Journal of Frontiers of Computer Science and Technology 计算机科学与探索 118 2020，14（专刊） 关键信息基础设施安全防护能力模型 张志文，乔鹏，候捷，董建强 北京启明星辰信息安全技术有限公司，北京100193 摘要：为指导重点行业、部门全面落实网络安全等级保护制度和关键信息基础设施安全保护制度，切实保 障关键信息基础设施、重要网络和数据安全，公安部研究制定了《贯彻落实网络安全等级保护制度和关键信 息基础设施安全保护制度的指导意见》；为推进关键信息基础设施工作开展，组织制定关键信息基础设施安 全保护相关标准规范。通过对关键信息基础设施安全保护系列标准研究分析，梳理了关键信息基础设施主要 内容和主要工作流程；结合关键信息基础设施安全保护的主要工作内容和工作目标，提出了关键信息基础设 能力提供一定的指导。 关键词：关键信息基础设施；网络安全；安全防护理念；安全防护能力；安全能力模型 Model for Security Protection Capability of Critical Information Infrastructure ZHANG Zhiwen, QIAO Peng, HOU Jie, DONG Jianqiang Beijing Venustech Cybervision Co. Ltd., Beijing 100193, China Abstract: In order to guide the key industries and departments to implement the mechanism for classified protec- tion of cybersecurity and the mechanism for security protection of critical information infrastructure, and assure the security of critical information infrastructure, important networks and data, the Ministry of Public Security has studied and developed the “Guidance on Implementing the mechanism for Classified Protection of Cybersecurity and the mechanism for Protection of Critical Information Infrastructure Security"' To advance the work of critical information infrastructure, the state shall establish the system of critical information infrastructure security standards. Based on the research and analysis of standards of the protection for critical information infrastructure security, it sorts out the main content and main work. For this paper, according to the main contents and objectives of the pro- tection for critical information infrastructure security, it advances the idea of the protection of critical information infrastructure security and constructs a security capability model for critical information infrastructure. Key words: critical information infrastructure; cyber security; security protection philosophy; security protection capability; security capability model 1引言 基础设施安全保护工作宣贯大会对公安部研究制 2020年9月2日网络安全等级保护和关键信息 定的公网安【2020］1960号《贯彻落实网络安全等 作者简介：张志文（1991一），男，硕士，主要研究方向为网络安全等级保护、关键信息基础设施安全防护、云计算安全， E-mail: [email protected]。 万方数据 Journal of Frontiers of Computer Science and Technology计算机科学与探索 2020，14（专刊） 119 级保护制度和关键信息基础设施安全保护制度的 运营者们提升关键信息基础设施安全防护能力提 指导意见》（简称“指导意见”）进行宣贯，明确指出 供一定的指导。 指导意见是引领重要行业及全社会落实“网络安全 2关键信息基础设施主要内容 等级保护制度和关键信息基础设施保护制度（简称 《关键信息基础设施网络安全保护基本要求 “两个制度”）的纲领性文件。指导意见意味着我国 （报批稿）》明确了实施关键信息基础设施的安全 网络安全以贯彻“两个制度”为基础，以保护关键信 保护工作应遵循重点保护、整体防护、动态风控、 息基础设施、重要网络和数据安全为重点，切实加 协同参与的基本原则，并建立网络安全综合防御体 强保卫、保护和保障的“双保”时代来临 网络安全等级保护制度是国家基本制度，网络 系；同时确定了关键信息基础设施运营者实施关键 信息基础设施安全保护制度的主要工作内容包括 安全等级保护系列核心标准已于2019年12月1日 识别认定、安全防护、检测评估、监测预警、事件 起正式实施，各行业主管部门和行业网络安全运营 处置等环节，如图1所示。 者也在积极贯彻落实网络安全等级保护制度，扎实 推进定级备案、等级测评、安全建设整改和检查等 识别认定 网络安全等级保护基础工作、落实责任。 网络安全运营者落实、实施关键信息基础设施 安全防护 安全保护制度是在落实网络安全等级保护制度基 础上，突出保护重点，强化保护措施，切实维护关 键信息基础设施安全。《网络安全法》第二节关于 检测评信 监测预警 关键信息基础设施的运行安全的相关规定对开展 关键信息基础设施安全保护工作提出了相关的要 事件处置 求和指导方向。自2017年起，我国结合国际国内 现有网络安全管理标准，制定关键信息基础设施安 图1关键信息基础设施工作内容 全保护相关标准规范，为开展关键信息基础设施安 全保护工作提供指导，其中《关键信息基础设施网 （1）识别认定 络安全保护基本要求（报批稿）》规定了关键信息 识别认定阶段主要活动包括业务识别、风险识 基础设施运营者在识别认定、安全防护、检测评估、 别和资产识别，其中对于关键业务的识别认定，目 监测预警、事件处置等环节的基本要求；《关键信 前主要参照《关键信息基础设施确定指南（试行）》 息基础设施安全控制措施（征求意见稿）》规定了 进行初步确定，主要识别内容包括： ①识别本组织的关键业务和关键业务所依赖 关键信息基础设施运营者在风险识别、安全防护、 的外部业务，识别外部业务对本组织关键业务的重 检测评估、监测预警、应急处置等环节应实现的安 要性。 全控制措施；《关键信息基础设施检查评估指南（报 ②当关键业务为外部业务提供服务时，识别本 批稿）》给出了关键信息基础设施检查评估工作的 方法、流程和内容。 组织关键业务对外部业务的重要性。 本文通过对关键信息基础设施安全保护系列标 ③梳理关键业务链，明确支撑本组织关键业务 准的研究分析，梳理了关键信息基础设施主要内容 的关键信息基础设施分布和运营情况。 和主要工作流程。结合关键信息基础设施安全保护 资产识别和风险识别这两个活动中主要应用动 的主要工作内容和工作目标，参考国内外安全防护 态风控的思想，对关键信息基础设施涉及的要素进 模型，本文提出了关键信息基础设施安全防护理念 行专业的安全风险分析，依据GB/T20984《信息安 和构建了关键信息基础设施安全能力模型，为网络 全技术-信息安全风险评估规范》以及《信息安全技 万方数据 Journal of Frontiers of Computer Science and Technology 计算机科学与探索 120 2020，14（专刊） 术关键信息基础设施安全检查评估指南》中给出 性，发现网络安全风险隐患，要求运营者建立健全 的方法、流程和内容，对关键信息基础设施相关资 关键信息基础设施安全检测评估制度，每年至少进 产进行梳理、识别，并进行风险评估工作，识别关 行一次检测评估并及时整改。该阶段确定了检测评 估的流程及内容等要素，并分析潜在安全风险可能 键信息基础设施存在的安全风险。资产识别主要识 别内容包括： 引起的安全事件，为安全风险抽查检测工作提供必 ①识别关键业务链所依赖的资产，建立关键业 要的资料和技术支持，发现问题及时整改。关键信 务链相关的网络、系统、服务和其他资产清单。 息基础设施安全检测评估工