mg不朽情缘

84472_17022767220742

征询电话:400-6446-808

解决规划

关键信息基础设施安全等级 ;ぜ际蹩蚣茏暄
2018-01-31 00:00:00

《网络安全法》第三十一条划定“国度对公共通讯和信息服务、能源、交通、水利、金融、公共服务、电子政务等沉要行业和领域 ,以及其他一旦遭到粉碎、失落职能或者数据泄露 ,可能严沉风险国度安全、国计民生、公共利益的关键信息基础设施 ,在网络安全等级 ;ぴ於鹊幕∩ ,尝试沉点 ; 。”本文分析了关键信息基础设施 ;ぴ於抛胪绨踩燃侗 ;ぴ於仍诒 ;ざ韵蟆⒈ ;ご胧┖徒ㄉ柚葱械确矫娴墓叵 ,从信息基础设施运营者单元/机构的角度提出切合整体安全要求的网络安全管控能力评价步骤 ,并尝试构建关键信息基础设施的等级 ;ぜ际蹩蚣 。

1. 钻研布景

2007年《信息安全等级 ;ぶ卫矸ㄗ印钒洳家岳 ,凭据等级 ;さ摹抖吨改稀贰ⅰ陡蟆贰ⅰ恫馄酪蟆贰ⅰ恫馄拦讨改稀贰ⅰ吨葱兄改稀泛汀栋踩杓萍际跻蟆返裙瘸叨确⒄沟牡燃侗 ;ざ兜羌恰⒔ㄉ枵暮偷燃恫馄拦ぷ ,在保险我国沉要信息系统安全工作阐扬了沉要作用 。随着各领域安全 ;つ芰Φ奶岣吆托录际跣吕玫挠肯 ,现有以《根基要求》为建设凭据 ,以尺度切合性的等级测评为重要测评步骤、以基线合规为重要指标的技术系统 ,已经不能充分满足各领域关键信息基础设施安全 ;さ牟恍菰龀さ陌踩枰 。等级 ;すぷ髟诟餍幸档耐贫惨丫辛硕嗄 ,好多三级以上系统经过多年的建设整改 ,在对根基要求的切合水平已经达到一个稳态 ,但信息系统对安全 ;さ男枰兔娑缘耐胁并没有终场发展 。因而 ,美满等级 ;ぴ於缺匾暄猩杓菩碌摹⒂涤懈蠛嫌眯院褪⒖缘募际跸低 。

此表 ,随着《网络安全法》于2017年6月1日正式执行 ,为更好地落实其中第三十一条划定“国度对公共通讯和信息服务、能源、交通、水利、金融、公共服务、电子政务等沉要行业和领域 ,以及其他一旦遭到粉碎、失落职能或者数据泄露 ,可能严沉风险国度安全、国计民生、公共利益的关键信息基础设施 ,在网络安全等级 ;ぴ於鹊幕∩ ,尝试沉点 ; 。关键信息基础设施的具体领域和安全 ;しㄗ佑晒裨涸於” 。总书记指出“基础不牢 ,地震山摇” ,打牢网络安全等级 ;ぴ於然 ,对于保峻峭害信息基础设施安全至关沉要 。因而必要在理清关键信息基础设施 ;ぴ於抛胪绨踩燃侗 ;ぴ於仍诒 ;ざ韵蟆⒈ ;ご胧⒅卫砹鞒毯徒ㄉ柚葱械确矫娴墓叵档幕∩ ,当真钻研关键信息基础设施的等级 ;せ」ぷ 。

为此公安部信息安全等级 ;て拦乐行姆⒄沽艘怨丶畔⒒∩枋┪副甑牡燃侗 ;ぜ际蹩蚣茏暄 ,并于2017年在国标委立项尺度钻研项目 。该钻研以分等级的系统 ;の ,以实现关键基础设施 ;ふ绞跷副 ,构建三层结构的关键基础设施网络安全等级 ;ぜ际蹩蚣 ;以IPDRR模型为基础 ,构建分职能域和类此外安全节造集 ,提出定级对象主张指标组成步骤 ,满足基础设施 ;ば枰 ;提出对关键基础设施机构网络安全管控能力的评价步骤 ,以怀抱机结构订、贯彻并执行网络安全战术指标的意愿、能力和水平 ;给出框架的执行流程 ,领导若何结合网络安全等级 ;すぷ饕 ,执行关键信息基础设施 ; ,并持续评估和改进机构的信息安全工作 。

通过上述钻研形成的尺度性文件 ,可以为关键信息基础设施的运营机构落实等级 ;ぴ於 ,构建切合国度政策、造度要求以及自身风险节造指标的安全保险系统起到领导作用 ,能够更为正确地评价关键信息基础设施机构的安全 ;ず捅O展π ,有利于保障我国等级 ;ぴ於鹊某中∪⒄ 。

2. 关键信息基础设施对象

通常关键信息基础设施的运营单元内部城市存在多个信息系统 ,通过落实网络安全等级 ;ぴ於 ,大部门单元对所掌管的业务系统实现了定级工作 。假定某单元信息系统定级了局如下图所示 ,其中有1个系统定为第四级 ,2个系统定为第三级 ,2个系统定为第二级 。

在关键信息基础设施的鉴别工作中 ,假定其中对关键基础设施起沉要支持作用的业务系统、区域或网络设施被确定为关键信息基础设施 ,相应的信息系统或网络设施应拥有较高的安全 ;さ燃 ,如第三级或第四级 ,而其他业务系统或者因其对关键基础设施的支持作用不直接(其他非关键信息基础设施的第三级系统) ,或者其沉要性较低(如第二级系统) ,并未被鉴别为关键信息基础设施 。

zz_0ZnMl6ag

 

假定这些系统已经依拍照应等级的网络安全等级 ;ひ ,落实了安全技术措施和治理措施 ,则关键信息基础设施——其中的第三级信息系统1和第四级信息系统的安全 ;せ褂刈⒁韵路矫妫

a) 关键信息基础设施内部门歧定级系统之间的安全整体性和协同性 ;

b) 关键信息基础设施安全对周边非关键信息基础设施的依赖性 ;

c) 关键基础设施的业务陆续性要求安全措施拥有靠得住性、监测持续性和措置高效等特点 ;

d) 关键信息基础设施具备更强的威胁匹敌能力 。

选取划分系统、分等级 ;さ拇乘悸 ,将安全 ;さ某恋惴旁诿扛鱿低车暮瞎 ,在肯定水平忽略了安全的整体性 。关键信息基础设施 ;け匾ü杓埔蕴聿拐庖蝗钡 。本框架参照美国的《提升关键信息基础设施的网络安全框架》 ,从信息基础设施运营者单元/机构的角度提出要求 ,给出关键信息基础设施的等级 ;ぜ际蹩蚣 。关键信息基础设施 ;さ闹卫矶韵笥Ω檬嵌怨丶畔⒒∩枋└河邪踩鹑蔚幕/单元 。

 

文章摘自中国信息安全等级 ;ね

 

【网站地图】