任衛(wèi)紅

公安部等級(jí)保護(hù)評(píng)估中心技術(shù)部主任

核心觀點(diǎn)：

1、關(guān)鍵信息基礎(chǔ)設(shè)施和等保對(duì)象是什么關(guān)系?

2、等保定級(jí)和CII認(rèn)定過(guò)程?

3、CII和等保制度關(guān)系

一、關(guān)鍵信息基礎(chǔ)設(shè)施和等保對(duì)象是什么關(guān)系？

我們也非常關(guān)心就是如何對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施來(lái)落實(shí)《網(wǎng)絡(luò)安全法》，通過(guò)等級(jí)保護(hù)這樣一個(gè)基礎(chǔ)來(lái)保護(hù)好關(guān)鍵信息基礎(chǔ)設(shè)施。等保已經(jīng)有十年的基礎(chǔ)了，等保現(xiàn)在面臨新的技術(shù)也是在不斷的在反思和完善，由于有了《網(wǎng)絡(luò)安全法》使得等級(jí)保護(hù)任務(wù)更加豐富，要求等級(jí)保護(hù)也要把關(guān)鍵基礎(chǔ)設(shè)施的保護(hù)納入到等級(jí)保護(hù)的范圍當(dāng)中來(lái)。對(duì)于我們來(lái)講第一可能要關(guān)心關(guān)鍵信息基礎(chǔ)設(shè)施和等保對(duì)象是什么關(guān)系，也就是說(shuō)原來(lái)一個(gè)信息系統(tǒng)可能定一個(gè)級(jí)別，現(xiàn)在一個(gè)信息基礎(chǔ)設(shè)施指的是什么。這個(gè)是需要來(lái)了解清楚。第二個(gè)信息基礎(chǔ)設(shè)施如何認(rèn)定和等保定級(jí)是一個(gè)什么關(guān)系。第三個(gè)是關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)和等保基線保護(hù)是一個(gè)什么關(guān)系。

?

關(guān)鍵信息基礎(chǔ)設(shè)施的檢測(cè)評(píng)估，和等保等級(jí)測(cè)評(píng)是一個(gè)什么關(guān)系，從這幾個(gè)方面來(lái)做一點(diǎn)比較。首先從對(duì)象上看回顧一下1994年147號(hào)令計(jì)算機(jī)信息系統(tǒng)作為對(duì)象進(jìn)行等級(jí)保護(hù)，在2003年27號(hào)文件又將等級(jí)保護(hù)制度的保護(hù)重點(diǎn)明確說(shuō)是我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，這個(gè)確定了等保重點(diǎn)內(nèi)容。在2017年的時(shí)候，我們引進(jìn)了國(guó)外先進(jìn)的關(guān)鍵信息基礎(chǔ)設(shè)施的概念，從而有了網(wǎng)絡(luò)安全法里邊的第二章的內(nèi)容，和現(xiàn)在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例的內(nèi)容。這兩個(gè)里邊可以看到其實(shí)是有發(fā)展的，從原來(lái)基礎(chǔ)信息網(wǎng)絡(luò)到現(xiàn)在網(wǎng)絡(luò)設(shè)施，從原來(lái)信息系統(tǒng)到還叫信息系統(tǒng)，雖然名詞一樣，但是內(nèi)容內(nèi)涵有變化，但是它兩個(gè)因?yàn)槎际顷P(guān)鍵信息基礎(chǔ)設(shè)施本身就是我們國(guó)家網(wǎng)絡(luò)安全重點(diǎn)，所以它的地位是一樣的。因此我們認(rèn)為保護(hù)重點(diǎn)，我們國(guó)家網(wǎng)絡(luò)安全保障這個(gè)重點(diǎn)沒(méi)有變。但是保護(hù)的對(duì)象復(fù)雜度提高了，這種復(fù)雜度提高看一下信息系統(tǒng)的演變。原來(lái)的計(jì)算機(jī)系統(tǒng)，后來(lái)信息安全等級(jí)保護(hù)的時(shí)候，直接叫信息系統(tǒng)。當(dāng)然在這個(gè)同樣的等保體系里邊，也有網(wǎng)絡(luò)基礎(chǔ)設(shè)施都是以郵電外地行業(yè)標(biāo)準(zhǔn)方式來(lái)出現(xiàn)。相當(dāng)于一種在電信領(lǐng)域行業(yè)等保工作落實(shí)一個(gè)參照。這樣子的主要關(guān)注的是信息系統(tǒng)。但是現(xiàn)在我們除了傳統(tǒng)的業(yè)務(wù)系統(tǒng)以外，還出現(xiàn)了遠(yuǎn)程的控制的單元，逐步的智能化。所以公共系統(tǒng)出現(xiàn)和計(jì)算機(jī)系統(tǒng)同樣的安全問(wèn)題。

????

