一种基于多维度模型的关键信息基础设施认定方法*

邓一丁，万乔乔，李惟谦，朱高军

（中国电子科技网络信息安全有限公司，四川 成都 610041）

0 引言

习近平总书记在2016 年的网络安全和信息化工作座谈会上对关键信息基础设施保护做了精辟论述，“金融、能源、电力、通信、交通等领域的关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重，也是可能遭到重点攻击的目标”[1]。2021 年9 月1 日，《关键信息基础设施安全保护条例》正式施行，其中第2 章第9 条要求，“保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。”因此，如何认定关键信息基础设施成为接下来的首要问题。国内外目前有很多对于关键信息基础设施认定的研究和标准，大多基于关键信息基础设施的重要性来判断，由于缺乏量化指标，在实践中不易掌握。本文将“中枢”的概念引入到关键信息基础设施认定工作中。根据待认定信息设施的功能特征，分为4 种中枢类型，对每一类中枢建立多维度量化模型，并进行量化分析。

1 国内外研究现状分析

美国国土安全局关键信息基础设施概念的提出者[2-3]，很早就在对如何认定关键信息基础设施进行探索，我国也有很多专家对关键信息基础设施的认定做了大量研究，形成了很多有价值的方法论。国内外曾经使用或正在使用的认定方法比较多，总结比较典型的方法，如表1 所示。

表1 国内外认定方法汇总

美国和欧盟经过反复尝试，目前在用的认定方法主要是基于后果或风险定性分析。但这是不得已而为之，因为以量化的方式认定比较困难。最典型的是欧盟在2014 年9 月发布的《关键信息基础设施资产和服务认定识别方法——草案》（Methodologies for the Identification of CIIAssets and Services-Draft Preview）就专门对关键信息基础设施被破坏的后果采用权重计算的方式来量化，但随后在正式版中[4]把量化部分删除了，以大量定性描述来代替。

2016 年6 月，中央网信办组织开展了我国第一次全国范围内的关键信息基础设施摸底大检查工作。各地各行业各领域报送的信息参差不齐，与预设情况有一定差距，为此，网信办开展关键信息基础设施边界识别认定研究工作，围绕关键信息基础设施识别认定方法制定了有关文件，用于指导地方和行业开展工作。2020 年，信安标委发布《关键信息基础设施边界确定方法》（征求意见稿）[5]，也在量化分析的道路上进行了探索。

量化分析方法不易成功的原因主要有以下3 点：

（1）指标选择过于单一。各行业领域业务形态和信息基础设施种类繁多，以某一种或几种指标无法很好体现信息基础设施的特征。

（2）固化的指标阈值区间很难同时适应各行业领域需求。相同指标值在不同行业领域中的重要程度不同，如宕机1 小时对发电厂和互联网数据中心的意义完全不同。

（3）管控模式会影响指标的选择。由于体制原因，美国和欧盟在关键信息基础设施保护上的管控模式较为松散，国家之间、国家和联邦政府之间、政府和企业之间没有很强的约束力。在选择量化指标时，会受到各方因素制约。最终多采用基于后果的定性分析方法，而把进一步的决策权下放给企业。而我国是从中央到地方全面贯通的强管控模式，这种行政管理架构与关键信息基础设施在各个重要行业领域的分布区域有密切的关联。这是我国关键信息基础设施的重要特征。

2 认定模型与分值计算

各行业领域有复杂的业务形态和多样的信息基础设施，但从本质上看，可以用4 种类别来概括，分别是业务类、数据类、平台（设施）类、运营类[6]。业务是行业领域的表现形式，数据是内在本质，平台是存在方式，运营则是运转纽带。每一类信息基础设施，都有代表性的特征。

在本文中，为便于描述，用“中枢”来指代各类信息基础设施，根据信息设施功能特征的共同点进行聚类，可分为业务中枢、数据中枢、平台中枢以及运营中枢。每一类中枢都有若干体现该类别特点的认定模型，将待认定系统与多维度认定模型进行匹配，得出每种认定模型下关键程度得分。关键程度是指每一个认定模型中的对信息设施的关键性进行量化后的赋值，值越大关键程度越高。为了便于将模型进行数学处理，将4 个模型的英文单词首字母提取出来，配合数字代表每一种要素，最终形成多维度认定模型，如图1 所示。

