?

一、概述

?

信息技術(shù)廣泛應(yīng)用和網(wǎng)絡(luò)空間興起發(fā)展，極大促進(jìn)了經(jīng)濟(jì)社會繁榮進(jìn)步，但同時網(wǎng)絡(luò)空間安全形勢也日益嚴(yán)峻，國家政治、經(jīng)濟(jì)、文化、社會、國防安全及公民在網(wǎng)絡(luò)空間的合法權(quán)益面臨嚴(yán)峻風(fēng)險與挑戰(zhàn)。世界主要國家和地區(qū)高度重視網(wǎng)絡(luò)空間安全，陸續(xù)出臺了相關(guān)戰(zhàn)略、規(guī)劃、立法以及實(shí)施方案等，并開始加大對關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)力度。隨著我國網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略的深化和實(shí)施，關(guān)鍵信息基礎(chǔ)設(shè)施在國民經(jīng)濟(jì)和社會發(fā)展中的基礎(chǔ)性、重要性、保障性、戰(zhàn)略性地位也日益突出。

?

2016年12月27日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布并實(shí)施了《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》，提出要加強(qiáng)對國家關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)，并指出國家關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國家安全、國計民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國家安全、公共利益的信息設(shè)施，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會保障、公用事業(yè)等領(lǐng)域和國家機(jī)關(guān)的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等。2017年6月《網(wǎng)絡(luò)安全法》也頒布實(shí)施，基于對以上法規(guī)、文件要求的細(xì)化落實(shí)，圍繞關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的總體目標(biāo)，結(jié)合目前已經(jīng)開展的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)工作，全國信息安全標(biāo)準(zhǔn)化委員會組織開展了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)系列標(biāo)準(zhǔn)的制定，并重點(diǎn)確立了以下5個主要核心標(biāo)準(zhǔn)：

?

1.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全框架》作為基礎(chǔ)標(biāo)準(zhǔn)，闡明構(gòu)成框架的基本要素及其關(guān)系，統(tǒng)一通用術(shù)語和定義；規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)框架和基本要求，適用于關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)相關(guān)的技術(shù)活動和管理活動；

?

2.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》作為基線類標(biāo)準(zhǔn)，對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者開展網(wǎng)絡(luò)安全保護(hù)工作提出最低要求；該標(biāo)準(zhǔn)作為實(shí)施類標(biāo)準(zhǔn)，根據(jù)基本要求提出相應(yīng)的控制措施，規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施識別認(rèn)定、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、事件處置等環(huán)節(jié)的基本要求，用于關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)劃設(shè)計、開發(fā)建設(shè)、運(yùn)行維護(hù)、退役廢棄等階段的安全保護(hù)工作，主要適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者，也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他參與者參考；

?

3.《關(guān)鍵信息基礎(chǔ)設(shè)施安全檢查評估指南》作為測評類標(biāo)準(zhǔn)，依據(jù)基本要求明確關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估工作的方法、流程和內(nèi)容，定義關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估所采用的方法，規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估工作準(zhǔn)備、實(shí)施、總結(jié)各環(huán)節(jié)的流程要求，以及在檢查評估具體要求和內(nèi)容，適用于指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)相關(guān)的人員開展關(guān)鍵信息基礎(chǔ)設(shè)施檢查評估相關(guān)工作；

?

4.《關(guān)鍵信息基礎(chǔ)設(shè)施安全保障指標(biāo)體系》作為測評類標(biāo)準(zhǔn)，依據(jù)檢查評估結(jié)果、日常安全檢測等情況對關(guān)鍵信息基礎(chǔ)設(shè)施安全保障狀況進(jìn)行定量評價；該標(biāo)準(zhǔn)主要規(guī)定用于開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保障的指標(biāo)及其釋義，適用于關(guān)鍵信息基礎(chǔ)設(shè)施安全保障評價工作，為政府管理部門的信息安全態(tài)勢判斷和宏觀決策提供支持，為關(guān)鍵信息基礎(chǔ)設(shè)施的管理部門及運(yùn)營單位的信息安全管理工作提供支持；

?

5.《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施》規(guī)定關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者在風(fēng)險識別、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、事件處置等環(huán)節(jié)應(yīng)實(shí)施的安全控制措施，以滿足關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)的基本要求；適用于關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)劃設(shè)計、開發(fā)建設(shè)、運(yùn)行維護(hù)、退出廢棄等階段，可供關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門、關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者以及關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)中的其他參與者參考。

?