通信終端智能化，使得和無(wú)線網(wǎng)絡(luò)的和移動(dòng)網(wǎng)絡(luò)信息也出現(xiàn)各種安全問(wèn)題，包括物聯(lián)網(wǎng)系統(tǒng)。總之計(jì)算資源和物理資源深度的融合，使得像這種信息物理系統(tǒng)和其他系統(tǒng)更強(qiáng)的融合，同意剛才專家說(shuō)的。CI和CII不是很清晰的能夠劃分出來(lái)了，在這種情況下也認(rèn)為信息系統(tǒng)本身范圍不再是原來(lái)簡(jiǎn)單計(jì)算機(jī)系統(tǒng)的范圍了。應(yīng)該說(shuō)擴(kuò)大了，網(wǎng)絡(luò)設(shè)施盡管現(xiàn)在還沒(méi)有一個(gè)網(wǎng)絡(luò)設(shè)施的官方的定義，但是在條例第18條當(dāng)中，除了傳統(tǒng)的通信網(wǎng)絡(luò)，另外云計(jì)算、大數(shù)據(jù)以及其他大型公共網(wǎng)絡(luò)這些以信息網(wǎng)絡(luò)服務(wù)為它的業(yè)務(wù)的，這種服務(wù)的特點(diǎn)是，建起來(lái)網(wǎng)絡(luò)本身就是它的業(yè)務(wù)。上面還會(huì)有支撐的業(yè)務(wù)。所以我們網(wǎng)絡(luò)設(shè)施我可以先簡(jiǎn)單的把它理解成一種是基礎(chǔ)提供的網(wǎng)絡(luò)服務(wù)和平臺(tái)服務(wù)。

????

其實(shí)平臺(tái)服務(wù)的特點(diǎn)，節(jié)點(diǎn)仍然是計(jì)算機(jī)。而虛擬化和軟件定義的網(wǎng)絡(luò)節(jié)點(diǎn)這樣一種特點(diǎn)，其實(shí)每個(gè)節(jié)點(diǎn)也都是計(jì)算機(jī)。或者說(shuō)現(xiàn)在在虛擬網(wǎng)絡(luò)里邊，它的基礎(chǔ)架構(gòu)可能都是計(jì)算機(jī)的架構(gòu)，但是可以實(shí)現(xiàn)的是原來(lái)網(wǎng)絡(luò)功能。計(jì)算的功能和存儲(chǔ)的功能。所以這樣的話，實(shí)際上網(wǎng)絡(luò)和計(jì)算機(jī)的概念也沒(méi)有完全的區(qū)別。這都是我們現(xiàn)在面臨的現(xiàn)狀。在這種情況下，把計(jì)算機(jī)和信息系統(tǒng)網(wǎng)絡(luò)概念都給大家拋出來(lái)，擺在這里來(lái)說(shuō)，是因?yàn)樵?jīng)有一些認(rèn)識(shí)。就認(rèn)為等保只管計(jì)算機(jī)信息系統(tǒng)，所以我現(xiàn)在在強(qiáng)調(diào)由于計(jì)算資源和物理資源的混合，使得等保還是要繼續(xù)的保護(hù)下去。

????

另外我們從2011年兩高對(duì)于辦理危害計(jì)算機(jī)信息系統(tǒng)這種刑事案件解釋當(dāng)中，2011年的時(shí)候已經(jīng)把這個(gè)計(jì)算機(jī)信息系統(tǒng)，計(jì)算機(jī)系統(tǒng)在刑事案件定義的時(shí)候，就是確定的時(shí)候已經(jīng)把它擴(kuò)展到不是原來(lái)的普通的計(jì)算機(jī)，PC機(jī)服務(wù)器等等這些對(duì)象。把它擴(kuò)展到像網(wǎng)絡(luò)設(shè)備，通信設(shè)備，自動(dòng)控制設(shè)備。也就是說(shuō)擴(kuò)展到公共系統(tǒng)，擴(kuò)展到網(wǎng)絡(luò)這樣的單元，擴(kuò)展到大數(shù)據(jù)云計(jì)算這樣子的是必然的。

????

