2017年6月1日正式实施的《中华人民共和国网络安全法》首次在立法层面引入“关键信息基础设施”的概念;2021年9月1日正式施行的《关键信息基础设施安全保护条例》是落实《网络安全法》的要求和构建国家关键信息基础设施安全保护体系的顶层设计;2023年5月1日正式实施的《信息安全技术 关健信息基础设施安全保护要求》(GB/T 39204-2022)(以下简称《关保要求》)对关键信息基础设施提出了更细致的可操作性要求。
《关保要求》共11章节,给出了关键信息基础设施安全保护的三项基本原则、六个方面活动,提出了111条安全要求。
标准第5条“主要内容及活动”中明确指出,分析识别是开展安全防护、检测评估、检测预警、主动防御、事件处置等活动的基础。下面我们主要对分析识别活动内容进行分析和解读。
在开始分析前,先熟悉一下几个名称:
关键信息基础设施是指公共通信和信息、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,以及其他一旦遭到破坏、丧失功能或数据泄漏,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键业务链是组织的一个或多个相互关联的业务构成的关键业务流程。
一、 业务识别
a) 应识别本组织的关键业务和与其相关联的外部业务;
b) 应分析本组织关键业务对外部业务的依赖性;
c) 应分析本组织关键业务对外部业务的重要性;
d) 应梳理关键业务链,明确支撑关键业务的关键信息基础设施分布和运营情况。
解读:首先需要识别哪些是关键业务,确定支撑关键业务的信息系统或工业控制系统,根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。梳理关键业务可参考下图:
对候选关键信息基础设施清单中信息系统或工业控制系统,可参考以下标准:
认定关键基础设施后,分析识别本单位的关键业务和关键业务所依赖的外部业务,以及外部业务对关键业务的重要性和依赖性。当本单位关键业务为外部业务提供服务时,识别关键业务对外部业务的重要性。其实简单的理解就是梳理本单位关键业务相关的上游关联业务和下游关联业务的重要性和依赖性,最终确定所有涉及的关键业务链,从而确定支撑关键业务的关键信息设施分布和运营情况,形成关键业务画像。
二、 资产识别
a) 应识别关键业务链所依赖的资产,建立关键业务链相关的网络、系统、数据、服务和其他类资产的资产清单;
b) 应基于资产类别、资产重要性和支撑业务的重要性,确定资产防护的优先级;
c) 应采用资产探测技术识别资产,并根据关键业务链所依赖资产的实际情况动态更新。
解读:在识别关键业务和关键业务链的基础上,分析识别关键业务链所依赖的资产(包括网络、系统、数据、服务和其他类资产),建立相关的资产清单。可利用资产管理系统、网络空间测绘系统等技术工具,实现资产数据动态、持续统一管理;并对关键业务相关资产进行分类分级管理。另外还需建立分析识别业务流程,形成关键信息基础设施业务识别相关文档,建立资产识别制度,识别关键业务资产组成,形成资产清单。
三、 风险识别
应按照GB/T 20984等风险评估标准,对关键业务链开展安全风险分析,识别关键业务链各环节的威胁、脆弱性,确认已有安全控制措施,分析主要安全风险点,确定风险处置的优先级,形成安全风险报告。
解读:对关键业务链根据《GB/T 20984-2022 信息安全技术 信息安全风险评估方法》进行风险评估,分析识别关键业务链各环节的威胁、脆弱性和安全措施及安全风险点,确认风险处置优先级,形成安全风险报告。风险评估流程参考下图:
四、 重大变更
在关键信息基础设施发生改建、扩建、所有人变更等较大变化时,应重新开展识别工作,可能影响认定结果的,应及时将相关情况报告保护工作部门,并更新资产清单。
解读:当关键信息基础设施发生改建、扩建、所有人变更等较大变化,就需要重新开展识别,重新认定关键信息基础设施范围,重新安全风险评估,更新相关资产清单;以及及时报告保护工作部门。建立重大变更管理制度,明确重大变更范围、处理流程等。
本标准为保护工作部门、关键信息基础设施运营者、网络安全服务机构等开展安全保护工作提供指引和依据,是又一个里程碑。有助于进一步提升国家关键信息基础设施安全保障能力和水平。
领取专属 10元无门槛券
私享最新 技术干货