二、進(jìn)展

?

為落實(shí)《網(wǎng)絡(luò)安全法》和計劃中即將出臺的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等法律條例的要求，全國信息安全標(biāo)準(zhǔn)化委員會開始著手組織、開展了關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)的制定。從目前全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會網(wǎng)站(https://www.tc260.org.cn)上可查詢到與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)的標(biāo)準(zhǔn)研發(fā)項(xiàng)目共有14個，進(jìn)展情況如下：

?

1.暫無已正式發(fā)布實(shí)施的標(biāo)準(zhǔn)

2.處于“研究”階段的標(biāo)準(zhǔn)有3個（尚無草案或已被取代）

3.處于“草案”階段的標(biāo)準(zhǔn)有6個

4.處于“征求意見稿”階段的標(biāo)準(zhǔn)有4個

5.處于“報批稿”階段的標(biāo)準(zhǔn)有1個，并已進(jìn)入試點(diǎn)工作階段

?

縱觀現(xiàn)有11個標(biāo)準(zhǔn)當(dāng)前版本（草案或工作組討論稿、征求意見稿及報批稿）的內(nèi)容不難發(fā)現(xiàn)，關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)的研發(fā)主要借鑒了美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）所發(fā)布的《提升關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的框架》中提出的“識別、保護(hù)、檢測、響應(yīng)和恢復(fù)所組成的安全可控保障模型”，即在借鑒IPDRR（取自“識別、保護(hù)、檢測、響應(yīng)和恢復(fù)”這5個環(huán)節(jié)名稱的英文首字母）模型的基礎(chǔ)上，構(gòu)建了我國關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)的總體技術(shù)框架。

?

2019年12月，《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》（報批稿）試點(diǎn)工作開始啟動，該標(biāo)準(zhǔn)也是關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)中首個進(jìn)入試點(diǎn)階段的標(biāo)準(zhǔn)，在其報批稿中也明確了如圖1所示的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)關(guān)系，并指出“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)包括識別認(rèn)定、安全防護(hù)、檢測評估、監(jiān)測預(yù)警、事件處置五個環(huán)節(jié)。圖1所示為一般情況下的環(huán)節(jié)之間的關(guān)系圖，當(dāng)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行時，根據(jù)實(shí)際情況環(huán)節(jié)之間的關(guān)系有所變動?！?/p>

?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖1：關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)各環(huán)節(jié)關(guān)系圖

?

目前從全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會網(wǎng)站(https://www.tc260.org.cn)可查詢到的所有與關(guān)鍵信息基礎(chǔ)設(shè)施安全相關(guān)的各標(biāo)準(zhǔn)研制進(jìn)展情況如表1所示：

?

?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 表1：關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)進(jìn)展及概況（點(diǎn)擊查看大圖）

?

除前文所述的關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)系列標(biāo)準(zhǔn)中的5個主要核心標(biāo)準(zhǔn)以外，表1中其它標(biāo)準(zhǔn)（未見草案或已被取代的標(biāo)準(zhǔn)除外）的主要內(nèi)容和應(yīng)用范圍如下：

?

1.《關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法》描述了關(guān)鍵信息基礎(chǔ)設(shè)施形態(tài)組成和關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別方法，給出了關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別模型，提出了關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別原則、流程，為開展關(guān)鍵信息基礎(chǔ)設(shè)施邊界識別工作提供一種方法性指南，適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)部門和網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)識別關(guān)鍵信息基礎(chǔ)設(shè)施邊界；

?

2.《關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》描述了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)能力成熟度模型、模型使用方法，給出了不同成熟度的評價指標(biāo)，適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對自身安全能力進(jìn)行評價，也可適用于網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者安全能力進(jìn)行評價，也可供關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作部門和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他參與者參考；

?

3.《關(guān)鍵信息基礎(chǔ)設(shè)施安全等級保護(hù)技術(shù)框架》規(guī)范了關(guān)鍵信息基礎(chǔ)設(shè)施安全等級保護(hù)的技術(shù)框架，適用于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者對網(wǎng)絡(luò)安全控制措施的選擇，以及對網(wǎng)絡(luò)安全保護(hù)狀況的評價，也可用于指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的主管部門的本領(lǐng)域網(wǎng)絡(luò)安全保護(hù)狀況的評價；

?

