà)之前，原國家信息技術(shù)研究中心和中國信息安全測評中心作為關(guān)鍵基礎設施的安全保障部門(mén)，已經(jīng)開(kāi)展了相關(guān)工作，并在國家相關(guān)部門(mén)的統一領(lǐng)導下，就相關(guān)重點(diǎn)行業(yè)開(kāi)展了檢查、評估工作。習總書(shū)記講話(huà)以后，我國從上到下對關(guān)鍵信息基礎設施有了一個(gè)非常深刻的印象。2017 年 6月 1 日，我國正式實(shí)施了《網(wǎng)絡(luò )安全法》，對關(guān)鍵信息基礎設施做了明確的定義。

二、CII 邊界識別的必要性

為什么提出邊界識別？2016 年，我作為網(wǎng)信辦組織的關(guān)鍵信息基礎設施檢查工作的負責人，開(kāi)展相關(guān)工作時(shí)遇到了幾個(gè)問(wèn)題。一是當時(shí)網(wǎng)信辦下發(fā)了如何開(kāi)展摸底檢查工作的文件，然而確定什么是關(guān)鍵信息基礎設施則非常復雜。為此，大家提出了一些量化的指標，但是都沒(méi)有經(jīng)過(guò)檢驗，也參考了國際上包括以前做過(guò)的一些工作的經(jīng)驗。第二，征集關(guān)鍵信息基礎設施信息時(shí)，哪些需要報，應該報到什么程度，都很難把握。

近幾年，在關(guān)鍵基礎設施的檢查評估指南中，重點(diǎn)行業(yè)都被納入到關(guān)鍵信息基礎設施。首先，關(guān)鍵基礎設施需要保護什么，電力、銀行是不是全都保護，這就涉及到了邊界識別的問(wèn)題。而這些重點(diǎn)行業(yè)中究竟哪些網(wǎng)絡(luò )設施、信息系統需要保護則是 CII 邊界識別的核心問(wèn)題。國家開(kāi)展 CII 保護的根本目標是保護重要領(lǐng)域內的重要業(yè)務(wù)的安全，而CII 則是支撐上述關(guān)鍵業(yè)務(wù)安全運行的網(wǎng)絡(luò )設施、信息系統等。另外，一些大的行業(yè)或系統，比如水利、核電等，都是非常龐大的體系，而且是跨域跨部門(mén)的，不可能都重點(diǎn)保護，而應該按照業(yè)務(wù)鏈進(jìn)行。以核電為例，從最開(kāi)始對核電的監控到風(fēng)控，再到出現故障以后的感知報警和處置，需要分析對整個(gè)業(yè)務(wù)鏈條有影響的系統和設備是什么。

因此，關(guān)鍵信息基礎設施邊界，就是指當運營(yíng)者被國家有關(guān)部門(mén)確認為是CII 運營(yíng)者后，需要識別自身運營(yíng)的哪些網(wǎng)絡(luò )設施、信息系統是關(guān)鍵業(yè)務(wù)持續、穩定運行所必須的，應當被納入 CII 保護范圍。通俗地來(lái)講，是應該把邊界識別概念定義為一旦業(yè)務(wù)被定為關(guān)鍵業(yè)務(wù)，也明確運營(yíng)者之后，需要從保障業(yè)務(wù)安全運行的角度搞清楚應該保護什么。

三、CII 邊界識別的進(jìn)展與現狀

2016 年，中央網(wǎng)信辦組建了國家關(guān)鍵信息基礎設施網(wǎng)絡(luò )安全檢查辦公室，根據工作實(shí)際需要研究制定了一系列政策文件，用于指導地方、行業(yè)、企業(yè)開(kāi)展關(guān)鍵信息基礎設施檢查工作，包括：《關(guān)鍵信息基礎設施識別認定流程》《關(guān)鍵信息基礎設施識別認定方法》《關(guān)鍵信息基礎設施基線(xiàn)》等。時(shí)年，團隊在國內外相關(guān)研究基礎之上，結合我國關(guān)鍵信息基礎設施保護工作實(shí)際，提出了邊界識別，然后就技術(shù)相關(guān)的情況也進(jìn)行了反復的論證和評估，提出了“基于業(yè)務(wù)信息流識別關(guān)鍵信息基礎設施邊界”的技術(shù)方案。

