關鍵信息基礎設施是指公共通信和信息服務、能源��、交通�����、水利���、金融��、公共服務�、電子政務�、國防科技工業(yè)等重要行業(yè)和領域的,以及其他一旦遭到破壞��、喪失功能或者數(shù)據(jù)泄露��,可能嚴重危害國家安全���、國計民生、公共利益的重要網(wǎng)絡設施��、信息系統(tǒng)等�。
(一)網(wǎng)站類��,如黨政機關網(wǎng)站�����、企事業(yè)單位網(wǎng)站��、新聞網(wǎng)站等�;
(二)平臺類����,如即時通信、網(wǎng)上購物��、網(wǎng)上支付��、搜索引擎���、電子郵件���、論壇、地圖����、音視頻等網(wǎng)絡服務平臺��;
(三)生產(chǎn)業(yè)務類�����,如辦公和業(yè)務系統(tǒng)����、工業(yè)控制系統(tǒng)�����、大型數(shù)據(jù)中心���、云計算平臺����、電視轉播系統(tǒng)等�����。
(一)確定關鍵業(yè)務�����;
(二)確定支撐關鍵業(yè)務的信息系統(tǒng)或工業(yè)控制系統(tǒng)����;
(三)根據(jù)關鍵業(yè)務對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度,以及信息系統(tǒng)發(fā)生網(wǎng)絡安全事故后可能造成的損失認定關鍵信息基礎設施��。
(一)確定本地區(qū)��、本部門��、本行業(yè)的關鍵業(yè)務��;
(二)確定關鍵業(yè)務相關的信息系統(tǒng)或工業(yè)控制系統(tǒng)�;根據(jù)關鍵業(yè)務,逐一梳理出支撐關鍵業(yè)務運行或與關鍵業(yè)務相關信息系統(tǒng)或工業(yè)控制系統(tǒng)�����,形成候選關鍵信息基礎設施清單���。如電力行業(yè)火電企業(yè)的發(fā)電機組控制系統(tǒng)�����、管理信息系統(tǒng)等�;市政供水相關的水廠生產(chǎn)控制系統(tǒng)、供水管理監(jiān)控系統(tǒng)等���;
(三)認定關鍵信息基礎設施��,對候選關鍵信息基礎設施清單中的信息系統(tǒng)或工業(yè)控制系統(tǒng)���,根據(jù)本地區(qū)、本部門����、本行業(yè)實際,參照以下標準認定關鍵信息基礎設施��。
主要依據(jù)安全等級保護2.0管理要求及數(shù)據(jù)安全法中數(shù)據(jù)安全制度要求進行建設:
可帶來如下收益:
① 建立����、健全單位信息安全管理制度體系;
② 安全合規(guī)�����;
③ 規(guī)范管理流程���、明細職責分工�。
挑選重要網(wǎng)站或信息系統(tǒng)進行安全測試����,模擬黑客的攻擊方法對系統(tǒng)和網(wǎng)絡進行非破壞性質的攻擊性測試,在保證整個安全測試過程都在可以控制和調整的范圍之內(nèi)盡可能的獲取目標信息系統(tǒng)的管理權限以及敏感信息���,并將入侵的過程和細節(jié)產(chǎn)生報告給用戶���,由此證實用戶系統(tǒng)所存在的安全威脅和風險,并能及時提醒安全管理員完善安全策略�����。涵蓋現(xiàn)有的攻擊手段和最前沿的安全攻擊方法����,滲透測試不得影響系統(tǒng)的正常運作和業(yè)務應用。
內(nèi)容包括:信息收集�����、權限提升���、溢出測試�、注入攻擊、跨站攻擊���、后門程序檢查�����、登錄體系測試�、權限體系測試��、命令執(zhí)行攻擊�、反序列化攻擊、文件包含漏洞��、文件上傳漏洞�����、路徑遍歷與文件讀取等�����。
對網(wǎng)站����、信息系統(tǒng)進行安全測試���,可帶來如下收益:
① 評估網(wǎng)站中存在的安全隱患、安全漏洞�����;
② 發(fā)現(xiàn)網(wǎng)站存在的深層次安全隱患���;
③ 驗證網(wǎng)站現(xiàn)有安全措施的防護強度;
④ 評估網(wǎng)站被入侵的可能性�,并在入侵者發(fā)起攻擊;
⑤ 前封堵可能被利用的攻擊途徑�。
風險(安全)評估是對信息系統(tǒng)和IT基礎設施進行安全風險評估,包括明確風險評估范圍��、識別重要資產(chǎn)��、識別脆弱性和威脅�、現(xiàn)有安全控制措施、應用系統(tǒng)漏洞掃描�、分析和計算風險狀況、制定不可接受風險處置方案和風險評估報告和總結����。協(xié)助完成對風評過程中發(fā)現(xiàn)的問題進行整改���,整改完成后測試是否整改完畢。
風險評估�,可帶來如下收益:
風險評估服務通過信息資產(chǎn)的識別與賦值、威脅評估���、弱點評估���、現(xiàn)有安全措施評估、綜合風險分析等若干環(huán)節(jié)���,對信息系統(tǒng)的安全風險進行風險分析����,清晰地展現(xiàn)信息系統(tǒng)當前的安全現(xiàn)狀����,提供公正、客觀��、翔實的數(shù)據(jù)作為決策參考�����,為組織下一步控制和降低安全風險、改善安全狀況����、實施信息系統(tǒng)的風險管理提供依據(jù)。
應急演練:是指各行業(yè)主管部門�����、各級政府及其部門�����、企事業(yè)單位��、社會團體等組織相關單位及人員����,依據(jù)有關網(wǎng)絡安全應急預案����,開展應對網(wǎng)絡安全事件的活動。
應急演練形式:桌面應急演練����、實戰(zhàn)應急演練�、單項應急演練���、綜合應急演練����、檢驗性應急演練�����、示范性應急演練����、研究性應急演練。
定期組織應急演練�����,可帶來如下收益:
① 做好網(wǎng)絡安全事件應對處置�����;
② 建立健全單位應急演練預案�����;
③ 滿足單位本身自我檢查要求;
④ 滿足主管部門聯(lián)合檢查要求�����;
⑤ 滿足監(jiān)管部門合規(guī)審查要求��。
公安備案號:44030502000376