图1 多维度认定模型

2.1 多维度认定模型

2.1.1 业务中枢认定模型（Buiness）

业务中枢为重要行业和领域提供信息化服务的系统、平台等信息设施，实现关键业务开展，提供核心产品和服务。业务中枢的关键程度可以通过影响范围、服务对象、事故级别和业务连续性来体现。

（1）影响范围B1

如表2 所示，影响范围主要指该业务中枢影响的区域范围，从跨行业（全国范围）、行业内（全国范围）再到省市、区县，关键程度依次降低。

表2 影响范围B1

（2）服务对象B2

如表3 所示，服务对象指业务影响的人物群体，从重要个体人物、重要行业领域群体、一般行业领域群体到普通社会群体关键程度依次降低。

表3 服务对象B2

（3）事故级别B3

如表4 所示，事故级别[7]指如果系统或平台受到攻击、业务中断或信息泄露后可能造成的损失级别，损失越大则关键程度越高。

表4 事故级别B3

（4）业务连续性B4

业务连续性指各行业领域对业务允许中断时间的要求。业务连续性要求越高则业务中枢的关键程度越高。如表5 所示，其中对业务中断时间的确定作为参考。各行业领域可根据行业标准或自身特点对业务连续性的阈值区间进行设定。

表5 业务连续性B4

2.1.2 数据中枢认定模型（Data）

数据中枢是支撑关键业务的运行，提供数据支撑服务的系统、平台等信息设施。数据中枢的关键程度体现在数据覆盖范围和数据泄露后造成的影响两个方面。

（1）数据覆盖范围D1

如表6 所示，数据覆盖的范围越大，泄露或被破坏后产生的损失越大，关键程度越高。

表6 数据覆盖范围D1

（2）数据泄露危害性D2

如表7 所示，数据中枢的关键程度还可以通过数据泄露或被破坏后造成的危害程度来体现。

表7 数据泄露危害性D2

2.1.3 平台中枢认定模型（Platform）

平台中枢是为支撑关键业务的运行提供的必要物理环境，包括网络节点、计算平台等信息基础设施。可以通过信息基础设施所在的数据中心（机房）等级和所在的平台规模来衡量关键程度。

（1）数据中心等级P1

如表8 所示，数据中心（机房）等级在建设时应按照国家相关规定[8]进行定级，分为A、B、C 3 级，等级越高则关键程度越高。

表8 数据中心等级P1

（2）平台规模P2

如表9 所示，信息设施所在的数据中心（机房）支撑的关键业务范围越大，平台规模就越大，关键程度就越高。

表9 平台规模P2

2.1.4 运营中枢认定模型（Operation）

运营中枢不直接提供关键业务，也不承载关键业务数据。是保护关键业务和数据免受攻击、侵入、干扰和破坏，并保证关键业务稳定、持续运行，提供所必需的安全服务、管理、流程调度、日常运维等功能的信息设施。一方面，该类中枢的功能不同，其关键程度不同；另一方面，对其他关键系统的影响程度不同，其关键程度也不同。

（1）系统功能性O1

如表10 所示，运营中枢按其功能分为安全管理、资源管控、运行维护、统计分析、门户办公5大类。在具体的认定实践过程中，保护工作部门和运营者可根据自身特点进行调整，以体现每类系统的关键程度差异。

表10 系统功能性O1

（2）系统相关性O2

某些系统不便于通过功能分类，可以通过与已认定的关键系统的网络关系或业务关系进行判断。如图2 所示，最左边是已认定的关键信息基础设施或系统，作为参照坐标，括号内是关键程度分值，有分值的方框代表待认定的对象，可以是信息系统或网络设施。

图2 系统相关性O2

采用系统相关性模型认定时需注意：

①应尽量采用其他模型认定的关键信息基础设施，不建议优先采用系统相关性模型计算关键程度。

②选择离待认定对象网络关系或业务关系较近的CII 作为坐标原点，并构建如图2 所示的关系拓扑图。

③每个待认定对象都应对其左侧的对象产生直接或间接影响，没有影响的不纳入考虑。

④直接影响是指当该对象被控制、被破坏或数据泄露时，会直接造成其左侧的对象被控制、被破坏或数据泄露；间接影响是指当该对象被控制、被破坏或数据泄露时，还需要通过其他途径才会造成左侧的对象被控制、被破坏或数据泄露。