2017 年，在中央網(wǎng)信辦指導下，云南網(wǎng)信辦組織開(kāi)展“云南省域關(guān)鍵信息基礎設施綜合試點(diǎn)”項目，對“基于業(yè)務(wù)信息流識別關(guān)鍵信息基礎設施邊界”進(jìn)行了實(shí)踐、驗證、完善。2018 年 9月，在成都舉辦的國家網(wǎng)絡(luò )安全宣傳周上，團隊首次公開(kāi)向業(yè)內介紹了“基于信息流的關(guān)鍵信息基礎設施邊界識別認定方法”，并在《中國信息安全》上公開(kāi)發(fā)表，得到業(yè)內一定認可。

2018 年底，信安標委秘書(shū)處在中央網(wǎng)信辦網(wǎng)絡(luò )安全協(xié)調局指導下， 組織開(kāi)展關(guān)鍵信息基礎設施安全檢查標準應用試點(diǎn)工作?！盎谛畔⒘鞯年P(guān)鍵信息基礎設施邊界識別認定方法”在此次試點(diǎn)中得到進(jìn)一步應用和驗證，同時(shí)，編制組結合此次標準試點(diǎn)工作對技術(shù)方案又進(jìn)一步修訂、改進(jìn)。2019 年初，團隊正式申請國家標準立項。2019 年 4月，在寧波舉辦的全國信安標委會(huì )議周上被 WG7 推薦立項，2019 年 8月被信安標委批準正式立項。

四、標準主要內容

首先講一下標準的主要理念。CII保護的目標是保障關(guān)鍵業(yè)務(wù)持續、穩定運行，同一運營(yíng)者的關(guān)鍵信息基礎設施同其它信息基礎設施應該區分開(kāi)，不要混為一談。只有把重點(diǎn)明確以后，才能實(shí)現一體化的保護。具體的方法就是對關(guān)鍵業(yè)務(wù)持續、穩定運行所必須的信息流從產(chǎn)生到終止所流經(jīng)的重要網(wǎng)絡(luò )設施、信息系統納入關(guān)鍵信息基礎設施保護范圍。

標準的框架結構包括邊界識別基本原理、邊界識別要求、邊界識別流程以及信息備案和附錄五部分，如圖所示。在整個(gè)編寫(xiě)過(guò)程中，除了檢查辦以外，交通、電力、金融等主要行業(yè)部門(mén)都參與這個(gè)標準的制定。

五、CII 邊界識別的緊迫性

國內外相關(guān)實(shí)踐經(jīng)驗表明， 在CII 運營(yíng)者的所有信息基礎設施中，有些網(wǎng)絡(luò )設施、信息系統對保障關(guān)鍵業(yè)務(wù)持續、穩定運行是非常關(guān)鍵的“Critical”，有些僅僅是比較重要的“Important”，甚至有一些信息設施對關(guān)鍵業(yè)務(wù)是無(wú)關(guān)緊要的“Unimportant”。因此，將關(guān)鍵的信息基礎設施與其它信息基礎設施區分開(kāi)來(lái)，是開(kāi)展關(guān)鍵信息基礎設施保護的第一步，也是 CIIP 保護的前提和基礎，對明確保護對象、實(shí)施重點(diǎn)保護具有重要意義。

目前，大家都還停留在關(guān)鍵信息基礎設施保護的表面上，只是宏觀(guān)地去講哪些是該保護的。至于到底落在哪個(gè)系統和網(wǎng)絡(luò )內，或者屬于哪個(gè)責任部門(mén)，還是不清楚。因此，要想做下去，只有解決好關(guān)鍵基礎設施識別認定，這樣才能落下去。

當前，CII 邊界識別工作刻不容緩。如今，《關(guān)鍵信息基礎設施保護條例》《網(wǎng)絡(luò )安全審查辦法》《個(gè)人信息出境安全評估辦法》等正在陸續出臺，這些法律法規的落實(shí)需要明確 CII 邊界。如何指導運營(yíng)者梳理自身運營(yíng)的網(wǎng)絡(luò )設施、信息系統納入 CII 保護范疇內，也是一個(gè)急需解決的問(wèn)題。希望大家能夠關(guān)注和積極參與相關(guān)工作。

來(lái)源：網(wǎng)信軍民融合