所以這樣來(lái)說(shuō)，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施如果你去入侵，你去破壞。或者獲取信息等等違法犯罪，網(wǎng)絡(luò)安全法里定義了很多違法的行為，但是違法行為到了一定程度，累計(jì)成為范圍的。這時(shí)候涉及到刑法條款，這些條款認(rèn)罪的時(shí)候仍然當(dāng)成計(jì)算機(jī)犯罪一個(gè)特點(diǎn)，所以這一點(diǎn)也可以說(shuō)，無(wú)論是信息系統(tǒng)的概念，網(wǎng)絡(luò)的概念。基礎(chǔ)設(shè)施的概念，最終是落實(shí)在我們要管的那么一個(gè)單元，是什么。可能是網(wǎng)，可能是一個(gè)信息基礎(chǔ)設(shè)施，也可能是一個(gè)信息系統(tǒng)。這個(gè)不用過(guò)多的去區(qū)別它。

二、 等保定級(jí)和CII認(rèn)定過(guò)程

第二個(gè)方面我對(duì)比的是定級(jí)和CII認(rèn)定過(guò)程，我們比較理解的是等保定級(jí)比較簡(jiǎn)單了，就是運(yùn)營(yíng)使用單位相當(dāng)于是運(yùn)營(yíng)者的主體，需要根據(jù)運(yùn)營(yíng)的對(duì)象的重要性，確定出安全保護(hù)的等級(jí)。等級(jí)12345級(jí)有一個(gè)很簡(jiǎn)單的表。定級(jí)之后是需要做三級(jí)以上系統(tǒng)，要求是要做一個(gè)專家的評(píng)審。如果有主管部門，主管部門對(duì)評(píng)審的結(jié)果進(jìn)行一個(gè)審定，叫做審核批準(zhǔn)這樣一個(gè)過(guò)程，這些結(jié)果都會(huì)作為定級(jí)材料，提交給公安機(jī)關(guān)去進(jìn)行備案。

????

對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施里面網(wǎng)絡(luò)信息定級(jí)有差別，運(yùn)營(yíng)者按照網(wǎng)絡(luò)安全法包括所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者，剛才有專家也提到，像云計(jì)算。云計(jì)算基礎(chǔ)設(shè)施其實(shí)是一個(gè)典型的網(wǎng)絡(luò)服務(wù)提供者，所以他自己肯定是要定級(jí)的，但是其實(shí)肯定面臨的一個(gè)問(wèn)題，如果原來(lái)是一個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域某個(gè)重要業(yè)務(wù)系統(tǒng)，已經(jīng)定成了關(guān)鍵基礎(chǔ)設(shè)施，信息基礎(chǔ)設(shè)施了。現(xiàn)在想把它信息基礎(chǔ)設(shè)施遷移到一個(gè)云上面去。這時(shí)候的云是不是因?yàn)樗顷P(guān)鍵基礎(chǔ)設(shè)施，這個(gè)云就一定是關(guān)鍵基礎(chǔ)設(shè)施了，這個(gè)現(xiàn)在不知道。如果是根據(jù)我們等保定級(jí)這個(gè)方式的話，我們認(rèn)為如果是他管這個(gè)信息系統(tǒng)，如果是云服務(wù)商管的是基礎(chǔ)設(shè)施的云平臺(tái)的安全責(zé)任，屬于責(zé)任分離開(kāi)的情況。這種情況應(yīng)該是根據(jù)責(zé)任分別定級(jí)各自備案。

????

