任卫红：关键信息基础设施的等级保护

任卫红

公安部等级保护评估中心技术部主任

核心观点：

1、关键信息基础设施和等保对象是什么关系 

2、等保定级和CII认定过程 

3、CII和等保制度关系

一、关键信息基础设施和等保对象是什么关系？

我们也非常关心就是如何对关键信息基础设施来落实《网络安全法》，通过等级保护这样一个基础来保护好关键信息基础设施。等保已经有十年的基础了，等保现在面临新的技术也是在不断的在反思和完善，由于有了《网络安全法》使得等级保护任务更加丰富，要求等级保护也要把关键基础设施的保护纳入到等级保护的范围当中来。对于我们来讲第一可能要关心关键信息基础设施和等保对象是什么关系，也就是说原来一个信息系统可能定一个级别，现在一个信息基础设施指的是什么。这个是需要来了解清楚。第二个信息基础设施如何认定和等保定级是一个什么关系。第三个是关键信息基础设施的保护和等保基线保护是一个什么关系。

 

关键信息基础设施的检测评估，和等保等级测评是一个什么关系，从这几个方面来做一点比较。首先从对象上看回顾一下1994年147号令计算机信息系统作为对象进行等级保护，在2003年27号文件又将等级保护制度的保护重点明确说是我国基础信息网络和重要信息系统，这个确定了等保重点内容。在2017年的时候，我们引进了国外先进的关键信息基础设施的概念，从而有了网络安全法里边的第二章的内容，和现在关键信息基础设施安全保护条例的内容。这两个里边可以看到其实是有发展的，从原来基础信息网络到现在网络设施，从原来信息系统到还叫信息系统，虽然名词一样，但是内容内涵有变化，但是它两个因为都是关键信息基础设施本身就是我们国家网络安全重点，所以它的地位是一样的。因此我们认为保护重点，我们国家网络安全保障这个重点没有变。但是保护的对象复杂度提高了，这种复杂度提高看一下信息系统的演变。原来的计算机系统，后来信息安全等级保护的时候，直接叫信息系统。当然在这个同样的等保体系里边，也有网络基础设施都是以邮电外地行业标准方式来出现。相当于一种在电信领域行业等保工作落实一个参照。这样子的主要关注的是信息系统。但是现在我们除了传统的业务系统以外，还出现了远程的控制的单元，逐步的智能化。所以公共系统出现和计算机系统同样的安全问题。

    

通信终端智能化，使得和无线网络的和移动网络信息也出现各种安全问题，包括物联网系统。总之计算资源和物理资源深度的融合，使得像这种信息物理系统和其他系统更强的融合，同意刚才专家说的。CI和CII不是很清晰的能够划分出来了，在这种情况下也认为信息系统本身范围不再是原来简单计算机系统的范围了。应该说扩大了，网络设施尽管现在还没有一个网络设施的官方的定义，但是在条例第18条当中，除了传统的通信网络，另外云计算、大数据以及其他大型公共网络这些以信息网络服务为它的业务的，这种服务的特点是，建起来网络本身就是它的业务。上面还会有支撑的业务。所以我们网络设施我可以先简单的把它理解成一种是基础提供的网络服务和平台服务。

    

其实平台服务的特点，节点仍然是计算机。而虚拟化和软件定义的网络节点这样一种特点，其实每个节点也都是计算机。或者说现在在虚拟网络里边，它的基础架构可能都是计算机的架构，但是可以实现的是原来网络功能。计算的功能和存储的功能。所以这样的话，实际上网络和计算机的概念也没有完全的区别。这都是我们现在面临的现状。在这种情况下，把计算机和信息系统网络概念都给大家抛出来，摆在这里来说，是因为曾经有一些认识。就认为等保只管计算机信息系统，所以我现在在强调由于计算资源和物理资源的混合，使得等保还是要继续的保护下去。

    

另外我们从2011年两高对于办理危害计算机信息系统这种刑事案件解释当中，2011年的时候已经把这个计算机信息系统，计算机系统在刑事案件定义的时候，就是确定的时候已经把它扩展到不是原来的普通的计算机，PC机服务器等等这些对象。把它扩展到像网络设备，通信设备，自动控制设备。也就是说扩展到公共系统，扩展到网络这样的单元，扩展到大数据云计算这样子的是必然的。

    

所以这样来说，对关键信息基础设施如果你去入侵，你去破坏。或者获取信息等等违法犯罪，网络安全法里定义了很多违法的行为，但是违法行为到了一定程度，累计成为范围的。这时候涉及到刑法条款，这些条款认罪的时候仍然当成计算机犯罪一个特点，所以这一点也可以说，无论是信息系统的概念，网络的概念。基础设施的概念，最终是落实在我们要管的那么一个单元，是什么。可能是网，可能是一个信息基础设施，也可能是一个信息系统。这个不用过多的去区别它。

二、 等保定级和CII认定过程

第二个方面我对比的是定级和CII认定过程，我们比较理解的是等保定级比较简单了，就是运营使用单位相当于是运营者的主体，需要根据运营的对象的重要性，确定出安全保护的等级。等级12345级有一个很简单的表。定级之后是需要做三级以上系统，要求是要做一个专家的评审。如果有主管部门，主管部门对评审的结果进行一个审定，叫做审核批准这样一个过程，这些结果都会作为定级材料，提交给公安机关去进行备案。

    

