關鍵信息基礎設施風險評估方法研究

張新躍　馮燕春　李若愚

摘? ?要：網絡安全法從立法上明確了國家關鍵信息基礎設施要在等級保護基礎上實行重點保護，并要求定期進行安全風險檢測評估。文章首先分析了關鍵信息基礎設施的重要特性和安全保障要點，基于當前最新的風險評估標準模型，結合行業最佳實踐，提出了基于關鍵信息基礎設施業務特點識別關鍵屬性，并圍繞關鍵屬性進行風險評估的方法論，給出了基于二維矩陣的風險分析實施方法、相關內容作為關鍵信息基礎設施檢查評估國家標準的重要補充，將為關鍵信息基礎設施安全評估工作的執行提供參考。

關鍵詞：CII;安全保障;關鍵屬性;風險分析

中圖分類號：TN711? ? ? ? ? 文獻標識碼：A

Abstract： The network security law makes it clear from the legislation that the national critical information infrastructure should be protected on the basis of hierarchical protection and grade protection， and requires regular security risk detection and assessment. Firstly， this paper analyses the important characteristics and key security feature of the critical information infrastructure， and puts forward the critical information based on the latest risk assessment standard model and industry best practices. Based on the methodology of identifying critical features and risk assessment around critical features， the implementation method of risk Assessment based on two-dimensional matrix is presented. As an important supplement to the national standards of critical information infrastructure inspection and assessment， the relevant contents will provide reference for the implementation of critical information infrastructure security assessment.

Key words： CII; security guarantee ; critical features; risk assessment

1 引言

隨著信息化的快速普及和發展，關鍵信息基礎設施（Critical Information Infrastructure，簡稱CII）作為事關國家安全和社會穩定的重要戰略資源的地位日益凸顯[1]。一方面隨著互聯網的飛速發展，網絡入侵和網絡攻擊事件頻發，嚴重威脅著關鍵信息基礎設施的正常運轉，給國家安全帶來極大隱患;另一方面，網絡戰爭威脅日益加劇，針對關鍵信息基礎設施的攻擊和事件時有發生，這些攻擊通常是有組織有預謀的，甚至是國家層面的網絡攻擊對抗，這種政府參與的網絡攻擊的力度和影響力是普通網絡攻擊所達不到的。因此，為了更好地應對復雜的國內外網絡安全形勢，維護國家安全和社會穩定，應重點加強對關鍵信息基礎設施的安全保護。

我國在2016年正式頒布了《網絡安全法》和《關鍵信息基礎設施保護條例（征求意見稿）》（以下簡稱條例），對關鍵信息基礎設施作了定義，并且對CII安全保護工作的重要意義做了闡述，網絡安全法中明確規定“關鍵信息基礎設施的運營者應當自行或者委托網絡安全服務機構對其網絡的安全性和可能存在的風險每年至少進行一次檢測評估”[2]，正式為定期開展CII安全檢測評估工作提供法律依據。 此外，國家網絡安全和信息化工作會上也強調了對于CII應該 “以查促建、以查促管、以查促改、以查促防”，確保CII的安全穩定運行，因此開展CII安全檢測評估工作十分重要。

根據網絡安全法的指導原則，CII在網絡安全等級保護制度的基礎上實行重點保護[2]，而關鍵信息基礎設施保護條例中闡述了要根據CII遭受攻擊和破壞所帶來的影響給出了CII的界定范圍和保護重點方向，其中重點保護意味著CII的安全保護要執行更高的保護要求，保護重點方向意味著要圍繞CII的業務特點和業務遭受破壞所帶來的影響力來采取更強更有針對性的安全保護措施。而關鍵信息基礎設施都是涉及國計民生的重要信息系統，所面臨的安全威脅不僅僅是個人的攻擊行為，而往往是有組織有預謀的持續攻擊和國家層面的網絡攻擊對抗行為，這就要求針對CII的風險評估方法論要結合CII的定義以及承載業務的不同特點，選擇更加合理、高效、更有針對性的方法，來客觀評價關鍵信息基礎設施的安全風險。

本文首先根據條例中CII定義，根據CII業務特性和影響力分析，定義了CII的關鍵屬性，然后參考了信息安全風險評估規范標準歸納總結了不同類型CII業務特點和所面臨的威脅，給出了簡便的風險分析方法模型，并且給出了具體的落地實施方法，最終還給出了如何依托風險構建CII安全保障措施的思路。

