山石岩读丨一文读懂关保与等保系列标准的同与异 – 作者:Hillstone

近年来，随着信息技术的广泛应用和网络空间的兴起发展，各国在政治、经济、文化、社会公共安全等方面的利益及公民在网络空间的合法权益也面临着日益严峻的风险与挑战，因此关键信息基础设施的保护逐渐成为国际网络安全立法和技术研究的新焦点。

在此背景下，我国国家互联网信息办公室于2016年12月发布并实施了《国家网络空间安全战略》，并于2017年7月发布了《关键信息基础设施安全保护条例》征求意见稿，公安部也于2017年6月颁布实施了《网络安全法》，均提出了加强对国家关键信息基础设施实施安全保护的要求，为落实上述相关法规及文件的要求，我国在借鉴现有信息安全等级保护制度实践经验和国内外其它网络安全标准研究成果的基础上，结合我国关键信息基础设施安全保护的形势和需求，由全国信息安全标准化委员会着手组织、开展了关键信息基础设施保护系列标准的制定工作。

一、起源

从目前全国信息安全标准化技术委员会网站(https://www.tc260.org.cn)上可查询到与关键信息基础设施安全保护相关的标准研发项目共有14个（其中3个标准尚无草案或已被其它标准研发项目取代），其中《关键信息基础设施网络安全框架》（当前尚处于草案稿阶段）提出了识别、保护、监测、响应和恢复共5个方面的网络安全要求，该网络安全框架也在2019年12月启动试点工作的《信息安全技术关键信息基础设施网络安全保护基本要求》（报批稿）中得到了落实，并将关键信息基础设施网络安全保护进一步细化为识别认定、安全防护、检测评估、监测预警和事件处置5个环节。

《关键信息基础设施网络安全框架》和《关键信息基础设施网络安全保护基本要求》是关键信息基础设施安全保护系列标准中的两个基线类标准，纵观关键信息基础设施安全保护系列标准全部11个标准中的当前版本（草案或工作组讨论稿、征求意见稿及报批稿）的内容不难发现，其余9个标准均是围绕或针对上述5个环节中的1个或多个环节而制定的。

通过追溯和对比我们不难发现，我国关键信息基础设施安全保护系列标准的研发主要借鉴了美国国家标准与技术研究院（NIST）发布的《提升关键基础设施网络安全的框架》中提出的“识别、保护、检测、响应和恢复所组成的安全可控保障模型”，即IPDRR（取自“识别、保护、检测、响应和恢复”这5个环节名称的英文首字母）模型，而该模型从严格意义上来说也并不完全是美国NIST的创新，IPDRR模型可被认为是在传统PDRR网络安全周期模型的基础上增加了“识别（I）”环节而形成的。

PDRR网络安全周期模型最早由美国国防部于21世纪初提出，如图1所示，在PDRR 模型中，安全的概念已经从信息安全扩展到了信息保障，信息保障内涵已超出传统的信息安全保密，是保护（Protect）、检测（Detect）、反应（React）、恢复（Restore）的有机结合，PDRR模型把信息的安全保护作为基础，将保护视为活动过程，要用检测手段来发现安全漏洞，及时更正；同时采用应急响应措施对付各种入侵；在系统被入侵后，要采取相应的措施将系统恢复到正常状态，这样使信息的安全得到全方位的保障。该模型强调的是自动故障恢复能力。

图1：PDRR网络安全周期模型

二、联系

在探究了我国关键信息基础设施安全保护系列标准总体框架的理论基础之后，我们将再来对该系列标准与我国自2008年即已发布实施的网络安全等级保护系列标准之间的联系进行分析。

《网络安全法》第三十一条规定：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护……”，该条款指明了关键信息基础设施安全保护系列标准和网络安全等级保护系列标准之间的根本联系，即对关键信息基础设施的保护是以网络安全等级保护制度为基础的重点保护。

此外，通过对现有关键信息基础设施安全保护系列标准的当前稿进行解读，我们可以发现关键信息基础设施安全保护系列标准与网络安全等级保护系列标准之间的联系主要体现在以下三个方面：

1.保护对象：对关键信息基础设施的安全保护不能也不应停留在一个笼统的概念上，必须落实到具体的对象上。《关键信息基础设施安全等级保护技术框架》(草案)指出：关键信息基础设施可以包含一个或多个定级对象，这些定级对象的安全保护等级可能不同，但属于关键信息基础设施的系统定级不得低于第三级，如图2所示，实际上，《关键信息基础设施安全等级保护技术框架》已指出关键信息基础设施安全保护的对象是1个或多个定级为三级或四级的信息系统。

图2：关键信息基础设施与定级对象的关系

2.保护方法：2019年12月启动试点工作的《关键信息基础设施网络安全保护基本要求》（报批稿）在第7章“安全防护”的7.1节明确指出“运营者应符合国家网络安全等级保护制度相关要求，开展定级备案、相应等级的测评、安全建设、整改及自查工作”，并在该章后续7个小节从GB/T22239—2019《网络安全等级保护基本要求》中分别选择了7个层面（5个管理层面和2个技术层面）的要求作为基础，增加了针对关键信息基础设施的网络安全保护要求，充分体现了关键信息基础设施安全保护并非从零开始，而是以网络安全等级保护制度为基础的原则。

3.检测评估：检测评估也是关键信息基础设施安全保护的重要环节之一，通过对目前关键信息基础设施安全保护系列标准中涉及检测评估的各标准的解读，我们便能发现此环节与网络安全等级保护系列标准之间的联系。

