◎中國電子商會自主可控技術委員會理事長 馮燕春

一、CII概念的由來

“關鍵信息基礎設施”（Critical Information Infrastructure，CII）的概念最初起源于美國。早在1977年，美國總統(tǒng)關鍵基礎設施保護委員會指出，美國國家安全高度依賴信息和通信、銀行和金融、能源、運輸?shù)汝P鍵基礎設施，這些基礎設施一旦遭到攻擊會給整個國家?guī)韲乐睾蠊?。此時，美國就有了關鍵信息基礎設施保護的意識雛形。由于受“911事件”影響，1996年，關鍵信息基礎設施的概念被提出并正式確定。從此，在網(wǎng)絡側(cè)加強對關鍵基礎設施的保護成為美國CIP政策新焦點，并迅速得到世界主要大國的重視。2001年，美國頒布的“愛國者法案”還以法律的形式定義了“關鍵基礎設施”，特別明確了屬于國家關鍵基礎設施的經(jīng)濟部門范疇。未來，隨著信息化的快速發(fā)展，“關鍵信息基礎設施”保護將有可能逐步演變成“關鍵基礎設施”保護。

據(jù)統(tǒng)計，目前已有53個國家/地區(qū)開展了本國、本地區(qū)CI/CII保護，如美國1996年，德國1997年，印度1998年，俄羅斯2000年，日本2005年，法國2006年，巴西2006年，澳大利亞2007年分別開展了CI/CII保護。

就我國而言，習近平總書記在網(wǎng)絡安全和信息化工作座談會上的講話中指出，金融、能源、電力、通信、交通等領域的關鍵信息基礎設施是經(jīng)濟社會運行的神經(jīng)中樞，是網(wǎng)絡安全的重中之重，也是可能遭到重點攻擊的目標，必須采取有效措施，切實做好國家關鍵信息基礎設施安全防護。其實，在習總書記講話之前，原國家信息技術研究中心和中國信息安全測評中心作為關鍵基礎設施的安全保障部門，已經(jīng)開展了相關工作，并在國家相關部門的統(tǒng)一領導下，就相關重點行業(yè)開展了檢查、評估工作。習總書記講話以后，我國從上到下對關鍵信息基礎設施有了一個非常深刻的印象。2017年6月1日，我國正式實施了《網(wǎng)絡安全法》，對關鍵信息基礎設施做了明確的定義。

二、CII邊界識別的必要性

為什么提出邊界識別？2016年，我作為網(wǎng)信辦組織的關鍵信息基礎設施檢查工作的負責人，開展相關工作時遇到了幾個問題。一是當時網(wǎng)信辦下發(fā)了如何開展摸底檢查工作的文件，然而確定什么是關鍵信息基礎設施則非常復雜。為此，大家提出了一些量化的指標，但是都沒有經(jīng)過檢驗，也參考了國際上包括以前做過的一些工作的經(jīng)驗。第二，征集關鍵信息基礎設施信息時，哪些需要報，應該報到什么程度，都很難把握。

近幾年，在關鍵基礎設施的檢查評估指南中，重點行業(yè)都被納入到關鍵信息基礎設施。首先，關鍵基礎設施需要保護什么，電力、銀行是不是全都保護，這就涉及到了邊界識別的問題。而這些重點行業(yè)中究竟哪些網(wǎng)絡設施、信息系統(tǒng)需要保護則是CII邊界識別的核心問題。國家開展CII保護的根本目標是保護重要領域內(nèi)的重要業(yè)務的安全，而CII則是支撐上述關鍵業(yè)務安全運行的網(wǎng)絡設施、信息系統(tǒng)等。另外，一些大的行業(yè)或系統(tǒng)，比如水利、核電等，都是非常龐大的體系，而且是跨域跨部門的，不可能都重點保護，而應該按照業(yè)務鏈進行。以核電為例，從最開始對核電的監(jiān)控到風控，再到出現(xiàn)故障以后的感知報警和處置，需要分析對整個業(yè)務鏈條有影響的系統(tǒng)和設備是什么。

因此，關鍵信息基礎設施邊界，就是指當運營者被國家有關部門確認為是CII運營者后，需要識別自身運營的哪些網(wǎng)絡設施、信息系統(tǒng)是關鍵業(yè)務持續(xù)、穩(wěn)定運行所必須的，應當被納入CII保護范圍。通俗地來講，是應該把邊界識別概念定義為一旦業(yè)務被定為關鍵業(yè)務，也明確運營者之后，需要從保障業(yè)務安全運行的角度搞清楚應該保護什么。