2 CII關鍵屬性定義

2.1 關于CII的定義

條例第十八條中給出了CII的范圍：下列單位運行管理的網絡設施和信息系統，一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的，應當納入關鍵信息基礎設施保護范圍：1）政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;2）電信網、廣播電視網、互聯網等信息網絡，以及提供云計算、大數據和其他大型公共信息網絡服務的單位;3）國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;4）廣播電臺、電視臺、通訊社等新聞單位;5）其他重點單位。

條例第二十三條明確了要保障上述關鍵信息基礎設施免受干擾、破壞或者未經授權的訪問，防止網絡數據泄漏或者被竊取、篡改。

從CII的范圍和定義來看，CII的界定主要圍繞著CII的業務遭受攻擊后帶來的不同影響力來定義，而由于不同的CII業務差異很大，其保護重點和特性也千差萬別，要客觀評價安全風險，需要圍繞CII的業務特點來識別出關鍵屬性。

2.2 識別CII的關鍵屬性

傳統安全定義了三個最基本特征：機密性、完整性和可用性[3，4]，而對CII的安全特性抽象歸納，基本上也可以定義為業務連續性、業務完整性和數據保密性[5]。

關鍵屬性就是根據關鍵信息基礎設施所承載的業務特性，以及一旦遭受攻擊和破壞可能造成的影響，分析得到的用于描述關鍵信息基礎設施關鍵性的安全屬性，包括但不限于業務連續性、業務完整性和數據保密性。

數據機密性（Data Confidentiality）表示系統之所以被定義為CII，是因為其承載的信息數據非常重要，一旦泄露或者被非授權訪問，將會給國家和社會帶來嚴重的危害，其數據機密性就是該CII的關鍵屬性。

業務完整性（Business Integrity）表示系統之所以被定義為CII，是因為其承載的業務或者信息數據流非常重要，其業務邏輯或者信息數據的完整性一旦被篡改或偽造，給國家和社會帶來嚴重的危害，其業務完整性就是該CII的關鍵屬性。

業務連續性（Business Availability）表示系統之所以被定義為CII，是因為其承載的業務需要持續不斷地提供業務能力輸出，一旦遭受攻擊或者故障不能提供持續有效的服務，將會給國家和社會帶來嚴重的危害，其業務連續性就是該CII的關鍵屬性。

其中，某個CII的關鍵屬性有可能是一個，也有可能是多個關鍵屬性的組合，具體識別關鍵屬性的實例如表1所示。

3 CII風險分析方法

信息安全風險因素由資產、威脅、脆弱性、影響、風險和安全防護措施組成。

（1）資產：代表了CII指對國家、社會有重要價值的信息資產。

（2）威脅：威脅是能夠造成對組織資產損壞的不期望事件的發生。

（3）脆弱性：脆弱性是對受保護的資產進行脆弱性分析，包括系統可能被威脅利用并導致不期望結果的漏洞。

（4）影響：影響是對由于故意或是偶然原因引起不期望事件的發生所造成的后果進行評定。

（5）風險：風險是資產脆弱性被威脅利用， 并對組織造成損害的可能性，也是不期望事件發生、并造成影響的概率。

（6）安全防護措施：安全防護措施是保護CII免遭威脅、減少脆弱性、降低不期望事件影響、檢測不期望事件和災難恢復的安全控制技術、管理制度和相應機制。有效的安全措施需要對圍繞CII的關鍵屬性來構建，最終的目標是確保CII的風險在可控范圍內。

3.1 CII風險計算模型

參照GB/T 20984風險評估規范[3，4]，CII的風險分析可采用下面的公式來計算：

R風險=Φ（A，T，V，P） （1）

其中，R為風險值;Φ是關鍵信息基礎設施風險計算函數;A是資產價值 （Asset Value）;T是安全威脅值 （Threat Value）;V是脆弱性值 （Vulnerability Value）;P是已有安全措施有效性值（Effectiveness of Safety Measures Value ）。

3.2 資產價值分析

參照風險評估規范，關鍵信息基礎設施的資產價值與其關鍵屬性密切相關[6]，資產價值可由如下計算公式進行計算：

A=∫（C，I，U） （2）

其中A代表了資產價值;∫是CII資產價值線性函數，而C表示CII關鍵屬性中的數據機密性，I是CII關鍵屬性中的業務完整，而U表示了CII關鍵屬性中的業務連續性。由于某個CII的關鍵屬性有可能是一個，也有可能是多個關鍵屬性，因為∫為線性函數，CII的總的資產價值：