但是這個(gè)設(shè)施的等級(jí)應(yīng)該不低于上面業(yè)務(wù)系統(tǒng)的等級(jí)，所以就高不就低，目前我們定級(jí)的時(shí)候是這樣子的要求。而且關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)等級(jí)應(yīng)該不低于三級(jí)，因?yàn)閺亩x上是嚴(yán)重影響到國(guó)家安全，國(guó)際民生和公共利益按等保定級(jí)，應(yīng)該有是這樣一個(gè)等級(jí)。說(shuō)道CII認(rèn)定，這個(gè)認(rèn)定我是根據(jù)現(xiàn)在條例，認(rèn)定本身由行業(yè)主管部門或者是監(jiān)管部門來(lái)組織產(chǎn)生識(shí)別工作，區(qū)別識(shí)別和認(rèn)定。從條例上看，關(guān)鍵信息基礎(chǔ)設(shè)施不分級(jí)，你只要認(rèn)定了他就是和否的關(guān)系。第二個(gè)是把關(guān)，認(rèn)定過(guò)程應(yīng)該充分發(fā)揮專家的作用。第三部分要報(bào)送，關(guān)鍵基礎(chǔ)設(shè)施管理部門，應(yīng)該報(bào)送相關(guān)的部門。為什么公安機(jī)關(guān)要報(bào)備，在等保基礎(chǔ)上來(lái)做。如果不監(jiān)督等保做不做，關(guān)鍵基礎(chǔ)設(shè)施缺了一大塊工作。公安機(jī)關(guān)報(bào)備這件事情應(yīng)該是有的。

????

感覺(jué)上應(yīng)該是像美國(guó)的做法，我們判斷可能有目錄的形成，可能是秘密的通知等等這樣子的。這樣是一個(gè)對(duì)于認(rèn)定的過(guò)程，我們感覺(jué)很重要，還是在條例當(dāng)中提出建議。能夠把這個(gè)認(rèn)定的流程和認(rèn)定的職責(zé)這部分在條例當(dāng)中予以明確。只說(shuō)道了識(shí)別，沒(méi)有太多的去提認(rèn)定。

三、CII和等保制度關(guān)系

CII和等保制度關(guān)系，一個(gè)關(guān)鍵信息設(shè)施保護(hù)是等級(jí)保護(hù)的核心，首先在等保分成重要信息系統(tǒng)，和一般信息系統(tǒng)，這樣子過(guò)程當(dāng)中中間空很大一塊，為了中間插上核心。所以關(guān)鍵信息基礎(chǔ)設(shè)計(jì)應(yīng)該是屬于在重要信息系統(tǒng)當(dāng)中一個(gè)核心。但是小于原來(lái)三級(jí)以上的個(gè)數(shù)，不是所有的系統(tǒng)。一定是一個(gè)字集。從范圍上是一個(gè)核心，從保護(hù)的強(qiáng)度上應(yīng)該是一個(gè)增強(qiáng)，應(yīng)該在等保措施基礎(chǔ)上去進(jìn)行發(fā)展，這種等保技術(shù)基礎(chǔ)，包括等保要求。

????

網(wǎng)絡(luò)安全等級(jí)保護(hù)措施的擴(kuò)展，現(xiàn)在在向這種特殊的對(duì)象，或者是新對(duì)象云計(jì)算物聯(lián)網(wǎng)，移動(dòng)互聯(lián)等等，根據(jù)技術(shù)的分類，在做一些擴(kuò)展。隨著技術(shù)的發(fā)展肯定是要適應(yīng)技術(shù)的發(fā)展去做更好的保護(hù)。還會(huì)不斷的進(jìn)行相關(guān)的拓展，當(dāng)然會(huì)按照程序根據(jù)基本要求修訂周期進(jìn)行相關(guān)的擴(kuò)展。所有三級(jí)以上系統(tǒng)必須要做的基線要求，對(duì)于關(guān)鍵基礎(chǔ)設(shè)施在基線基礎(chǔ)上要有一些加強(qiáng)的保護(hù)。這個(gè)加強(qiáng)保護(hù)在第四章九條里面抽取一些簡(jiǎn)話。有三同步的原則，還有主要負(fù)責(zé)人是第一安全責(zé)任人，還有網(wǎng)絡(luò)日志留存時(shí)長(zhǎng)，關(guān)鍵崗位的安全背景和審查，還有CSO的安全責(zé)任。這些在原有三級(jí)基礎(chǔ)上要進(jìn)行保護(hù)的。

????