对关键信息基础设施里面网络信息定级有差别，运营者按照网络安全法包括所有者、管理者和网络服务提供者，刚才有专家也提到，像云计算。云计算基础设施其实是一个典型的网络服务提供者，所以他自己肯定是要定级的，但是其实肯定面临的一个问题，如果原来是一个关键基础设施领域某个重要业务系统，已经定成了关键基础设施，信息基础设施了。现在想把它信息基础设施迁移到一个云上面去。这时候的云是不是因为他是关键基础设施，这个云就一定是关键基础设施了，这个现在不知道。如果是根据我们等保定级这个方式的话，我们认为如果是他管这个信息系统，如果是云服务商管的是基础设施的云平台的安全责任，属于责任分离开的情况。这种情况应该是根据责任分别定级各自备案。

    

但是这个设施的等级应该不低于上面业务系统的等级，所以就高不就低，目前我们定级的时候是这样子的要求。而且关键基础设施安全保护等级应该不低于三级，因为从定义上是严重影响到国家安全，国际民生和公共利益按等保定级，应该有是这样一个等级。说道CII认定，这个认定我是根据现在条例，认定本身由行业主管部门或者是监管部门来组织产生识别工作，区别识别和认定。从条例上看，关键信息基础设施不分级，你只要认定了他就是和否的关系。第二个是把关，认定过程应该充分发挥专家的作用。第三部分要报送，关键基础设施管理部门，应该报送相关的部门。为什么公安机关要报备，在等保基础上来做。如果不监督等保做不做，关键基础设施缺了一大块工作。公安机关报备这件事情应该是有的。

    

感觉上应该是像美国的做法，我们判断可能有目录的形成，可能是秘密的通知等等这样子的。这样是一个对于认定的过程，我们感觉很重要，还是在条例当中提出建议。能够把这个认定的流程和认定的职责这部分在条例当中予以明确。只说道了识别，没有太多的去提认定。

三、CII和等保制度关系

CII和等保制度关系，一个关键信息设施保护是等级保护的核心，首先在等保分成重要信息系统，和一般信息系统，这样子过程当中中间空很大一块，为了中间插上核心。所以关键信息基础设计应该是属于在重要信息系统当中一个核心。但是小于原来三级以上的个数，不是所有的系统。一定是一个字集。从范围上是一个核心，从保护的强度上应该是一个增强，应该在等保措施基础上去进行发展，这种等保技术基础，包括等保要求。

    

网络安全等级保护措施的扩展，现在在向这种特殊的对象，或者是新对象云计算物联网，移动互联等等，根据技术的分类，在做一些扩展。随着技术的发展肯定是要适应技术的发展去做更好的保护。还会不断的进行相关的拓展，当然会按照程序根据基本要求修订周期进行相关的扩展。所有三级以上系统必须要做的基线要求，对于关键基础设施在基线基础上要有一些加强的保护。这个加强保护在第四章九条里面抽取一些简话。有三同步的原则，还有主要负责人是第一安全责任人，还有网络日志留存时长，关键岗位的安全背景和审查，还有CSO的安全责任。这些在原有三级基础上要进行保护的。

    

提最后一个对比，等级测评和检测评估的，第三级以上每年至少一次等级测评，运营者自行或委托网络安全服务机构对CII的风险隐患每年至少一次检测评估。所以这个也是以等保为基础来做的。保险在条例第六章，监督那部分里边第四十条，在两个条款当中都分别由这样一个特点，就是前半部分说起主管部门定期的抽查检测，又提到是在对存在的问题要及时整改检测评估中发现的问题，前后的表述不一致，以及在望信统筹协调有关部门开展的抽查检测，避免重复的检测评估。前後不一致。我看了一下网安法三十九条这样说，网信部门不抽查是必要的，可以委托网络安全服务机构对网络存在的安全风险进行检测评估。抽查检测和检测评估在《网络安全法》里面是不同的概念。要区别抽查检测和检测评估这两个概念，分别在监管的时候叫它抽查检测。在网络运营者义务这一部分叫做检测评估这样可能概念更清晰一些。

作者任卫红：公安部等级保护评估中心技术部主任。本文是任卫红主任在关键信息基础设施安全保护条例（征求意见稿）研讨会上的发言整理所得。

以上文章来源：安全测评联盟

“ 

 重要信息系统安全等级保护是基本国策，是企业重要信息系统定级的指导标准，是企业产品合规性的重要保障，重要信息系统保护人员培训——CIIPT-A将从国家信息安全政策、法规和标准，重要信息系统的规划设计、建设整改、运行维护的相关要求等方面做专业指导。 

”

e 安在线  两天带你解锁CIIP-A

北京益安在线
公安部信息安全等级保护评估中心合作单位
CIIPT重要信息系统安全保护人员培训
北京地区指定授权合作伙伴 

CIIP-A培训对象

• IT管理体系负责人、质量负责人

• 国家重要信息系统的建设、运营和使用的相关管理和技术人员

• IT行业从事信息安全开发、管理、咨询服务及系统集成业务相关管理及技术人员

• 其他从事与信息安全相关工作的人员（如系统管理员、程序员等）

• 各级政府机构、企事业单位的信息安全主管部门的中高级管理及技术人员

考试指南

1. 报名申请

点击阅读原文立即报名或后台留言（我要报名+姓名+电话）

2. 考试形式、时间、地点、分数

考试为闭卷笔试的方式，时间为120分钟，地点在北京，及格线为60分（满分100分）。

3. 证书颁布

考试合格者获得有公安部信息安全等级保护评估中心统一印制并颁发CIIP-A证书。评估中心定期更新证书持有人目录，并向社会公布，可通过网站查验证书真实性。

END