三、CII邊界識別的進展與現(xiàn)狀

2016年，中央網(wǎng)信辦組建了國家關鍵信息基礎設施網(wǎng)絡安全檢查辦公室，根據(jù)工作實際需要研究制定了一系列政策文件，用于指導地方、行業(yè)、企業(yè)開展關鍵信息基礎設施檢查工作，包括：《關鍵信息基礎設施識別認定流程》《關鍵信息基礎設施識別認定方法》《關鍵信息基礎設施基線》等。時年，團隊在國內(nèi)外相關研究基礎之上，結(jié)合我國關鍵信息基礎設施保護工作實際，提出了邊界識別，然后就技術相關的情況也進行了反復的論證和評估，提出了“基于業(yè)務信息流識別關鍵信息基礎設施邊界”的技術方案。

2017年，在中央網(wǎng)信辦指導下，云南網(wǎng)信辦組織開展“云南省域關鍵信息基礎設施綜合試點”項目，對“基于業(yè)務信息流識別關鍵信息基礎設施邊界”進行了實踐、驗證、完善。2018年9月，在成都舉辦的國家網(wǎng)絡安全宣傳周上，團隊首次公開向業(yè)內(nèi)介紹了“基于信息流的關鍵信息基礎設施邊界識別認定方法”，并在《中國信息安全》上公開發(fā)表，得到業(yè)內(nèi)一定認可。

2018年底，信安標委秘書處在中央網(wǎng)信辦網(wǎng)絡安全協(xié)調(diào)局指導下，組織開展關鍵信息基礎設施安全檢查標準應用試點工作。“基于信息流的關鍵信息基礎設施邊界識別認定方法”在此次試點中得到進一步應用和驗證，同時，編制組結(jié)合此次標準試點工作對技術方案又進一步修訂、改進。2019年初，團隊正式申請國家標準立項。2019年4月，在寧波舉辦的全國信安標委會議周上被WG7推薦立項，2019年8月被信安標委批準正式立項。

CII邊界識別標準框架圖

四、標準主要內(nèi)容

首先講一下標準的主要理念。CII保護的目標是保障關鍵業(yè)務持續(xù)、穩(wěn)定運行，同一運營者的關鍵信息基礎設施同其它信息基礎設施應該區(qū)分開，不要混為一談。只有把重點明確以后，才能實現(xiàn)一體化的保護。具體的方法就是對關鍵業(yè)務持續(xù)、穩(wěn)定運行所必須的信息流從產(chǎn)生到終止所流經(jīng)的重要網(wǎng)絡設施、信息系統(tǒng)納入關鍵信息基礎設施保護范圍。

標準的框架結(jié)構(gòu)包括邊界識別基本原理、邊界識別要求、邊界識別流程以及信息備案和附錄五部分，如圖所示。在整個編寫過程中，除了檢查辦以外，交通、電力、金融等主要行業(yè)部門都參與這個標準的制定。

五、CII邊界識別的緊迫性

國內(nèi)外相關實踐經(jīng)驗表明，在CII運營者的所有信息基礎設施中，有些網(wǎng)絡設施、信息系統(tǒng)對保障關鍵業(yè)務持續(xù)、穩(wěn)定運行是非常關鍵的“Critical”，有些僅僅是比較重要的“Important”，甚至有一些信息設施對關鍵業(yè)務是無關緊要的“UN-important”。因此，將關鍵的信息基礎設施與其它信息基礎設施區(qū)分開來，是開展關鍵信息基礎設施保護的第一步，也是CIIP保護的前提和基礎，對明確保護對象、實施重點保護具有重要意義。

目前，大家都還停留在關鍵信息基礎設施保護的表面上，只是宏觀地去講哪些是該保護的。至于到底落在哪個系統(tǒng)和網(wǎng)絡內(nèi)，或者屬于哪個責任部門，還是不清楚。因此，要想做下去，只有解決好關鍵基礎設施識別認定，這樣才能落下去。

當前，CII邊界識別工作刻不容緩。如今，《關鍵信息基礎設施保護條例》《網(wǎng)絡安全審查辦法》《個人信息出境安全評估辦法》等正在陸續(xù)出臺，這些法律法規(guī)的落實需要明確CII邊界。如何指導運營者梳理自身運營的網(wǎng)絡設施、信息系統(tǒng)納入CII保護范疇內(nèi)，也是一個急需解決的問題。希望大家能夠關注和積極參與相關工作。