提最后一個(gè)對(duì)比，等級(jí)測(cè)評(píng)和檢測(cè)評(píng)估的，第三級(jí)以上每年至少一次等級(jí)測(cè)評(píng)，運(yùn)營(yíng)者自行或委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)CII的風(fēng)險(xiǎn)隱患每年至少一次檢測(cè)評(píng)估。所以這個(gè)也是以等保為基礎(chǔ)來(lái)做的。保險(xiǎn)在條例第六章，監(jiān)督那部分里邊第四十條，在兩個(gè)條款當(dāng)中都分別由這樣一個(gè)特點(diǎn)，就是前半部分說(shuō)起主管部門定期的抽查檢測(cè)，又提到是在對(duì)存在的問(wèn)題要及時(shí)整改檢測(cè)評(píng)估中發(fā)現(xiàn)的問(wèn)題，前后的表述不一致，以及在望信統(tǒng)籌協(xié)調(diào)有關(guān)部門開(kāi)展的抽查檢測(cè)，避免重復(fù)的檢測(cè)評(píng)估。前後不一致。我看了一下網(wǎng)安法三十九條這樣說(shuō)，網(wǎng)信部門不抽查是必要的，可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對(duì)網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測(cè)評(píng)估。抽查檢測(cè)和檢測(cè)評(píng)估在《網(wǎng)絡(luò)安全法》里面是不同的概念。要區(qū)別抽查檢測(cè)和檢測(cè)評(píng)估這兩個(gè)概念，分別在監(jiān)管的時(shí)候叫它抽查檢測(cè)。在網(wǎng)絡(luò)運(yùn)營(yíng)者義務(wù)這一部分叫做檢測(cè)評(píng)估這樣可能概念更清晰一些。

作者任衛(wèi)紅：公安部等級(jí)保護(hù)評(píng)估中心技術(shù)部主任。本文是任衛(wèi)紅主任在關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見(jiàn)稿）研討會(huì)上的發(fā)言整理所得。

以上文章來(lái)源：安全測(cè)評(píng)聯(lián)盟

“?

?重要信息系統(tǒng)安全等級(jí)保護(hù)是基本國(guó)策，是企業(yè)重要信息系統(tǒng)定級(jí)的指導(dǎo)標(biāo)準(zhǔn)，是企業(yè)產(chǎn)品合規(guī)性的重要保障，重要信息系統(tǒng)保護(hù)人員培訓(xùn)——CIIPT-A將從國(guó)家信息安全政策、法規(guī)和標(biāo)準(zhǔn)，重要信息系統(tǒng)的規(guī)劃設(shè)計(jì)、建設(shè)整改、運(yùn)行維護(hù)的相關(guān)要求等方面做專業(yè)指導(dǎo)。?

”

e 安在線??兩天帶你解鎖CIIP-A

北京益安在線
公安部信息安全等級(jí)保護(hù)評(píng)估中心合作單位
CIIPT重要信息系統(tǒng)安全保護(hù)人員培訓(xùn)
北京地區(qū)指定授權(quán)合作伙伴?

CIIP-A培訓(xùn)對(duì)象

• IT管理體系負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人

• 國(guó)家重要信息系統(tǒng)的建設(shè)、運(yùn)營(yíng)和使用的相關(guān)管理和技術(shù)人員

• IT行業(yè)從事信息安全開(kāi)發(fā)、管理、咨詢服務(wù)及系統(tǒng)集成業(yè)務(wù)相關(guān)管理及技術(shù)人員

• 其他從事與信息安全相關(guān)工作的人員（如系統(tǒng)管理員、程序員等）

• 各級(jí)政府機(jī)構(gòu)、企事業(yè)單位的信息安全主管部門的中高級(jí)管理及技術(shù)人員

考試指南

1.?報(bào)名申請(qǐng)

點(diǎn)擊閱讀原文立即報(bào)名或后臺(tái)留言（我要報(bào)名+姓名+電話）

2.?考試形式、時(shí)間、地點(diǎn)、分?jǐn)?shù)

考試為閉卷筆試的方式，時(shí)間為120分鐘，地點(diǎn)在北京，及格線為60分（滿分100分）。

3.?證書(shū)頒布

考試合格者獲得有公安部信息安全等級(jí)保護(hù)評(píng)估中心統(tǒng)一印制并頒發(fā)CIIP-A證書(shū)。評(píng)估中心定期更新證書(shū)持有人目錄，并向社會(huì)公布，可通過(guò)網(wǎng)站查驗(yàn)證書(shū)真實(shí)性。

END

總結(jié)

以上是生活随笔為你收集整理的任卫红：关键信息基础设施的等级保护的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。