4.《重大活動關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保障指南》規(guī)定了重大活動期間重要網(wǎng)絡(luò)和信息系統(tǒng)等關(guān)鍵基礎(chǔ)設(shè)施的各相關(guān)方，圍繞網(wǎng)絡(luò)安全保障體系開展各階段、各層面的安全保障工作，適用于關(guān)鍵基礎(chǔ)設(shè)施使用、運(yùn)營單位在重大活動期間進(jìn)行網(wǎng)絡(luò)安全保障工作時進(jìn)行參考，也適用于關(guān)鍵基礎(chǔ)設(shè)施監(jiān)管部門在重大活動期間進(jìn)行監(jiān)督管理工作時參考；

?

5.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全信息共享規(guī)范》對關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全信息進(jìn)行了分類，提出了信息共享原則，制定了信息描述規(guī)范，定義了信息共享的模式。該標(biāo)準(zhǔn)為國家網(wǎng)信部門統(tǒng)籌協(xié)調(diào)有關(guān)部門、運(yùn)營者以及有關(guān)研究機(jī)構(gòu)、網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)等相關(guān)方共享有效的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全信息共享提供指導(dǎo)，也適用于網(wǎng)絡(luò)與信息系統(tǒng)主管和運(yùn)營部門參考開展網(wǎng)絡(luò)安全信息共享工作；

?

6.《關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急預(yù)案編制指南》規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急預(yù)案的預(yù)案體系、編制流程、主要內(nèi)容和附件的編制要求。該標(biāo)準(zhǔn)適用于關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全應(yīng)急預(yù)案的編制與修訂工作，亦可為其他信息系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急預(yù)案的編制提供參考。

?

三、問題

?

雖然關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)系列標(biāo)準(zhǔn)的預(yù)研和編制工作自2015年以來取得了較大的進(jìn)展，但目前仍面臨較多問題，至少體現(xiàn)在以下幾個方面：

?

1.圍繞在研的各關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)標(biāo)準(zhǔn)，仍存在相對較大和廣泛的爭議，例如關(guān)鍵信息基礎(chǔ)設(shè)施概念和定義雖已確定，但具體每個關(guān)鍵信息基礎(chǔ)設(shè)施的資產(chǎn)識別和邊界劃分等細(xì)節(jié)問題仍未達(dá)成共識，種種問題導(dǎo)致關(guān)鍵信息基礎(chǔ)設(shè)施安全系列標(biāo)準(zhǔn)的制定、發(fā)布和實(shí)施等工作進(jìn)展相對較慢；

?

2.關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)系列標(biāo)準(zhǔn)與已實(shí)施多年并于2019年底前完成修訂的信息安全等級保護(hù)系列標(biāo)準(zhǔn)不可避免地存在諸多交叉和重疊的內(nèi)容，這種情況不但在較大程度上降低了關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)系列標(biāo)準(zhǔn)出臺實(shí)施的緊迫性，也導(dǎo)致某些標(biāo)準(zhǔn)在評審和征求意見等環(huán)節(jié)受到一定程度的質(zhì)疑，并給潛在的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營中在標(biāo)準(zhǔn)適用和選擇等方面帶來了一些困惑；

?

3.關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)系列標(biāo)準(zhǔn)目前在研究和制定的各階段進(jìn)程中也存在著一定的不確定性，例如原《關(guān)鍵信息基礎(chǔ)設(shè)施安全控制措施測評要求》已被取消，和另外一個關(guān)鍵信息基礎(chǔ)設(shè)施研究項(xiàng)目共同被《關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》所取代；

?

4.某些在研標(biāo)準(zhǔn)所借鑒的總體思路和技術(shù)框架，例如《關(guān)鍵信息基礎(chǔ)設(shè)施安全防護(hù)能力評價方法》所參考的SSE-CMM模型（系統(tǒng)安全工程能力成熟度模型），是否適用于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)也受到了一定程度的質(zhì)疑；

?

5.作為政策法規(guī)方面主要驅(qū)動力的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》由于種種原因未按計劃于2019年底前頒布實(shí)施，目前其最新公開版本仍處于征求意見稿階段，該條例如能盡快出臺，則將會對關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)系列標(biāo)準(zhǔn)的研發(fā)和推進(jìn)起到較大促進(jìn)作用，否則該系列標(biāo)準(zhǔn)的正式出臺和發(fā)布實(shí)施或仍需較長時間。

總結(jié)

以上是生活随笔為你收集整理的山石岩读丨国之重典：我国关键信息基础设施保护标准体系的现状与进展的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。