⑤对左侧对象产生直接影响的，其关键程度与左侧对象一致。对左侧对象产生间接影响的，其关键程度较左侧对象低1 分。

⑥待认定对象与多个已认定的关键信息基础设施有关系时，即参照坐标不唯一时，可以在多个参照坐标下进行分析、计算，取最高分值作为该对象的关键程度得分。

2.2 重要程度分值计算

对目标基础设施是否是关键信息基础设施，采用如下方法进行判断。

（1）根据待认定基础设施的功能特点，对其进行分类，确认属于哪一类中枢。

（2）对照每一类中枢的多维认定模型，得出每个模型下的关键程度得分，并取平均值，如业务中枢关键程度平均值=(B1+B2+B3+B4)/4。

（3）如果待认定对象不只符合一种中枢类别的特征，则可以将其他类别中符合特征的认定模型一起纳入计算，如某大数据平台具有数据中枢和平台中枢的特征，同时有业务连续性要求，则其关键程度平均值=(B4+D1+D2+P1+P2)/5。

（4）尽量选择能体现待认定对象特征的模型，避免加入相关性不高的模型，影响认定准确性。

（5）最终关键程度平均值大于或等于4 的，有很大可能性被认定为关键信息基础设施。

（6）结合认定原则，由行业专家综合判断待认定对象是否是关键信息基础设施。

3 在各行业领域中的应用

通过对我国当前比较有代表性的行业领域进行分析，展示如何将信息基础设施对应到4 大中枢，圆圈标出的设施极有可能是关键信息基础设施。

3.1 智慧城市

“智慧城市”概念在出现时就采用了比较理想的架构[9]，层级之间的关系明确，非常契合本方法。4 类中枢在智慧城市中的应用如图3 所示。

图3 4 类中枢在智慧城市中的应用

3.2 财政、税务、社保

以财政、税务、社保为代表的政务类信息基础设施，其核心业务和非核心业务有比较明确的边界，通常非核心业务部署在公有云上，核心业务部署在本地数据中心。随着政务上云的逐步推进，越来越多的系统会向公有云迁移，其业务的复杂度主要体现在服务对象的类别较多，纵向贯穿中央、省、市、县、区，横向打通银行、互联网、其他政府单位等，需更多从业务层面分析判断。4类中枢在财政、税务、社保中的应用如图4 所示。

图4 4 类中枢在财政、税务、社保中的应用

3.3 能源、交通、先进制造

这类行业领域主要核心是工控系统，服务的对象也从“人”变为“物”。由于各行业领域工控系统的封闭性和业务的独特性，造成了工业控制领域的“碎片化”特征明显，采用分层级的架构不容易准确判断，更多取决于关键业务的具体实现，如各个子系统之间的通信关系、控制流程等。建议从造成的后果及子系统之间的关联度进行判断。4 类中枢在能源、交通、先进制造中的应用如图5所示。

图5 4 类中枢在能源、交通、先进制造中的应用

3.4 电信运营商

由于网络架构极为复杂，电信运营商对“四大中枢”的理解也更加抽象，关键把握局部网络在整个运营商网络环境中发挥的作用，不拘泥具体的网络形态。4 类中枢在电信运营商中的应用如图6所示。

图6 4 类中枢在电信运营商中的应用

4 结语

本方法构建的模型易于理解，计算过程简单，各行业技术人员短时间内即可掌握并进行实践。同时，在行业领域之间和行业领域内提出统一参照标准，认定时更加具备全局视角，该方法应用了模块化设计思想，每个模型及量度指标都可根据行业特点进行增减，具有很强的扩展性，如金融行业的资金额度、电信行业的网络参数、公众平台的事务数量等，甚至是能够量化的管理要求，都可以纳入模型，只要能够描述对象的关键程度差异即可。当然，人的综合判断比固化的模型更加重要，通过人对目标设施的研究，精心设计量度指标，才能使计算结果更加符合预期。