A=∫（AC，AI，AU） （3）

其中，AC表示數據機密性相關的資產價值，AI表示業務完整性相關的資產價值，AU表示業務連續性相關的資產價值，后續需要針對每一項關鍵屬性相關資產價值分別計算風險。根據CII定義，關鍵屬性是CII之所以被認定為關鍵信息基礎設施最重要的特性，也是CII安全措施保護的重點，因此一旦CII確定了某項關鍵屬性，單個關鍵屬性對應的資產價值AC由取整函數Round[]加權最為合理，因此，以其中一個關鍵屬性對應的資產價值計算AC如式（4）所示，為個體資產價值。由（4）可知在具體執行過程中AC實際是常數（關鍵屬性相關的資產價值為AMAX=1，非關鍵屬性的資產價值=0）。

（4）

由公式（1）可以得出，計算某項關鍵屬性特性對應的風險由如下公式表示：

R= {RC，RI，RU} （5）

假設數據機密性為CII的關鍵屬性之一，則其風險值RC=Φ（Amax，TC，VC，PC），同理，如果業務完整性為CII的關鍵屬性，則RI=Φ（Amax，TI，VI，PI），而如果業務連續性為關鍵屬性，則RU=Φ（Amax，TU，VU，PU）。如上所述因為資產價值Amax為常數1，因此R風險值{RC，RI，RU}實際上跟CII面臨的威脅、脆弱性加上安全防護措施的有效性密切相關。

3.3 脆弱性分析

脆弱性和安全防護措施的實際有效性可以合并考慮（即EC= VCPC，EI= VIPI，EU= VUPU），其E的賦值通常由多種技術手段檢測結果來得到，參照風險評估的多種實際計算方法[1]，公式（5）可以由如下的簡便可行的二維矩陣計算方法得到，即：

RC=Φ（Amax，TC，EC），RI=Φ（Amax，TI，EI），RU=Φ（Amax，TU，EU） （6）

根據定義，E={ EC，EI，EU}為脆弱性和安全措施有效性乘積，通常是由多種技術手段檢測結果來得到，技術測試可以分為主動的技術檢測和被動的安全監測兩種方式[6]。技術檢測的內容包括漏洞掃描、漏洞驗證、滲透測試、業務邏輯測等的測試結果，以及信息收集、漏洞掃描、漏洞驗證、業務安全測試、社會工程學測試、無線安全測試、內網安全測試、安全域測試、入侵痕跡檢測、安全意識測試等。安全監測的內容包括信息刺探行為監測、漏洞利用攻擊監測、木馬后門攻擊監測、異常流量監測、敏感信息泄露監測等。最終可以根據檢測結果反饋的實際存在的漏洞數量、對關鍵屬性的危害程度定性分析后賦值，賦值為高、中、低三檔。

3.4 威脅分析

威脅評估是風險評估的重要過程，CII的威脅分析不同與常規的威脅分析，根據定義，T={TC，TI，TU}為威脅性賦值，代表了對CII關鍵屬性潛在的威脅，威脅分析重點要圍繞CII的業務特點，按照關鍵屬性逐一進行分析，考慮威脅發生的最大可能性，充分考慮到有組織有預謀的攻擊滲透行為、國家之間大規模的攻擊對抗行為，充分考慮攻擊對CII關鍵屬性帶來的影響并給出具體描述，原則上威脅賦值應該采取最大化原則，充分對各種實際可能發生的威脅進行定性分析后進行賦值，賦值為高、中、低三檔。

根據威脅來源、動機、存取方式、影響力以及發生可能性進行綜合考量，具體可分為： （1） 外部的主動攻擊行為（大規模的DDoS攻擊行為，利用惡意代碼、系統漏洞、協議弱點、社會工程、中間人欺騙等攻擊目標CII，破壞或企圖破壞以及竊取系統重要信息）;（2） 內部的被動攻擊（APT攻擊竊取重要數據，內部人員利用口令破解、嗅探等技術對網絡傳輸的數據進行監聽或截取，內外勾結以獲取系統內的重要信息，故意破壞或摧毀內部系統等）;（3） 其他攻擊（關鍵的產品存在 “后門”等）;（4） 自然災害（其他不可抗力如地震、火災等）。

3.5 風險分析評估

根據上述關鍵屬性分析、脆弱性分析和威脅分析的結果，對CII每個關鍵屬性逐一進行定性風險分析，定性風險分析采用GB/T 20984風險評估規范中定義的方法，選擇簡單易行的二維分線分析方法計算出每個關鍵屬性風險分析結果，方法如圖1所示。

其中按照前面所述，橫軸表示的威脅T等級（依次為低、中、高），縱軸為脆弱性/防護有效性等級（依次為低、中、高），得到每個關鍵屬性對應的風險等級，最后根據風險分析的結果確定CII整體安全狀況。

