自2017年6月1日《中华人民共和国网络安全法》（简称《网络安全法》）首次在立法层面引入“关键信息基础设施”的概念以来，有关关键信息基础设施的范围和边界的争论和探讨便持续不休。2021年9月1日起正式施行的《关键信息基础设施安全保护条例》对《网络安全法》的落实和构建国家关键信息基础设施安全保护体系给出了顶层设计和重要举措。2022年10月12日，国家标准化管理委员会正式批准《信息安全技术 关键信息基础设施安全保护要求》（简称《关基保护要求》）发布，该标准针对关键信息基础设施（简称CII）安全保护工作，为运营者和相关方提供了全生存周期的指导和参考。

  由于《网络安全法》在对关键信息基础设施的运营者施以特殊的网络安全保护义务的同时并未就怎么来识别与认定关键信息基础设施提供明确指引，刚刚发布的《关基保护要求》虽然给出了具体实际的要求参考，但实践中不少企业时常陷入自身是不是可能构成关键信息基础设施运营者的担忧和自我怀疑中。分析识别作为关基保护工作的首要环节，是后续工作开展的基础，也是目前工作实践中亟需解决的首要难点。有鉴于此，本文将梳理和总结CII分析识别工作中的关键点，为检查部门和运营者开展关基的分析识别工作提供参考。

  CII分析识别工作作为《关基保护要求》的第一个环节，做好分析识别工作需要先明确以下三个关键点：

  关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制管理系统，且这些系统若发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境和人民生命财产导致非常严重损失。

  关键信息基础设施包括网站类，如党政机关网站、企业和事业单位门户网站、新闻网站等；平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；生产业务类，如办公和业务系统、工业控制管理系统、大型数据中心、云计算平台、电视转播系统等。

  关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制管理系统，三是根据关键业务对信息系统或工业控制管理系统的依赖程度或会造成的损失认定关键信息基础设施。

  根据关键业务，逐一梳理出支撑关键业务运行或与关键业务相关的信息系统或工业控制管理系统，形成候选关键信息基础设施清单。如电力行业火电企业的发电机组控制管理系统、管理信息系统等；市政供水相关的水厂生产控制管理系统、供水管网监控系统等。

  2.2.3 认定关键信息基础设施对候选关键信息基础设施清单中的信息系统或工业控制管理系统，根据本地区、本部门、本行业真实的情况，参照以下标准认定关键信息基础设施。

  CII分析识别的核心要点为CII边界确定，CII边界是以关键业务为基础，由识别方法和CII元素构成，反映CII与关键业务之间的支撑、依赖关系以及CII元素的分布、部署情况是展开保护、审查、应急与督导工作的重要依据。

  CII边界应该以什么理论方法为前提进行确定？确定边界应该涵盖哪些要素？应该梳理哪些内容？各要素之间具有什么样的逻辑关系？最终形成什么样的结果or结论？下文将给出CII边界确定的工作关键点。

  以关键业务为核心，所有的“关键”并非点对点指CII，而将范围扩大到保障关键业务稳定运行所涉及的网络设施和信息系统。

  加强信息共享和联动协调，即使定位为CII，也要以国家的大战略为宏观（安全与发展并重），“信息共享”以促发展为主、“联动协调”以保安全为主。

  即使定义为CII，也要围绕关键业务的影响进行级别区分，避免一刀切的现象出现，将更重要的安全资源投入到应该对应的内容上来。

  随着国际的大环境持续变化，所面临的攻击行为也会有所变化。同时，关键业务之间的支撑、依赖也是动态的，所以CII边界也应随着外部和内部的环境变化进行动态调整。

  CII运营者根据关键业务运行框架、运行逻辑、运行范围以及CII元素与关键业务支撑、依赖关系，明确CII元素分布、部署情况和资产清单，确定CII边界。

  确定识别CII边界所需要素（即六要素），并以关键业务为核心与其他要素进行关联，形成CII边界模型。

  通过关键业务梳理情况内容能够准确的看出，基本情况描述属于结果维度，其他属于过程维度。在过程维度中，属于循序渐进的过程，有前一步形成的结果，后一步才具有结果产出的可能性；在结果维度中，以过程维度产出的内容为基础，对关键业务的基础情况做整理，形成关键业务基础情况描述文件。

  在关键业务信息化情况梳理中，信息化情况描述属于结果维度，其他属于过程维度。在过程为度中，信息化范围梳理更关注于信息化运维确定关键业务信息化范围；关键业务信息梳理以关键信息化范围为基础，更加关注于不可或缺的关键业务信息形成描述文件。在结果维度中，信息化情况描述更看重对过程维度形成结果的整理与归纳，形成整体的关键业务信息化情况描述文件，并为CII元素梳理提供支撑。

  在CII元素梳理中，是以关键业务信息流的流动轨迹为基础，着重关注关键业务信息流上的网络设施和信息系统，并进行去重处理，形成CII候选元素清单。针对CII候选元素清单进行再次敲定，并给予敲定的CII候选元素进行内容外延（即CII候选元素情况、分布、部署详情等），形成CII候选元素描述文件，并为CII元素关键性评估提供支撑。

  在CII元素关键性评估中，强调建立在等保2.0要求基础之上，更加关注于围绕关键业务的网络设施、信息系统，基于此重点考虑业务连续性、完整性、保密性（即关键性评定的主要判定指标），任何一个指标造成影响的CII候选元素即为关键要素，所有评价指标都无影响为“非关键”。业务连续性关注于是否对关键业务造成运行中断或运行速率降低；业务完整性关注于是否对关键业务造成某项或多项功能丧失；数据保密性关注于是否对关键业务造成数据泄露或篡改。最终，形成CII元素关键性评估结果描述。

  在CII边界确定中产生的内容（即CII边界文件）是CII边界确定方法的终极结果，因此就需要围绕关键业务基础信息、网络设施、信息系统、关联关系、CII候选元素、评估过程及结果等进行清晰准确描述。

  北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创造新兴事物的能力成为全世界六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

  威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、人机一体化智能系统、军工等国家重要行业用户更好的提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线多家行业客户实现了业务安全合规运行。

  作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施互联网空间安全为己任，致力成为建设网络强国的中坚力量!