《关键信息基础设施网络安全保护基本要求》（报批稿）“检测评估”部分规定：“检测评估内容包括但不限于网络安全制度落实情况、组织机构建设情况……、网络安全等级保护工作落实情况等”；《关键信息基础设施安全控制措施》（征求意见稿）“自评估”章节规定了“确保检测内容包括但不限于网络安全制度落实情况、组织机构建设情况……、网络安全等级保护工作落实情况等”；《关键信息基础设施安全检查评估指南》（征求意见稿）“合规检查”章节规定“了解关键信息基础设施中信息系统的等级保护工作落实情况，查看关键信息基础设施近一年的信息安全等级保护定级、备案、测评和整改情况”。

三、异同点分析

关键信息基础设施安全保护条例及相关系列标准于2015年国家网信部门成立以后才开始制定，起步相对较晚，而信息安全等级保护系列标准早在2008年就已开始发布实施，并已于2019年10月完成了修订，各修订版标准（也被称作“等级保护2.0”系列标准）于2019年12月进入了实施阶段。表1总结和对比了关键信息基础设施安全系列标准和网络安全等级保护系列标准之间的主要区别。

表1：关键信息基础设施安全和网络安全等级保护系列标准的对比

在表1的基础之上，我们还应重点关注此两个系列安全标准在总体技术框架及侧重点方面的区别：如前所述，关键信息基础设施安全系列标准总体上借鉴了IPDRR模型，但从现有各标准当前版本来看，对识别需求、安全防护、技术监测、响应处置、应急恢复这五个环节的重视程度基本相同，大多数标准涉及五个环节中的多个环节，且并不明确区分技术和管理两方面的安全防护措施或要求。

而网络安全等级保护系列标准则以等级测评为重点环节，对此环节发布、实施了3个标准，即等级保护基本要求（其最新修订版包含了扩展要求）及其配套的测评要求和测评过程指南，对定级、备案环节发布实施了等级保护定级指南，对建设、整改环节发布了等级保护安全设计技术要求等标准；总体上来看是以等级测评环节带动和促进了其它环节的推进和实施，例如一个信息系统在进行等级测评之前，各级公安（网监）机关必须要求对该系统（二级以上）进行定级和备案，而等级测评报告的内容和结果也是系统建设和整改的主要依据，同时，是否按规定对定级系统进行了等级测评，以及是否根据等级测评报告进行安全整改等情况也是各级公安（网监）机关对定级系统的安全检查的主要内容。此外，为了便于更好地落地和实施，《网络安全等级保护基本要求》把各级、各层面的要求项明确区分为技术和管理两个大类。

在对比和分析了关键信息基础设施安全系列标准和网络安全等级保护系列标准之间的主要区别之后，我们也应看到二者之间的共同点，即无论是关键信息基础设施安全系列标准还是网络安全等级保护系列标准，就其本质来说都没有脱离信息安全风险管理的总体思路，即“风险识别”风险评估”风险处置”残余风险再识别”的闭环体系，两个标准系列中的很多标准都把国、内外风险评估和风险管理标准列为参考文献的事实也印证了这一观点。但是两个标准体系都不是对风险管理体系的简单重复，而是在各自的领域又均有所发展和创新。

具体来说，关键信息基础设施安全系列标准所遵从的“识别认定、安全防护、检测评估、监测预警、事件处置”技术路线中，识别认定和检测评估即可认为包含了风险识别和评估的过程，通过风险评估导出系统安全需求在信息安全业界早已成为共识，监测预警则是动态验证各项风险处置措施的有效性，安全防护则可以理解成是一个尽可能把风险降低到可接受水平的环节；而事件处置（恢复）这个环节的实质是为对风险管理过程的扩展和延伸，当资产的脆弱性被威胁所利用并且其后果达到一定的严重程度时，风险也就随之转变成了实际发生的安全事件，设置事件处置（恢复）环节的意义正是为了及时应对和处理这些安全事件，以便把安全事件所造成的不利影响降低到最低程度。

在网络安全等级保护系列标准所围绕的“定级、备案、建设整改、等级测评、监督检查”技术路线中同样可以看到风险管理的“影子”：定级、备案环节就是要分析和研判系统可能面临的威胁，自身的重要性，安全属性受到破坏后危及的客体及危害程度，这个过程本身就可以理解为风险评估中的风险识别环节（包括对各类资产和威胁的识别），而等级测评环节即可理解为对系统进行一次全面的风险评估，依据此环节产生的等级测评报告和等级保护安全设计技术要求来实施的建设整改环节其实是对识别出的潜在风险进行处置的过程，最后的监督检查其实是对安全整改落实情况的检查和系统残余风险进行再识别和评估的过程。

此外，《网络安全等级保护基本要求》作为网络安全等级保护系列标准中的核心技术标准，其研发之初即已明确了“脆弱性”导向的总体思路，即在“资产”、“威胁”和“脆弱性”三个风险评估要素中，从最重要的“脆弱性”要素角度出发，综合考虑不同等级系统的安全需求、风险管理成本（代价）等因素来构建相应的安全要求指标体系，以防止定级系统因可能存在的脆弱性被外界威胁所利用，对系统资产的安全属性（保密性、完整性和可用性）造成破坏。

【全系列终】

来源：freebuf.com 2020-08-28 16:23:53 by: Hillstone