4 基于風險的CII安全防護措施構建思路

風險評估的目的是為了建立健全CII的安全保障體系，因為CII系統的重要性，所面臨的安全威脅和攻擊相比普通系統要高很多，而不同的CII業務特點和關鍵屬性差異較大，保護重點也各不相同，如何制定適度的、高效地的安全措施，是每一個CII運營者應該思考的問題，下面圍繞風險來闡述如何有針對性的構建CII安全保障體系的思路。

根據公式（1）的風險計算原則，衡量CII安全防護措施是否有效的依據是風險可控，也就是對于CII的某個關鍵屬性，即：

R可控=Φ（Amax，T，Vmin，P） （7）

R可控表示了該關鍵屬性相關的風險可控，Vmin假定了對應的系統脆弱性最低不存在影響關鍵屬性的漏洞缺陷，這兩個參數可以認定為常數，從公式（7）中可以看出，為了確保系統風險可控，即保證安全防護措施的有效性，保護措施PT的力度與面臨的安全威脅T強弱正向相關，即：

PT={PCT，PIT，PUT}=Ψ↑（TC，TI，TU） （8）

其中，{PCT，PIT，PUT}代表了了CII在保障數據機密性、業務完整性、業務連續性的安全能力強弱，{TC，TI，TU}代表了了CII在數據機密性、業務完整性、業務連續性面臨安全威脅強弱，Ψ為關聯函數，↑表示正向相關。從（8）可以看出，CII的安全保護是一個動態而不是靜態的過程，為了確保風險可控，其安全保護措施力度與面臨的安全威脅強度密切相關，保護措施強度需要因地制宜，以滿足不同的時期、不同攻擊威脅的要求。因此為了構建合理的安全保障措施，簡而言之首先要根據業務特點，識別出CII的關鍵屬性，根據關鍵屬性相應的特點，梳理識別CII可能面臨的各種安全威脅，按照潛在的安全威脅來逐一制定安全防護措施，即對關鍵屬性執行相對應的最高等級安全保護措施。

舉例說明：某CII為全國性的業務平臺，其關鍵屬性為業務連續性，抗DDoS攻擊是其主要的安全保障措施之一，判定其防DDoS攻擊能力合適，依據要考慮國家對抗層面的、有組織有預謀的對抗攻擊發起的DDoS攻擊行為，充分考慮攻擊流量力度和規模，按照最高等級的抗DDoS要求制定保護措施保證業務連續性，而不僅僅滿足常規的安全技術防護手段構建。

5 結束語

綜上所述，本文結合當前最新的風險評估標準模型和行業最佳實踐，提出了基于關鍵業務屬性進行風險評估的方法論，以及基于矩陣風險分析指數的評估具體實施方法，并給出了基于風險構建CII安全防護措施的思路，為指導關鍵信息基礎設施安全評估工作提供了重要的參考。

參考文獻

[1] 唐旺，寧華， 陳星， 等. 關鍵信息基礎設施概念研究[J]. 信息技術與標準化， 2016 （04） ： 26 - 29.

[2] 中華人民共和國國家安全法[Z]. 2016.

[3] GB/T 20984 信息安全技術 信息安全風險評估規范[S].

[4] GB/T 31509—2015 信息安全技術 信息安全風險評估實施指南[S].

[5] GB 17859-1999，計算機信息系統安全保護等級劃分準則[S].

[6] 信息安全技術 關鍵信息基礎設施安全檢查評估指南（標準報批稿）[S].

[7] 張新躍.域名安全保障體系研究與設計[J].中國信息安全，2016（11）.

[8] NIST網絡安全框架（1.0版）[S].2014年2月28日.

[9] 張新躍，劉志勇，等.基于電信運營商的安全應急響應體系研究[J].信息網絡安全，2011（8）.

[10] 馮燕春.加強國家關鍵信息基礎設施安全保障[J].中國信息安全，2016（11）.

[11] 張彥超， 豐詩朵， 趙爽.關鍵信基礎設施安全保護研究[J].現代電信科技，2015（5）：7-10.

作者簡介：

張新躍（1978-），男，漢族，云南楚雄人，北京郵電大學，博士，中國互聯網絡信息中心，高級工程師;主要研究方向和關注領域：網絡安全、關鍵信息基礎設施安全。

馮燕春（1960-），女，漢族，北京人，國家信息技術安全研究中心，高級工程師;主要研究方向和關注領域：自主可控信息安全技術、關鍵信息基礎設施安全。

李若愚（1983-），男，漢族，北京人，中國互聯網絡信息中心，工程師;主要研究方向和關注領域：網絡安全、關鍵信息基礎設施安全。